No passado, as organizações poderiam ter sido capazes de se safar com firewalls e software antivírus como suas principais defesas contra cibercriminosos. Infelizmente, esses dias já se foram há muito tempo. Defender-se contra as ameaças atuais requer uma abordagem mais ativa, capaz de evoluir ao lado dos atacantes e suas táticas em constante mudança. As ferramentas de segurança "defina e esqueça" não são mais uma opção. As organizações atuais precisam avaliar continuamente a eficácia de seus controles de segurança, identificando potenciais fraquezas, vulnerabilidades, problemas de conformidade e outros problemas.
Determinar a eficácia dessas ferramentas nem sempre é fácil. Além disso, os líderes da empresa geralmente estão interessados em saber mais do que apenas como as soluções de segurança lidam com ameaças. Eles querem entender o valor que as ferramentas fornecem e se estão gerando ROI suficiente para justificar o uso contínuo, o que pode ser difícil de medir em termos específicos e quantificáveis. Felizmente, há opções disponíveis. As organizações que buscam entender melhor o desempenho de suas soluções de segurança devem se concentrar em algumas áreas-chave.
1. Aferição da Consciência da Superfície de Ataque
Construir um muro para manter os atacantes afastados não é suficiente no cenário de ameaças hoje. Eventualmente, um ou mais entrarão. Simplesmente não é possível parar 100% das ameaças, o que significa que a segurança deve mudar de foco na proteção do perímetro para a detecção na rede. Para serem bem-sucedidas, as organizações precisam de consciência de coisas como credenciais expostas, configurações erradas, potenciais caminhos de ataque e outras outras vulnerabilidades que os atacantes provavelmente exploraram.
Há uma ampla gama de ferramentas disponíveis que podem ajudar. As ferramentas de detecção e resposta ao ponto final (EDR) fornecem visibilidade sobre ataques em pontos finais, enquanto as ferramentas de Detecção e Resposta Estendida (XDR) se expandem sobre esses recursos, integrando-se a outras soluções. Os atacantes quase sempre procuraram comprometer o Active Directory (o serviço que lida com a autenticação em toda a empresa), o que é notoriamente difícil de proteger. Ferramentas de detecção capazes de identificar consultas suspeitas de AD e outras atividades de ataque em potencial podem ajudar a evitar o cenário de pesadelo de um AD comprometido.
É claro que a segurança da identidade também é cada vez mais crítica. Embora as ferramentas tradicionais de EDR e as soluções de segurança AD não ofereçam a proteção de identidade necessária nos ambientes atuais, surgiram soluções de detecção e resposta a ameaças de identidade (ITDR) para preencher essa lacuna.
Tudo se resume à cobertura. As organizações podem avaliar o grau de conscientização que têm na rede. Controles de identidade sem proteções de ponto final podem deixar suas redes perigosamente vulneráveis, assim como proteções de ponto final com segurança de AD. E, à medida que mais e mais organizações abraçam a nuvem, novos ambientes de nuvem expandiram ainda mais a superfície de ataque. Garantir visibilidade suficiente em toda a rede é um primeiro passo fundamental para avaliar a eficácia das ferramentas de uma organização.
2. Investigar permissões e direitos
A super provisão é um problema sério hoje. As equipes de TI geralmente não querem interferir nas operações de negócios, o que significa que é mais fácil fornecer aos usuários e outras identidades mais permissões do que eles precisam, em vez de arriscar impedir a função de trabalho de alguém. Infelizmente, as identidades muitas vezes acabam com direitos que superam muito o que realmente precisam para fazer seu trabalho. Consequentemente, quando os atacantes comprometem essas identidades, eles também têm acesso a muito mais dados do que de outra forma teriam.
Implementar uma Arquitetura de Confiança Zero (ZTA) é uma maneira de lidar com esse desafio, fornecendo às identidades apenas o nível mínimo de acesso que precisam para funcionar e validando continuamente o que são, quem, ou o que dizem ser. Para isso, as organizações precisam de ferramentas para identificar permissões excessivas e outras vulnerabilidades potenciais em toda a rede. As organizações devem auditar e atualizar regularmente essas permissões para garantir que elas permaneçam apropriadas e que alguém possa examinar essas auditorias. Quantas permissões excessivas foram detectadas? Quantas credenciais obsoletas ou órfãs eles limpam? A conscientização adequada em toda a rede pode ajudar as equipes de TI a avaliar a eficácia que estão gerenciando suas permissões.
3. Medir e melhorar a precisão da detecção
Os alertas de segurança são bons — ostensivamente, eles indicam que as ferramentas de segurança estão funcionando corretamente e detectando ameaças. Infelizmente, nem sempre é assim. Atividades consideradas suspeitas, muitas vezes são detectadas, resultando em um alarme falso que desperdiça o tempo da equipe de segurança com investigação inútil. Esses falsos alertas podem resultar em fadiga de alerta, com alarmes falsos excessivos afogando as ameaças reais que precisam de remediação.
O acompanhamento da taxa de relatórios falsos positivos (FPRR) pode ajudar o pessoal de segurança a entender a qualidade de seus alertas. Se o FPRR é muito alto, talvez seja hora de olhar para ferramentas mais novas e precisas. A tecnologia de detecção atual muitas vezes vem armada com recursos de inteligência artificial e machine learning (IA e ML) que lhes permitem aprender ao longo do tempo e comprovar alertas antes de repassá-los para a equipe de segurança. Esses alertas de alta fidelidade reduzem o volume global de alerta e permitem que os defensores da rede se concentrem em ameaças reais em vez de perseguir fantasmas.
4. Compreender a eficácia da automação
A automação é útil para reduzir alarmes falsos. Nem sempre é viável remediar manualmente todas as ameaças nos volumes de ataque de hoje. Felizmente, as ferramentas atuais podem correlacionar automaticamente informações de ataque de diferentes fontes e exibi-las em um único painel para avaliação. Ao criar cartilhas para certos tipos de atividade de ataque, essas ferramentas podem remediar automaticamente ameaças específicas antes mesmo de trazê-las à atenção de um defensor. Essa automação acelera e simplifica a resposta a incidentes, abordando ameaças assim que são detectadas e parando-as antes que elas possam escalar e se espalhar por toda a rede.
O volume de resposta a incidentes é uma boa maneira de medir o quão eficazes são esses controles. O número de incidentes relatados como abertos, fechados ou pendentes pode fornecer informações sobre o quão bem as ferramentas automatizadas lidam com ameaças. Muitos incidentes abertos ou pendentes não são bons, mas um número significativo de casos fechados significa que o sistema está fazendo seu trabalho.
Conclusão
As ameaças de hoje são amplas, e os atacantes modernos não se concentram apenas em grandes organizações. Todos estão em risco, e as organizações de grande e pequeno porte precisam ter proteções adequadas e os conhecimentos e recursos necessários para medir sua eficácia. Felizmente, avaliar coisas como visibilidade da rede, gerenciamento de direitos e relatórios de incidentes e alarmes falsos, pode ajudar as organizações a determinar sua saúde geral da rede e quão bem suas defesas estão se fazendo.
Essas informações também podem ajudar as equipes de segurança a gerar informações adicionais de CISOs e conselhos corporativos ao melhorar e expandir seus recursos de defesa de rede. À medida que os atacantes evoluem, as ferramentas de defesa de rede evoluem ao lado deles, e ajudar os líderes empresariais a entender os passos necessários para ficar um passo à frente dos cibercriminosos é essencial. Dado que o custo médio de uma violação de dados em 2021 subiu para US $ 4,24 milhões, soluções de segurança eficazes nunca foram tão críticas.
Caso queira saber soluções que possam ajudar a proteger seus negócios, nós podemos realizar uma apresentação e até mesmo uma demonstração da solução. Para isto basta realizar contato através do e-mail contato@asg.com.br, via telefone (51) 3533-8417, Whatsapp: (51) 99340-7861, ou então nosso site. Acompanhe a nossa página no Instagram e fique por dentro das novidades.