Detectar uma violação de dados - perguntas que precisam ser feitas

Naturalmente, quanto mais rápido nossas equipes de segurança conseguirem identificar uma violação de dados, mais rápido poderão agir para erradicar e se recuperar do incidente. O problema, porém, é que muitos incidentes de segurança se desenrolam de forma muito encoberta e podem levar semanas - ou até meses para serem descobertos.

De acordo com o relatório anual M-Trends da FireEye, o “tempo de permanência” médio global é de 101 dias. A primeira pergunta que precisamos fazer é: nossos profissionais de segurança são competentes o suficiente para detectar uma violação de segurança em tempo hábil? Para responder a esta pergunta, há outras perguntas que precisam ser feitas…

Quais são as causas mais comuns de violação de dados?

Se fôssemos vítimas de um ataque de ransomware capaz de penetrar na nossa rede explorando uma vulnerabilidade numa versão legada do nosso sistema operativo, consideraríamos a ameaça como sendo de origem externa ou interna? Bem, a resposta é ambas.

Os cibercriminosos estão constantemente à procura de vulnerabilidades para explorar - seja um software legado ou um funcionário ingênuo, e é nossa responsabilidade garantir que essas vulnerabilidades sejam reduzidas ao mínimo.

De acordo com a postagem a seguir, aproximadamente 80% das violações de dados são causadas por erro humano ou de processo. Com isto em mente, o nosso foco precisa de mudar da segurança baseada em perímetros para a formação e monitorização do comportamento dos nossos próprios funcionários.

Como as violações de dados são normalmente descobertas?

A triste realidade é que a maioria das violações de dados são descobertas por instituições externas à organização violada, tais como agências de aplicação da lei e de proteção contra fraudes, clientes e processadores de cartões de crédito - que utilizam algoritmos avançados para detetar utilizações suspeitas de contas.

Como identificamos dados de alto valor?

É um facto óbvio que, para proteger os nossos dados sensíveis, precisamos de saber onde eles residem. Dados de alto valor, que incluem PII, PCI, PHI e assim por diante, valem muito dinheiro no mercado aberto, por isso esses dados são o principal alvo dos cibercriminosos. Felizmente, existem diversas ferramentas de descoberta e classificação de dados disponíveis que podem descobrir, classificar e criptografar automaticamente uma grande variedade de tipos de dados de alto valor.

Como podemos monitorar dados de alto valor?

Depois que nossos dados mais valiosos forem localizados e classificados, precisaremos monitorar todas as atividades associadas a esses dados. Quando esses dados são acessados de forma considerada suspeita, nossa equipe de segurança deverá ser alertada em tempo real, o que lhes permitirá tomar medidas para investigar e remediar o problema em tempo hábil.

Há uma série de plataformas de segurança de dados disponíveis que podem detectar, alertar, relatar e responder automaticamente ao uso indevido de privilégios de conta, atividades suspeitas de arquivos e pastas e acesso não autorizado a caixas de correio. Eles também podem detectar eventos que correspondam a uma condição de limite predefinida, como múltiplas tentativas de login malsucedidas ou criptografia em massa de dados.

Que medidas podemos tomar para garantir a rápida correção de uma violação de dados?

Caso ocorra um incidente de segurança, as organizações serão obrigadas a notificar todos os clientes que foram afetados pela violação e descrever as medidas que foram tomadas para investigar, remediar, recuperar e restaurar os sistemas afetados.