O perigo da detecção atrasada de ameaças e como evitá-la

As organizações falham rotineiramente na identificação de ataques à segurança cibernética até que seja tarde demais. De acordo com a Pesquisa de Resposta a Incidentes SANS de 2016, aproximadamente 21% dos entrevistados disseram que normalmente poderiam detectar um ataque cibernético dentro de 2 a 7 dias, enquanto 40% disseram que poderiam detectar um incidente de segurança em menos de 1 dia. Aproximadamente 2% dos entrevistados relataram que o “tempo de permanência” médio era superior a 1 ano. Deve-se notar também que quanto mais tempo levar para detectar uma violação, mais caro será remediá-la.

No caso da recente violação de dados da Equifax, foram feitas alegações de que eles haviam sofrido a violação meses antes do ataque realmente surgir. Os hackers conseguiram comprometer 45% de todos os números da Segurança Social dos EUA. Uma violação desta escala não é algo que possa ser realizado rapidamente e, portanto, a questão permanece; como os hackers conseguiram comprometer quantidades tão vastas de informações durante um longo período de tempo sem serem notados?

A verdade é que a maioria das empresas ainda depende de métodos desatualizados para proteger os seus dados sensíveis e continua a concentrar-se demasiado nas ameaças externas em oposição às ameaças internas - que são responsáveis por quase 75% das violações de dados. Para ser justo, porém, nem tudo é desgraça e tristeza. De acordo com o estudo Ponemon 2017 sobre custo de uma violação de dados, as empresas fizeram progressos significativos no último ano, com o tempo médio de permanência caindo de 70 para 55 dias.

Embora existam muitas ferramentas e tecnologias que podem nos ajudar a detectar uma possível violação de dados, como firewalls, detecção de endpoint, software de prevenção contra perda de dados (DLP), soluções SIEM e assim por diante, uma das primeiras etapas que uma organização deve tomar é garantir que eles sejam capazes de detectar qualquer atividade suspeita associada aos arquivos, pastas e contas de usuário em seus sistemas. Afinal, de acordo com o Relatório de Investigação de Violação de Dados da Verizon de 2017, os servidores de arquivos continuam sendo o principal alvo de ataques cibernéticos.

As organizações precisarão saber exatamente quem, o quê, onde e quando estão sendo feitas alterações relevantes nos arquivos, pastas e contas em seu sistema. Existem muitas soluções de auditoria de servidores de arquivos que podem ajudá-lo a monitorar privilégios de acesso e detectar quando contas de usuário são criadas, excluídas ou modificadas e detectar atividades suspeitas de arquivos e pastas, com base em um único evento ou condição de limite. No entanto, é muito bom auditar esses eventos, mas não é tão útil se não sabemos o que realmente estamos procurando. Então, o que estamos procurando?

Estamos essencialmente atentos a quaisquer eventos que não estejam em conformidade com os padrões que normalmente esperamos ver. Por exemplo, um ataque cibernético pode causar algum tipo de interrupção. Ao monitorar a disponibilidade de nossos sistemas, podemos revisar os logs para determinar se isso foi causado por erro humano, falha tecnológica ou alguma forma de atividade maliciosa.

Em segundo lugar, podemos monitorizar o momento em que determinados eventos ocorrem. Por exemplo, se o horário normal de trabalho for entre as 9h00 e as 17h00 (de segunda a sexta-feira), e alguns eventos ocorrerem fora deste horário - digamos às 2h00 de um sábado - podemos deduzir que algo suspeito ocorreu. Podemos assim configurar alertas em tempo real ou alguma forma de resposta automatizada para resolver a anomalia. Isso pode incluir interromper um processo específico, desabilitar uma conta de usuário, alterar as configurações do firewall ou desligar totalmente o servidor.

Finalmente, podemos usar ferramentas de descoberta de dados, acompanhadas de uma política de classificação de dados, para nos ajudar a controlar quais dados pertencem e onde. Podemos então configurar alertas ou uma resposta automatizada, caso nossos dados confidenciais acabem no lugar errado.