Por que a resposta automatizada é fundamental para a segurança de TI e como o Lepide ajuda
Aqui na Lepide nos identificamos como fornecedores de segurança e conformidade de TI, o que levanta uma questão realmente interessante sobre o que realmente é segurança de TI.
Claro, embora sempre tenhamos oferecido soluções que permitem aos usuários auditar, monitorar e alertar quando surgem ameaças potenciais à segurança, você poderia dizer que visibilidade não é necessariamente igual a segurança. Só porque alguém sabe sobre um problema potencial não significa, por si só, resolver, remediar e proteger o problema.
Em parte, isso se deve à forma como você define segurança. O instituto SANS define segurança como “o processo de implementação de medidas e sistemas concebidos para proteger e salvaguardar com segurança informações (dados empresariais e pessoais). ”Considerando que eu diria que não se trata necessariamente do processo, mas sim da ação que realmente é tomada. Você pode ter o melhor plano do mundo - mas é essencialmente inútil combiná-lo com ação.
Há cerca de 18 meses, com toda a atenção da mídia em torno de ransomware e outras ameaças semelhantes, percebemos que nossa solução, embora fosse excelente (sem dúvida uma das melhores) no que diz respeito a fornecer alertas e relatórios oferecendo visibilidade sobre ações, eventos e incidentes , em termos de segurança ainda não foi tão proativo quanto gostaríamos.
Deixe-me elaborar.
Ao conversar com nossos grandes clientes de saúde, eles disseram especificamente que tinham um problema específico com um ataque de ransomware e, embora nossa solução lhes oferecesse uma excelente visão, na época a Lepide Data Security Platform não foi capaz de oferecer-lhes nenhum meio real de impedir a propagação ou remediar o problema.
Bom ponto!
Então, aqui está o que fizemos. A nossa missão, em linha com tudo o que fazemos, era garantir que pudéssemos criar a abordagem mais rápida, simples, flexível e fácil de utilizar para permitir que as equipas de TI reagissem às ameaças sem qualquer intervenção humana.
Usando nosso recurso de alerta de limite, descobrimos que já tínhamos a capacidade de filtrar e criar alertas com base em critérios de volume/tipo de evento versus duração. Então, em termos de identificar tendências suspeitas, como talvez um arquivo ou pasta específico tendo sido modificado (potencialmente criptografado), tivemos isso. Pode ser simplesmente um alerta mostrando que um usuário copiou um número suspeito de arquivos e pastas em um curto espaço de tempo.
Francamente, sabíamos que, quando se tratava de alertas e relatórios em tempo real, tínhamos dados de auditoria de qualidade, significativos e úteis suficientes para nos permitir detectar atividades suspeitas em qualquer parte do Active Directory, política de grupo, Exchange Server, SQL Server, SharePoint, Exchange Online (Office 365), servidores de arquivos do Windows e arquivadores NetApp.
Então, o que decidimos é que queríamos permitir que os usuários pudessem criar um script de sua escolha em VB Script, PowerShell Script ou um simples arquivo .BAT. Isso seria então executado com base em um gatilho criado a partir do próprio alerta. Por exemplo, você pode executar um script para desativar uma conta de usuário ao identificar um alerta suspeito ou talvez ativar o firewall (e até mesmo ligar a chaleira, se desejar).
A questão é que isso permitiu que as equipes de TI escolhessem a ação. Oferecemos visibilidade, fornecemos insights - nossos clientes escolhem como desejam automatizar a resposta.
Ter a capacidade de automatizar a forma como você reage às tendências, obviamente com cautela, oferece um valor tangível para ajudá-lo a detectar e impedir ransomware em seu caminho, detectar autores de vazamento de dados, identificar administradores desonestos e evitar abuso de privilégios. Tudo isso é fundamental para desenvolver uma boa estratégia de segurança.
Se isso parece ser um recurso útil para sua equipe de TI como parte de sua estratégia geral de segurança, baixe uma avaliação gratuita do Data Security Platform e veja por si mesmo como é fácil.