Home / Blog / Cibersegurança e Automação: importância, desafios e implantação

Cibersegurança e Automação: importância, desafios e implantação

ciberseguranca-automacao-importancia-desafios-implantacao

A cibersegurança tornou-se o principal assunto de tecnologia da informação (TI) tanto no setor público quanto no privado. Hoje, o conceito é de interesse não só dos profissionais da área, mas, também, dos executivos.

As novas tecnologias que surgem para impulsionar os negócios, como a internet das coisas (Internet of Things — IoT), mais o fato de que a informação vale cada vez mais no mundo digital, fazem que a cibersegurança seja o centro da estratégia de TI, ao redor da qual os sistemas são projetados e implementados.

Embora a maioria das empresas já tenham tecnologias de ponta para prevenção de ataques — como firewall de nova geração, antivírus, sandboxing, firewall de aplicativo web (Web Application Firewall — WAF) e outras —, elas continuam sendo atacadas.

É necessário, portanto, que a segurança da informação seja separada em duas disciplinas distintas: a prevenção, baseada na borda e nas aplicações; e a investigação, em que qualquer suspeita é analisada e eventuais incidentes são detectados, investigados e resolvidos.

O processo de investigação de ataques cibernéticos tem diversas camadas de sensores para detectar possíveis ameaças que possam ter passado pelas soluções de segurança e prevenção. Cada um desses sensores produz um volume considerável de suspeitas que requerem análise e investigação.

Em razão da limitação de recursos e de tempo, várias empresas utilizam apenas alguns tipos de sensores e deixam vetores importantes sem monitoramento. Mesmo assim, só conseguem analisar uma pequena amostra dos incidentes, já que, até que sejam comprovados, esses ataques são meras suspeitas.

Para fechar o cerco aos ataques, é necessário, portanto, que as organizações adotem tecnologias que permitam o monitoramento de todos os vetores e que analisem todas as suspeitas produzidas por eles. Como fazer isso sem introduzir um alto grau de complexidade e com o apoio de um número realista de analistas capazes de conduzir as investigações? A resposta é a automação.

Neste post, falamos sobre a importância, os desafios e a implantação da automação em órgãos públicos e privados de forma a melhorar a segurança no ambiente digital. Confira!

Preocupações da Cibersegurança

A transformação digital oferece uma ampla gama de tecnologias inovadoras que otimizam processos em todos os âmbitos da sociedade e dos negócios. Entretanto, com os benefícios, vieram os riscos. Hoje, as ameaças cibernéticas estão entre as maiores preocupações dos setores público e privado.

São três tipos principais de ataques:

  • de fora para dentro (um invasor entra no sistema);
  • de dentro para fora (um malware é instalado na rede e abre caminho para invasores);
  • de dentro para dentro (o malware instalado causa danos ao sistema).

O problema é que os ataques sofisticados nem sempre são detectados pela camada de segurança de prevenção, composta pelo Firewall e seus acessórios — IPS, antivírus, Filtros de Web etc. Se não são detectados, consequentemente, não são bloqueados — e também não geram um Log sobre o ocorrido.

A única forma de detectar esses ataques persistentes é analisando e investigando tudo o que acontece na rede e nos endpoints, e assumindo que qualquer anomalia pode ser um ataque — só que isso consome demasiados recursos, tanto tecnológicos quanto humanos, para ser efetivo.

Em 2017, por exemplo, os sequestros de dados em ataques ransomware causaram prejuízos de mais de US$ 5 bilhões em todo o mundo. Por isso, a cibersegurança tem algumas preocupações: a implantação de uma infraestrutura de proteção eficiente; a conscientização quanto às melhores práticas e a melhoria contínua da estratégia, evoluindo a segurança de prevenção para um modelo dividido em duas disciplinas: a Prevenção e a Detecção e Resposta (D&R).

A automação das investigações de ataques, então, é uma aliada importante — mas que também apresenta desafios.

Desafios da Automação

A automação depende de um alinhamento fino para que os sistemas operem de forma orquestrada. Uma área de segurança que faz D&R precisa contar com sensores capazes de detectar suspeitas em todos os vetores usados pelos atacantes: a rede, os endpoints, os arquivos, as comunicações norte-sul (C&C, ou Comando & Controle) e as comunicações leste-oeste (movimentação lateral).

A prática mais comum tem sido adquirir cada sensor de um fabricante diferente, por conta de legados e da disponibilidade de mercado. Só que o custo e a complexidade para adquirir e integrar esses sensores têm tornado esse approach praticamente inviável, sem contar com a necessidade de capacitar a equipe do SOC para operar tantas plataformas distintas.

O analista precisa levantar dados de indicadores diferentes em cada plataforma e dar o passo seguinte por conta própria. Ou seja, a expertise humana, que custa tempo e dinheiro, acaba sendo indispensável.

No setor público, por outro lado, é mais comum encontrar soluções desenvolvidas internamente. Ainda assim, elas custam caro e requerem muito trabalho para adaptar novas funcionalidades e alinhar o funcionamento das soluções com novos antivírus, por exemplo. O desafio para automatizar e orquestrar essas soluções é ainda maior.

Cibersegurança e Automação

Para que se possam automatizar os processos de segurança da forma tradicional, é necessário uma adoção gradual de plataformas de automação e orquestração sobre os sistemas que serão integradas. Esse processo é, geralmente, demorado e extremamente custoso e, muitas vezes, requer retrabalho cada vez que o fabricante de uma das soluções do conjunto lançar uma nova versão de seu produto.

Segundo Gartner a automação e orquestração da segurança são peças fundamentais para um SOC moderno. Mas como adotar essa tecnologia de forma ideal?

Aplicações

A implementação de um centro de segurança de operações (Security Operations Center — SOC) pode ser um bom começo. Assim como um centro de operações de rede (Network Operations Center — NOC) cuida da rede como um todo, o SOC é o núcleo responsável pela cibersegurança. Com uma equipe dedicada e soluções profissionais de proteção, o SOC garante que as ferramentas de prevenção façam o seu trabalho, bloqueando todos os ataques e ameaças possíveis.

Mas o SOC tem uma segunda função, tão importante como a prevenção: a análise de indicadores de comprometimento e investigação de possíveis ataques que possam ter passado pelas ferramentas de perímetro sem serem detectados — e, então, responder a esses ataques.

Para esse fim, devem contar com ferramentas forenses, motores de análise de arquivos e de comunicações, e devem ter pessoal altamente capaz para entender as nuances desses tipos de ataques sofisticados, para que a eficiência e agilidade na resposta garantam que os ataques não chegarão a produzir danos, mesmo depois de já terem entrado na rede e comprometido algum sistema ou endpoint.

Só que o custo das diferentes camadas tecnológicas e da contratação e capacitação de uma equipe para investigar incidentes faz com que a maioria das empresas trate apenas uma pequena amostra das suspeitas — e essa amostra, muitas vezes, é baseada apenas em uma parte dos vetores usados por possíveis ataques. Somente a automação pode fazer com que a totalidade dos indicadores seja efetivamente observadas e as suspeitas encontradas por essa análise sejam efetivamente investigadas.

Novas ferramentas com esse objetivo têm surgido no mercado para lidar com sistemas de diferentes fornecedores e integrar seu funcionamento. Quando se utiliza IA, são coletados os dados de indicadores nas diferentes plataformas para que a investigação seja feita pela equipe em cada pilar (análise forense de redes e de endpoints, análise de arquivos e de comunicações, e assim por diante).

Com um grande volume de informações analisadas de forma automática, é possível responder mais rápido a todas as ameaças, sem ter que contar com a sorte para detectar ataques, principalmente, aqueles baseados em Dia Zero. Assim, os problemas não só são identificados, como detalhados com precisão, e o trabalho da equipe de cibersegurança fica mais eficiente.

Implantação da Automação das Ciberinvestigações

Para passar da teoria à prática, há dois caminhos: o primeiro, baseado em ferramentas de Security Orchestration Automation and Response (SOAR), que aproveita os sensores e motores de análise que o cliente já tem — mas, em contrapartida, aumenta a complexidade do SOC, requer mais conhecimento específico em cada plataforma por parte dos analistas e exige que o cliente tenha que lidar com listas de preços e modelos de licenciamento de, pelo menos, meia dúzia de diferentes fabricantes para compor a solução.

O segundo caminho é a adoção de plataformas unificadas de investigação de incidentes cibernéticos, nas quais um só fabricante entrega todos os componentes da solução integrados de fábrica e baseados em Machine Learning para maximizar a eficiência, como:

  • sensores;
  • motores de análise;
  • motores de orquestração e automação;
  • plataforma forense;
  • framework de gestão de incidentes.

A Suntech oferece ao mercado o Threat Protection System (TPS) que atua como um SOC completo em que a automação e orquestração assumem o papel central, utilizando seus sensores proprietários e patenteados para encontrar indicadores de comprometimento, analisá-los, produzir suspeitas de incidentes, e por meio de seu poderoso cérebro, eliminar os falsos positivos e focar-se nos incidentes reais, por grau de relevância, permitindo uma resposta rápida e precisa, antes que os ataques possam produzir qualquer dano.

Ficou interessado em saber mais sobre o TPS? Entre em contato conosco e fale com um dos nossos especialistas!

Por Fernando Fontão


As opiniões e conteúdos expressos neste blog são responsabilidade exclusiva de seus respectivos autores. O conteúdo é fornecido apenas para fins informativos e não representa a opinião da Suntech S.A./Verint.


Fique por dentro!

Receba informações exclusivas e aprofunde seu conhecimento.




Sociais