A Intel Security divulga novo relatório, o Detecção de Ataque de Derrubada e Resposta a Incidentes, realizado pelo Enterprise Strategy Group (ESG). Ele examina as estratégias de segurança das organizações, analisando os desafios e as necessidades da resposta a ciberataques.
O estudo entrevistou 700 profissionais de TI e de segurança em organizações de variados setores, de médio e grande portes, da Ásia, América do Norte, América do Sul [incluindo o Brasil], Europa, Oriente Médio e África. Ele revelou que os profissionais de segurança realizaram, em média, 78 investigações de incidentes de segurança por organização no ano passado – sendo que 28% desses incidentes envolveram ataques direcionados, uma das formas mais perigosas e potencialmente prejudiciais de ciberataques.
No Brasil, foram entrevistados cem profissionais, sendo 23% de empresas de médio porte (500 a 999 funcionários), 35% de grande porte (1000 a 4999 funcionários) e 42% de empresas com mais de 5 mil funcionários. Os entrevistados atuam nos setores de tecnologia (20%), governo (17%), educação (9%), varejo (9%), finanças (9%), transporte (8%), indústria (8%), saúde (4%) e outros.
De acordo com os profissionais de TI e de segurança entrevistados, melhores ferramentas de detecção e de análise e mais treinamento sobre como lidar com problemas de resposta a incidentes são as melhores práticas e maneiras de aprimorar a eficiência e a eficácia da equipe de segurança.
“Quando se fala em detecção e resposta a incidentes, o tempo possui uma correlação de risco com danos em potencial”, afirma Jon Oltsik, analista sênior no ESG. “Quanto mais tempo uma organização demorar a identificar, investigar e responder a um ciberataque, mais provável será que suas ações não serão suficientes para impedir uma violação onerosa de dados críticos”, acrescenta e ressalta que com isso em mente, os profissionais de segurança da informação devem se lembrar de que a coleta e o processamento de dados de um ataque são um meio para a ação de aprimorar a eficiência e eficácia na detecção e resposta a ameaças.
Melhor integração
Quase 80% dos entrevistados acreditam que a falta de integração e de comunicação entre as ferramentas de segurança cria afunilamentos e interfere em sua capacidade de detectar e responder a ameaças de segurança. Trinta e sete por cento (37 %) exigiram uma integração mais acirrada entre a inteligência da segurança e as ferramentas de operações de TI, pois acreditam que tempo real e visibilidade ampla são especialmente importantes para uma resposta rápida para ataques direcionados.
O estudo mostra também que as tarefas que mais consomem tempo envolvem o escopo e a tomada de ação para minimizar o impacto de um ataque, atividades que podem ser aceleradas pela integração de ferramentas. Essas respostas sugerem que as arquiteturas de retalhos mais comuns de dezenas de produtos de segurança individual criaram inúmeros silos de ferramentas, consoles, processos e relatórios que provaram ser muito demorados para uso. Essas arquiteturas estão criando volumes cada vez maiores de dados de ataque que suprimem os indicadores de ataque realmente relevantes.
Maior abrangência
Os profissionais entrevistados alegaram que a visibilidade da segurança em tempo real sofre pelo entendimento limitado do comportamento do usuário, da rede, do aplicativo e do comportamento do host. Enquanto os quatro principais tipos de dados coletados estão relacionados à rede e 30% apenas coletam dados de atividade de usuário, é claro que a captura de dados não é suficiente.
Os usuários precisam de mais ajuda para contextualizar os dados para entender qual comportamento é preocupante. Essa lacuna pode explicar por que 47% das organizações afirma que determinar o impacto ou escopo de um incidente de segurança é, particularmente, demorado.
Melhor análise
Os usuários entendem que eles precisam de ajuda para evoluir de simplesmente coletar volumes de eventos de segurança e dados de inteligência para ter percepção dos dados de forma mais efetiva e usando-os para detectar e avaliar os incidentes. Cinquenta e oito por cento (58%) dos entrevistados afirmam que precisam de melhores ferramentas de detecção, (como ferramentas de análise estática e dinâmica, com inteligência baseada em nuvem para analisar os arquivos); 53% afirmam que precisam de melhores ferramentas de análise para transformar dados de segurança em inteligência acionável. Um terço (33%) diz que exigiu ferramentas melhores para que as equipes possam detectar as variações com maior rapidez.
Melhor expertise
As pessoas que participaram da pesquisa admitiram ter falta de conhecimento do cenário de ameaças e de habilidades de investigação de segurança, sugerindo que uma visibilidade melhor por meio de integração técnica ou habilidades analíticas seria inadequada se as equipes de resposta a incidentes não tiverem ideia das informações que elas veem.
Apenas 45% dos entrevistados se consideram muito bem informados sobre as técnicas de ofuscação de malwares e 40% querem mais treinamento para aprimorar o conhecimento e as habilidades para cibersegurança.
Automação para ação aprimorada
O volume de investigações, recursos e habilidades limitadas contribuiu para um forte desejo entre os entrevistados por ajuda na detecção e resposta a incidentes. Para 42% dos entrevistados a tomada de ação para minimizar o impacto de um ataque foi uma das tarefas mais demoradas; enquanto 27% prefeririam uma melhor análise automatizada das ferramentas de inteligência de segurança para acelerar a abrangência em tempo real; e 15% preferem a automação de processos para liberar a equipe para tarefas mais importantes.
“Assim como a profissão médica deve levar os pacientes de ataque cardíaco para o hospital na ‘hora de ouro’ para maximizar a probabilidade de sobrevivência, a indústria de segurança deve trabalhar em função da redução do tempo necessário para que as organizações detectem e se desviem do ataque, antes que o dano seja infligido,” afirma Chris Young, gerente geral da Intel Security. “Isso requer fazer perguntas e respostas difíceis sobre o que está falhando e evoluir nosso pensamento sobre como fazemos a segurança.”
Principais resultados da pesquisa no Brasil:
- As empresas tiveram, em média, 37 investigações de segurança em 2014.
- 49% dos entrevistados disseram que a maioria das investigações foi realizada devido a ataques de malwares genéricos (worms e vírus que atacam indiscriminadamente). Apenas 29% dos ataques foram associados a ataques direcionados.
- 84% dos entrevistados dizem ter alguma ou muita dificuldade com a detecção e a resposta a incidentes devido à falta de integração e comunicação entre as suas tecnologias de segurança.
- Profissionais brasileiros acreditam que os ataques são bem-sucedidos devido principalmente a falta de conhecimento do usuário sobre os riscos de segurança cibernética (46%); pelas sofisticadas táticas de engenharia social (32%); pelo uso de serviços pessoais via web pelos usuários (30%) e pelas políticas de uso de dispositivos pessoais no ambiente de trabalho (30%).
- Em média, uma equipe de segurança demora seis dias entre a descoberta e a remediação de um ataque direcionado avançado. Em caso de ataque, as empresas brasileiras demoram, em média, 26 horas para identificar um vetor de ataque e fornecer algum nível de garantia de que ele não volte a ocorrer; 17 horas para a recuperação dos serviços; e 14 horas para estabelecer a causa raiz do ataque e realizar ações a fim de minimizar danos para a rede.
- Sobre os inibidores para a segurança em tempo real nas organizações, 43% disseram que precisam de melhor compreensão sobre comportamento do usuário; 40% precisam de integração mais estreita entre a inteligência de segurança de TI e as ferramentas operacionais; e 39% disseram que precisam de melhor compreensão do comportamento da rede.
- Apenas 25% acham que os processos de análise de defesa aplicados nas empresas em que trabalham são muito efetivos.
Quatro dicas do ESG para profissionais de segurança da informação:
- Criar uma arquitetura de tecnologia de segurança de empresas firmemente integrada. Os profissionais de segurança da informação devem substituir as ferramentas de ponto de segurança individual por uma arquitetura de segurança integrada. Essa estratégia funciona para aprimorar o compartilhamento das informações de ataque e a visibilidade entre empresas em comportamento de usuário, de endpoint e de rede, sem mencionar respostas mais efetivas e coordenadas.
- Ancorar sua estratégia de cibersegurança à análise sólida, movendo de volume para valor. As estratégias de cibersegurança devem ser baseadas em análises de segurança sólidas. Isso significa coletar, processar e analisar quantidades maciças de dados internos (logs, fluxos, pacotes, perícia de endpoint, análise estática/ dinâmica de malware, inteligência organizacional (comportamento do usuário, comportamento empresarial etc.)) e externos (inteligência da ameaça, notificações de vulnerabilidade etc.).
- Automatizar a detecção e a resposta a incidentes sempre que possível. Os profissionais de segurança da informação devem se empenhar para obter mais automação, como análise de malware avançada, algoritmos de inteligência, aprendizagem de máquinas e o consumo de inteligência de ameaças para comparar o comportamento interno com os incidentes de comprometimento (IoCs), além de táticas, técnicas e procedimentos (TTPs) usados pelos adversários cibernéticos.
- Aprendizado contínuo de cibersegurança. Os profissionais da segurança da informação devem exigir a formação em cibernética permanente para suas equipes de segurança, incluindo uma série anual de cursos que fornecem aos profissionais individuais aprofundamento no conhecimento de ameaças e melhores práticas para resposta a incidentes mais eficientes e eficazes.
Acesse os outros sites da VideoPress
Portal Vida Moderna – www.vidamoderna.com.br
Radar Nacional – www.radarnacional.com.br