Como sua organização pode evitar violações de dados

By
Eyal Arazi
-
0
427

This post is also available in: Inglês Francês Alemão Italiano Espanhol Russo

Vamos começar com a verdade não óbvia: o problema de impedir violações de dados não tem a ver com a detecção. Os sistemas de segurança modernos detectam muita coisa. Eles detectam muito mesmo. De acordo com um estudo da empresa de segurança de TI Bricata, o Centro de Operações de Segurança (Security Operations Center, SOC) médio recebe mais de 10.000 alertas por dia de uma série de produtos de monitoramento e detecção. Portanto, obviamente, a falta de detecção suficiente não é o problema.

O fato é que o problema reside em outro lugar – não é detecção; é correlação.

A detecção é fácil, mas e depois?

A detecção, em sua forma mais simples, é um alerta. Um usuário executa uma atividade e um log é gerado. Os modernos sistemas de segurança na nuvem são desenvolvidos para detectar. Um SOC médio pode gerar entre 5.000 e 40.000 alertas por dia (ainda mais para grandes redes).

O problema com a detecção, no entanto, é que analisar cada alerta não diz quase nada. Quase todos os logs podem ser legítimos ou ilegítimos, dependendo do contexto em que são criados.

Considere as atividades a seguir. Analisando cada uma, você saberia dizer qual delas é uma atividade legítima?

  • Um administrador do sistema fazendo login de um local incomum. É porque ele está trabalhando em algo urgente durante suas férias ou porque os hackers roubaram suas credenciais do Leste Europeu?
  • Um usuário está acessando a rede fora do horário comercial. É porque ele teve uma emergência no trabalho ou os hackers estão tentando passar despercebidos?
  • Um engenheiro de DevOps invocando pela primeira vez uma chamada de API que nunca usou antes. Ele está lançando uma nova versão do produto ou é um hacker tentando uma expansão lateral em sua rede?
  • Um administrador de banco de dados está acessando um bucket de armazenamento baseado em nuvem e exportando todos os dados dele. Isso faz parte do trabalho dele ou alguém roubou todo o seu banco de dados de usuários?

O fato é que, olhar para um único alerta – por si só – não revela a intenção por trás dele.

[Você também pode se interessar por: Defesa contra vulnerabilidades na nuvem – É tarde demais?]

Os invasores passam despercebidos

Em nossa própria experiência de análise de violações de dados aprendemos que, na maioria dos casos, as atividades mal-intencionadas foram de fato identificadas a tempo, mas passaram despercebidas.

Por que isso acontece:

  • Sobrecarga de logs: os gerentes de segurança são inundados com tantos alertas que não têm tempo para analisar muitos deles. Consequentemente, eventos importantes se perdem em meio à confusão.
  • Alertas de baixo risco: muitas atividades que constituem uma violação de dados não são de alto risco nem de alto impacto, mas ações triviais com baixo risco atribuído a elas. Assim, elas costumam ser negligenciadas.
  • Falta de contexto: analisar cada atividade independentemente de outras atividades não revela sua intenção.
  • Estendem-se ao longo do tempo: os incidentes de violação de dados podem levar semanas e – às vezes – meses para se desenrolarem. Os logs chegam em um alto volume diariamente, tornando impossível lembrar outro alerta que ocorreu há várias semanas e associar atividades individuais.

Como resultado dessas realidades do gerenciamento de segurança diário, qualquer meio de analisar alertas manualmente e colocá-los em contexto para identificar atividades mal-intencionadas está fadado ao fracasso.

Une image contenant texte, rideau, corbeille Description générée automatiquement

A detecção é importante, mas a correlação é crucial

O segredo, portanto, não está em mais detecção, mas sim na correlação.

Correlação é o processo de pegar eventos independentes, aparentemente não relacionados, e correlacioná-los em superfícies de ameaças, recursos e prazos.

Pense na lista de exemplos de atividades que listamos acima.  Por si só, cada evento não fazia sentido; não podíamos discernir a intenção por trás dele.

Mas considere a seguinte cadeia de eventos:

  1. Um usuário se conecta de um local remoto em um horário incomum, fora do horário comercial.
  2. Poucos dias depois, o mesmo usuário invoca pela primeira vez uma chamada de API para listar todos os privilégios do usuário.
  3. Ao longo de algumas semanas, o usuário faz uma série de conexões com vários buckets de armazenamento que contêm informações confidenciais.
  4. O usuário baixa dados de um bucket de armazenamento para um local fora da rede.

Analisar esses eventos em uma cadeia vinculada de eventos é diferente de apenas analisar cada evento individualmente. É por isso que a correlação é tão importante. Ela permite que você identifique uma violação de dados em sua totalidade, não apenas os eventos individuais que fazem parte dela.

A correlação é um componente crucial da cibersegurança e pode fazer a diferença entre deter uma violação a tempo ou ler sobre ela nas notícias.

[Gostou desta publicação? Inscreva-se agora para receber o conteúdo mais recente da Radware na sua caixa de entrada toda semana, além de acesso exclusivo ao conteúdo Premium da Radware.]

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here