Autor: Steve Hunt

Por anos a maioria das organizações têm demonstrado dificuldades com a organização e priorização de alertas de segurança gerados por inúmeros sistemas isolados. A proposição de valor das ferramentas SIEM (Gerenciamento e Correlação de Eventos de Segurança) foi concebida em termos de correlação e priorização, entretanto, a solução foi melhor sucedida ao que se refere a conformidades sem considerar o problema de ameaças avançadas persistentes.

blog ameaça

Dicas para diminuir o tempo de uma resposta eficaz:

1. Reconhecer um ataque em andamento:
Encontrar evidências de um ataque, muitas vezes um que já tenha penetrado o perímetro, é difícil quando os poucos pontos de dados disponíveis estão enterrados em registros SIEM. A única forma de extrair e reconhecer estes fragmentos é acrescentando o contexto de ameaça. Contexto que deve ser derivado de um mecanismo de inteligência de ameaça global que automatiza a descoberta de IPs, URLs e ICs chave (Indicadores de Comprometimento) maliciosos e enviados no formato de arquivos executáveis e trechos de código.

2. Alimentar as ferramentas adequadas para deter o avanço de um ataque:
Elevar o alerta ao topo da lista para que o analista possa reagir já não é suficiente. A evidência de um ataque provindo de uma fonte conhecida, que pode já ter sido associado com ataques direcionados contra o segmento da sua indústria, precisa de respostas imediatas. A comunicação com o servidor do Centro de Comando e Controle deve ser bloqueada antes que a próxima fase de um ataque possa começar e ações divergentes em direção à meta final devem ser interrompidas. Alertas de ataques reais precisam ser tratados por soluções automatizadas que tomam medidas imediatas. Esta abordagem de “disparar primeiro, analisar depois” pode ser uma mudança assustadora para muitas organizações, mas é muito melhor que os analistas apresentem relatórios de como ataques foram impedidos do que como violações de segurança foram bem sucedidas.

3. Construir uma série de controles adaptativos que, em essência, fortaleçam a empresa para um ataque permanente da mesma forma que o sistema imunológico reage a um ataque biológico. A maioria das organizações instituem fortes processos de controle de mudanças para lidar com a questão de erros acidentais de configuração e o crescimento de políticas de firewall e ACLs (Lista de Controle de Acesso) não documentados. Embora isso seja um problema sério, os processos congelados de controle de mudanças interferem com a resiliência das defesas da empresa. Controles ativos de segurança têm de ser ligados ao contexto de riscos impulsionado pelo sistema de detecção para reagir contra ameaças persistentes.

Ter o conhecimento prévio de ferramentas utilizadas pelos autores das ameaças, metodologias, até mesmo motivações, contextualiza soluções de alertas e respostas de segurança. Este contexto de riscos abre o caminho para o desenvolvimento de uma infraestrutura de segurança de rede autoimune.

 Fonte: Modulo Security