As pistas em uma batalha cibernética

0

Todo mundo deixa pistas sobre sua vida: roupas, acessórios, objetos pessoais, recibos entre muitas outras. Um bom detetive sabe que a soma destes dados fala muito sobre uma pessoa. No mundo cibernético acontece a mesma coisa. Os equipamentos são preparados de forma a deixar rastros de eventos que aconteceram com eles por um longo período de tempo. Logo, é possível usá-los para investigações.

Com a grande quantidade de bytes que trafegam nas redes de computadores e servidores, torna-se cada vez mais difícil detectar abusos não óbvios. É necessário ter conhecimento e ferramentas para saber como gerar informações a partir destes dados que façam sentido e permitam detectar ameaças. Se pensarmos em automação, cada sistema gera registro de eventos de uma forma diferente e pode ser muito trabalhoso programar a leitura dessas diversas fontes possíveis. Felizmente, temos ferramentas prontas para isso, chamadas de SIEM.

No software do tipo SIEM programa-se a coleta de eventos (potenciais pistas) e cadastram-se regras sobre comportamentos específicos, o que ajudará a avaliar um desvio ou anomalia como, por exemplo: invasões, transmissões indevidas de dados, acessos não permitidos e outros cenários mais complexos. As ferramentas deste tipo costumam vir com algumas regras simples e é preciso especialistas em cibersegurança, com experiência em avaliação de ameaças, para manter atualizadas heurísticas que ajudarão na detecção de problemas.

Mas, e quanto aos casos em que ainda não se conhece o problema? É possível detectá-los com alguma automação? A resposta é sim, com supervisão humana. Note que o SIEM pode ser um passo em busca de algo ainda maior. Com a coleta de eventos, um "ciberdetetive" pode criar um local central para os dados (datawarehouse) e aplicar técnicas (Business Intelligence) que o auxiliarão a obter insights ligados à cibersegurança.

Ao contrário dos detetives de filmes que normalmente trabalham sozinhos, os especialistas de cibersegurança que atuam com este tipo de pesquisa, graças à internet, podem compartilhar informações com o mundo, aumentando assim as chances de detecções de ameaças antes que elas se tornem realidade. Dessa forma, mesmo que em uma ciberbatalha tenham sucesso no ataque à um alvo, pode-se prevenir em outros. Isso tudo faz parte de um conceito atual chamado de Cyber Threat Intelligence (CTI).

A CTI diminui a chance de sucesso dos ofensores e traz como benefícios:

  • Contextualização e relevância para uma enorme quantidade de dados
  • Tornar as organizações proativas em cibersegurança
  • Facilitar a predição de eventos futuros
  • Auxiliar nas tomadas de decisões sobre segurança da informação

O que mais impressiona no Cyber Threat Intelligence é o poder de ajudar as pessoas e organizações a vencerem ciberameaças. Há muita coisa acontecendo nos servidores e redes do mundo inteiro que nem fazemos ideia. Com o CTI, adotando os conceitos de aprender, evoluir e contribuir, chegamos a um novo patamar, agora global, de segurança da informação.

André Duarte, coordenador de Operações do Arcon Labs.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.