Não é novidade para ninguém que vivemos em um mundo no qual a quantidade de dados é assombrosa. Essa realidade de volumes gigantescos de dados pode ser observada em diversos aspectos no mundo corporativo, inclusive no âmbito da ciber segurança. Redes e sistemas cada vez mais complexos geram milhões de logs e alertas a cada segundo, fazendo com que a tarefa de extrair informações relevantes para a detecção e resposta de tentativas de intrusão seja um desafio cada vez mais complexo.
Felizmente, com o avanço na tecnologia de Análise de Dados (ou Data Analytics) tem-se uma ferramenta poderosa para apoiar esta tarefa. Apenas algoritmos, métodos e ferramentas desenvolvidos para processar milhões de informações em milissegundos podem ajudar as equipes de segurança a estar sempre um passo à frente dos ciber criminosos.
Abaixo apresentamos sete casos de uso concretos onde a Análise de Dados pode tornar a segurança mais inteligente:
1) Análise de redes sociais: as ferramentas de Analytics vêm sendo usadas por departamentos de marketing e unidades de negócio para avaliar o comportamento e a experiência que consumidores compartilham em redes sociais. A mesma tecnologia pode ser usada para monitorar diferentes redes sociais por atividades criminosas, por exemplo, ofertas de venda de cartões de crédito falsos, senhas de acesso e outras informações obtidas ilegalmente, bem como vazamento de informações via funcionários descuidados ou mal-intencionados. É comum também criminosos inexperientes usarem as redes para vangloriar-se dos seus feitos. Pois bem, equipes de segurança podem contar com soluções que efetuam monitoração por palavras-chave em regime 24×7 e em diferentes idiomas, e serem notificadas quando tais mensagens forem compartilhadas. Informações sobre o perfil, horário e localização do usuário que postou a informação podem ajudar na identificação e punição do criminoso.
2) Análise da rede da empresa: atualmente, grandes organizações costumam utilizar sistemas de monitoração e correlação de eventos (incluindo SIEM – Security Information & Event Management). Tais sistemas, imprescindíveis, ajudam a detecção de ataques ao coletar e normalizar dados de logs e alertas de diferentes plataformas tais como firewalls, IPS, roteadores, servidores etc – e correlacionam estes eventos para reduzir falsos positivos e melhorar a efetividade da detecção de ataques. Acrescentar uma camada adicional de Inteligência de Dados a um sistema destes é prática recomendada atualmente por especialistas. Afinal de contas, o SIEM depende da capacidade das plataformas monitoradas conhecerem a assinatura do ataque que se executa. A Inteligência de Dados pode aprender qual o comportamento normal da rede e identificar anormalidades quando surjam, permitindo assim a identificação de ameaças ainda não conhecidas ou sofisticadas (como Ameaças Avançadas Persistentes).
3) Aperfeiçoar a segurança e o desempenho da rede: o uso das mesmas ferramentas de análise de tráfego na rede permite à empresa ter visibilidade sobre quais são os seus padrões de tráfego “normais”, conhecendo o tráfego normal entre diferentes sistemas de aplicações e infraestrutura. Com isso, pode-se criar modelos para aperfeiçoamento da arquitetura da rede visando melhoria de desempenho ou segurança. Um exemplo deste tipo de utilização é modelar as comunidades de usuários e sistemas para posteriormente implementar a microssegmentação na rede (reduzindo a superfície de ataque e adotando um modelo de RSOT, Reduced Scope of Trust).
4) Identificar Shadow IT: a identificação de sistemas de TI não conhecidos pelo departamento de tecnologia, mas utilizados pelos usuários (Shadow IT) é uma das principais dores de cabeça para gestores de TI e administradores de segurança. Como gerenciar, otimizar custos e assegurar a segurança de dados que estão em sistemas que sequer são conhecidos pela TI e pela segurança? A monitoração do tráfego da rede ou seus pontos de entrada e saída na internet podem favorecer a identificação de acessos costumeiros a sites e serviços de computação em nuvem fora das premissas da empresa, auxiliando no mapeamento dos recursos de Shadow IT.
5) Identificar vulnerabilidades: é comum a utilização de ferramentas de varredura de vulnerabilidades para identificar equipamentos e sistemas não atualizados ou mal configurados, o que caracteriza tipicamente uma vulnerabilidade que pode vir a ser explorada por diversos tipos diferentes de ameaças. Isso é fundamental. Mas imagine adicionar um monitoramento do tráfego de rede em busca de comportamentos anormais que se caracterizam como vulnerabilidades? Um exemplo, a identificação de comportamentos e acessos que indicam quebra de políticas de segurança no uso de sistemas e informações da empresa.
6) Assegurar conformidade: de forma similar, a monitoração do tráfego que passa na rede pode indicar falhas de conformidade por não observância de políticas, falhas de desenho ou deficiência de controles. Um exemplo é a certificação PCI/DSS, a qual visa proteger dados de cartão de crédito do portador, tema comum em empresas com venda de serviços e produtos via cartão de crédito das principais bandeiras internacionais e em instituições financeiras. Empresas certificadas PCI/DSS normalmente têm um escopo segmentado de certificação, o qual isola os sistemas que manipulam os dados de cartão dos demais. A inteligência de segurança pode monitorar continuamente pela presença de dados de cartão fora deste ambiente, e gerar alertas para adequação do escopo de certificação antes que a mesma seja perdida ou que algo pior ocorra (como o roubo destes dados ou uma fraude).
7) Proteção de propriedade intelectual: Soluções para prevenção de perda de dados na rede (Data Loss Prevention for Network) monitoram o tráfego de rede em pontos estratégicos, como a saída para a Internet ou próximo a servidores de correio eletrônico, para identificar a saída de dados sensíveis para fora do perímetro da rede corporativa. Uma solução de Inteligência de Segurança pode desempenhar igualmente este papel, na medida em que seus modelos de análise e monitoração por comportamentos ou palavras-chave permitam identificar ameaças relativas à perda de informação sensível da empresa.
Com certeza a lista acima de Casos de Uso de Analytics para o mundo da ciber segurança não é exaustiva, tampouco seu potencial para novas soluções. De qualquer forma, a lista indica casos práticos que podem ser implementados com rapidez e produzir resultados imediatos. Em um cenário de ameaças crescentes, redes cada vez mais complexas e volume de dados crescendo exponencialmente, contar com a colaboração de Cientistas de Dados para responder aos desafios de segurança não é um luxo. É uma necessidade para definitivamente colocar-se à frente dos cibercriminosos.
Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.