Um novo relatório da Intel Security, denominado Detecção de Ataque de Derrubada e Resposta a Incidentes, realizado pelo Enterprise Strategy Group (ESG), examina as estratégias de segurança das organizações, analisando o ambiente de ciberataque, os desafios e necessidades da resposta a incidentes. O estudo entrevistou 700 profissionais de TI e de segurança em organizações de médio e grande porte em diversos países, incluindo o Brasil, e mostrou que os profissionais de segurança realizaram, em média, 78 investigações de incidentes de segurança por organização no ano passado – sendo que 28% desses incidentes envolveram ataques direcionados, uma das formas mais perigosas e potencialmente prejudiciais de ciberataques.
De acordo com os profissionais de TI e de segurança entrevistados, melhores ferramentas de detecção e ferramentas de análise e mais treinamento sobre como lidar com problemas de resposta a incidentes são as melhores práticas e maneiras de aprimorar a eficiência e a eficácia da equipe de segurança.
"Quando se fala em detecção e resposta a incidentes, o tempo possui uma correlação de risco com danos em potencial," afirma Jon Oltsik, analista sênior na ESG. "Quanto mais tempo uma organização demorar a identificar, investigar e responder a um ciberataque, mais provável será que suas ações não serão suficientes para impedir uma violação onerosa de dados críticos. Com isso em mente, os profissionais de segurança da informação devem se lembrar de que a coleta e o processamento de dados de um ataque é um meio para a ação de aprimorar a eficiência e eficácia na detecção e resposta a ameaças."
Integração
Quase 80% dos entrevistados acreditam que a falta de integração e comunicação entre as ferramentas de segurança criam afunilamentos e interferem em sua capacidade de detectar e responder a ameaças de segurança. Trinta e sete por cento (37 %) exigiram uma integração mais acirrada entre a inteligência da segurança e as ferramentas de operações de TI, pois acreditam que tempo real e visibilidade ampla são especialmente importantes para uma resposta rápida para ataques direcionados.
O estudo mostra também que as tarefas que mais consomem tempo envolvem o escopo e a tomada de ação para minimizar o impacto de um ataque, atividades que podem ser aceleradas pela integração de ferramentas. Essas respostas sugerem que as arquiteturas de retalhos mais comuns de dezenas de produtos de segurança individual criaram inúmeros silos de ferramentas, consoles, processos e relatórios que provaram ser muito demorados para uso. Essas arquiteturas estão criando volumes cada vez maiores de dados de ataque que suprimem os indicadores de ataque realmente relevantes.
Os profissionais entrevistados alegaram que a visibilidade da segurança em tempo real sofre pelo entendimento limitado do comportamento do usuário, da rede, do aplicativo e do comportamento do host. Enquanto os quatro principais tipos de dados coletados estão relacionados à rede e 30% apenas coletam dados de atividade de usuário, é claro que a captura de dados não é suficiente. Os usuários precisam de mais ajuda para contextualizar os dados para entender qual comportamento é preocupante. Essa lacuna pode explicar por que 47% das organizações afirma que determinar o impacto ou escopo de um incidente de segurança é, particularmente, demorado.
Análise
Os usuários entendem que eles precisam de ajuda para evoluir de simplesmente coletar volumes de eventos de segurança e dados de inteligência para ter percepção dos dados de forma mais efetiva e usando-os para detectar e avaliar os incidentes. Cinquenta e oito por cento (58%) dos entrevistados afirmam que precisam de melhores ferramentas de detecção, (como ferramentas de análise estática e dinâmica, com inteligência baseada em nuvem para analisar os arquivos); 53% afirmam que precisam de melhores ferramentas de análise para transformar dados de segurança em inteligência acionável. Um terço (33%) diz que exigiu ferramentas melhores para que as equipes possam detectar as variações com maior rapidez.
As pessoas que participaram da pesquisa admitiram ter falta de conhecimento do cenário de ameaças e de habilidades de investigação de segurança, sugerindo que uma visibilidade melhor por meio de integração técnica ou habilidades analíticas seria inadequada se as equipes de resposta a incidentes não tiverem ideia das informações que elas veem. Por exemplo, apenas 45% dos entrevistados se considera muito bem informado sobre as técnicas de ofuscação de malwares e 40% querem mais treinamento para aprimorar o conhecimento e as habilidades para cibersegurança.
O volume de investigações, recursos e habilidades limitadas contribuíram para um forte desejo entre os entrevistados por ajuda na detecção e resposta a incidentes. Para 42% dos entrevistados a tomada de ação para minimizar o impacto de um ataque foi uma das tarefas mais demoradas; enquanto 27% prefeririam uma melhor análise automatizada das ferramentas de inteligência de segurança para acelerar a abrangência em tempo real; e 15% preferem a automação de processos para liberar a equipe para tarefas mais importantes.
"Assim como a profissão médica deve levar os pacientes de ataque cardíaco para o hospital dentro da 'hora de ouro' para maximizar a probabilidade de sobrevivência, a indústria de segurança deve trabalhar em função da redução do tempo necessário para que as organizações detectem e se desviem do ataque, antes que o dano seja infligido," afirma Chris Young, Gerente Geral da Intel Security. "Isso requer fazer perguntas e respostas difíceis sobre o que está falhando e evoluir nosso pensamento sobre como fazemos a segurança."
Os principais resultados da pesquisa no Brasil:
- Segundo os entrevistados brasileiros as empresas tiveram, em média, 37 investigações de segurança em 2014.
- 49% dos entrevistados disseram que a maioria das investigações foi realizada devido a ataques de malwares genéricos (worms e vírus que atacam indiscriminadamente). Apenas 29% dos ataques foram associados a ataques direcionados.
- 84% dos entrevistados dizem ter alguma ou muita dificuldade com a detecção e a resposta a incidentes devido à falta de integração e comunicação entre as suas tecnologias de segurança.
- Os profissionais brasileiros acreditam que os ataques são bem sucedidos devido principalmente a falta de conhecimento do usuário sobre os riscos de segurança cibernética (46%); pelas sofisticadas táticas de engenharia social (32%); pelo uso de serviços pessoais via web pelos usuários (30%) e pelas políticas de uso de dispositivos pessoais no ambiente de trabalho (30%).
- Em média, uma equipe de segurança demora 6 dias entre a descoberta e a remediação de um ataque direcionado avançado. Em caso de ataque as empresas brasileiras demoram, em média, 26 horas para identificar um vetor de ataque e fornecer algum nível de garantia de que ele não volte a ocorrer; 17 horas para a recuperação dos serviços; e 14 horas para estabelecer a causa raiz do ataque e realizar ações a fim de minimizar danos para a rede.
- Sobre os inibidores para a segurança em tempo real nas organizações, 43% disseram que precisam de melhor compreensão sobre comportamento do usuário; 40% precisam de integração mais estreita entre a inteligência de segurança de TI e as ferramentas operacionais; e 39% disseram que precisam de melhor compreensão do comportamento da rede.
- Apenas 25% acham que os processos de análise de defesa aplicados nas empresas em que trabalham são muito efetivos.
O ESG acredita que há uma história oculta por dentro desta pesquisa a qual aponta para melhores práticas e lições aprendidas. Esses dados sugerem fortemente que os profissionais de segurança da informação:
- Criem uma arquitetura de tecnologia de segurança de empresas firmemente integrada: Os profissionais de segurança da informação devem substituir as ferramentas de ponto de segurança individual por uma arquitetura de segurança integrada. Esta estratégia funciona para aprimorar o compartilhamento das informações de ataque e a visibilidade entre empresas em comportamento de usuário, de endpoint e de rede, sem mencionar respostas mais efetivas e coordenadas.
- Ancorem sua estratégia de cibersegurança à análise sólida, movendo de volume para valor: As estratégias de cibersegurança devem ser baseadas em análises de segurança sólidas. Isso significa coletar, processar e analisar quantidades maciças de dados internos (logs, fluxos, pacotes, perícia de endpoint, análise estática/ dinâmica de malware, inteligência organizacional (comportamento do usuário, comportamento empresarial, etc.)) e externos (inteligência da ameaça, notificações de vulnerabilidade, etc.).
- Automatizem a detecção e a resposta a incidentes sempre que possível: Os profissionais de segurança da informação devem se empenhar para obter mais automação, como análise de malware avançada, algoritmos de inteligência, aprendizagem de máquinas e o consumo de inteligência de ameaças para comparar o comportamento interno com os incidentes de comprometimento (IoCs), além de táticas, técnicas e procedimentos (TTPs) usados pelos adversários cibernéticos.
- Comprometam-se ao aprendizado contínuo de cibersegurança: Os profissionais da segurança da informação devem exigir a formação em cibernética permanente para suas equipes de segurança, incluindo uma série anual de cursos que fornecem aos profissionais individuais aprofundamento no conhecimento de ameaças e melhores práticas para resposta a incidentes mais eficientes e eficazes.
Metodologia da Pesquisa
A Intel Security entrevistou 700 profissionais de TI e de segurança em organizações de médio porte (entre 500 e 999 funcionários) e grande porte (mais de 1.000 funcionários) localizadas na Ásia, América do Norte, América do Sul, Europa, Oriente Médio e África. Os entrevistados vieram de vários setores, principalmente da área de tecnologia da informação (19%), indústria (13%), e serviços financeiros (9%).
No Brasil, foram entrevistados 100 profissionais, sendo 23% de empresas de médio porte (500 a 999 funcionários), 35% de grande porte (1000 a 4999 funcionários) e 42% de empresas com mais de 5 mil funcionários. Os entrevistados atuam nos setores de tecnologia (20%), governo (17%), educação (9%), varejo (9%), finanças (9%), transporte (8%), indústria (8%), saúde (4%) e outros.
