7 casos de uso de Analytics para uma segurança mais inteligente

0

Não é novidade para ninguém que vivemos em um mundo no qual a quantidade de dados é assombrosa. Essa realidade de volumes gigantescos de dados pode ser observada em diversos aspectos no mundo corporativo, inclusive no âmbito da ciber segurança. Redes e sistemas cada vez mais complexos geram milhões de logs e alertas a cada segundo, fazendo com que a tarefa de extrair informações relevantes para a detecção e resposta de tentativas de intrusão seja um desafio cada vez mais complexo.

Felizmente, com o avanço na tecnologia de Análise de Dados (ou Data Analytics) tem-se uma ferramenta poderosa para apoiar esta tarefa. Apenas algoritmos, métodos e ferramentas desenvolvidos para processar milhões de informações em milissegundos podem ajudar as equipes de segurança a estar sempre um passo à frente dos ciber criminosos.

Abaixo apresentamos sete casos de uso concretos onde a Análise de Dados pode tornar a segurança mais inteligente:

1) Análise de redes sociais: as ferramentas de Analytics vêm sendo usadas por departamentos de marketing e unidades de negócio para avaliar o comportamento e a experiência que consumidores compartilham em redes sociais. A mesma tecnologia pode ser usada para monitorar diferentes redes sociais por atividades criminosas, por exemplo, ofertas de venda de cartões de crédito falsos, senhas de acesso e outras informações obtidas ilegalmente, bem como vazamento de informações via funcionários descuidados ou mal-intencionados. É comum também criminosos inexperientes usarem as redes para vangloriar-se dos seus feitos. Pois bem, equipes de segurança podem contar com soluções que efetuam monitoração por palavras-chave em regime 24×7 e em diferentes idiomas, e serem notificadas quando tais mensagens forem compartilhadas. Informações sobre o perfil, horário e localização do usuário que postou a informação podem ajudar na identificação e punição do criminoso.

2) Análise da rede da empresa: atualmente, grandes organizações costumam utilizar sistemas de monitoração e correlação de eventos (incluindo SIEM – Security Information & Event Management). Tais sistemas, imprescindíveis, ajudam a detecção de ataques ao coletar e normalizar dados de logs e alertas de diferentes plataformas tais como firewalls, IPS, roteadores, servidores etc – e correlacionam estes eventos para reduzir falsos positivos e melhorar a efetividade da detecção de ataques. Acrescentar uma camada adicional de Inteligência de Dados a um sistema destes é prática recomendada atualmente por especialistas. Afinal de contas, o SIEM depende da capacidade das plataformas monitoradas conhecerem a assinatura do ataque que se executa. A Inteligência de Dados pode aprender qual o comportamento normal da rede e identificar anormalidades quando surjam, permitindo assim a identificação de ameaças ainda não conhecidas ou sofisticadas (como Ameaças Avançadas Persistentes).

3) Aperfeiçoar a segurança e o desempenho da rede: o uso das mesmas ferramentas de análise de tráfego na rede permite à empresa ter visibilidade sobre quais são os seus padrões de tráfego "normais", conhecendo o tráfego normal entre diferentes sistemas de aplicações e infraestrutura. Com isso, pode-se criar modelos para aperfeiçoamento da arquitetura da rede visando melhoria de desempenho ou segurança. Um exemplo deste tipo de utilização é modelar as comunidades de usuários e sistemas para posteriormente implementar a microssegmentação na rede (reduzindo a superfície de ataque e adotando um modelo de RSOT, Reduced Scope of Trust).

4) Identificar Shadow IT: a identificação de sistemas de TI não conhecidos pelo departamento de tecnologia, mas utilizados pelos usuários (Shadow IT) é uma das principais dores de cabeça para gestores de TI e administradores de segurança. Como gerenciar, otimizar custos e assegurar a segurança de dados que estão em sistemas que sequer são conhecidos pela TI e pela segurança? A monitoração do tráfego da rede ou seus pontos de entrada e saída na internet podem favorecer a identificação de acessos costumeiros a sites e serviços de computação em nuvem fora das premissas da empresa, auxiliando no mapeamento dos recursos de Shadow IT.

5) Identificar vulnerabilidades: é comum a utilização de ferramentas de varredura de vulnerabilidades para identificar equipamentos e sistemas não atualizados ou mal configurados, o que caracteriza tipicamente uma vulnerabilidade que pode vir a ser explorada por diversos tipos diferentes de ameaças. Isso é fundamental. Mas imagine adicionar um monitoramento do tráfego de rede em busca de comportamentos anormais que se caracterizam como vulnerabilidades? Um exemplo, a identificação de comportamentos e acessos que indicam quebra de políticas de segurança no uso de sistemas e informações da empresa.

6) Assegurar conformidade: de forma similar, a monitoração do tráfego que passa na rede pode indicar falhas de conformidade por não observância de políticas, falhas de desenho ou deficiência de controles. Um exemplo é a certificação PCI/DSS, a qual visa proteger dados de cartão de crédito do portador, tema comum em empresas com venda de serviços e produtos via cartão de crédito das principais bandeiras internacionais e em instituições financeiras. Empresas certificadas PCI/DSS normalmente têm um escopo segmentado de certificação, o qual isola os sistemas que manipulam os dados de cartão dos demais. A inteligência de segurança pode monitorar continuamente pela presença de dados de cartão fora deste ambiente, e gerar alertas para adequação do escopo de certificação antes que a mesma seja perdida ou que algo pior ocorra (como o roubo destes dados ou uma fraude).

7) Proteção de propriedade intelectual: Soluções para prevenção de perda de dados na rede (Data Loss Prevention for Network) monitoram o tráfego de rede em pontos estratégicos, como a saída para a Internet ou próximo a servidores de correio eletrônico, para identificar a saída de dados sensíveis para fora do perímetro da rede corporativa. Uma solução de Inteligência de Segurança pode desempenhar igualmente este papel, na medida em que seus modelos de análise e monitoração por comportamentos ou palavras-chave permitam identificar ameaças relativas à perda de informação sensível da empresa.

Com certeza a lista acima de Casos de Uso de Analytics para o mundo da ciber segurança não é exaustiva, tampouco seu potencial para novas soluções. De qualquer forma, a lista indica casos práticos que podem ser implementados com rapidez e produzir resultados imediatos. Em um cenário de ameaças crescentes, redes cada vez mais complexas e volume de dados crescendo exponencialmente, contar com a colaboração de Cientistas de Dados para responder aos desafios de segurança não é um luxo. É uma necessidade para definitivamente colocar-se à frente dos cibercriminosos. 

Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.