As pistas em uma batalha cibernética

Segundo André Duarte, coordenador de Operações do Arcon Labs, equipamentos são preparados de forma a deixar rastros de eventos por um longo período de tempo, sendo possível utilizá-los em investigações

Compartilhar:

Todo mundo deixa pistas sobre sua vida: roupas, acessórios, objetos pessoais, recibos entre muitas outras. Um bom detetive sabe que a soma destes dados fala muito sobre uma pessoa. No mundo cibernético acontece a mesma coisa. Os equipamentos são preparados de forma a deixar rastros de eventos que aconteceram com eles por um longo período de tempo. Logo, é possível usá-los para investigações.

 

Com a grande quantidade de bytes que trafegam nas redes de computadores e servidores, torna-se cada vez mais difícil detectar abusos não óbvios. É necessário ter conhecimento e ferramentas para saber como gerar informações a partir destes dados que façam sentido e permitam detectar ameaças. Se pensarmos em automação, cada sistema gera registro de eventos de uma forma diferente e pode ser muito trabalhoso programar a leitura dessas diversas fontes possíveis. Felizmente, temos ferramentas prontas para isso, chamadas de SIEM.

 

No software do tipo SIEM programa-se a coleta de eventos (potenciais pistas) e cadastram-se regras sobre comportamentos específicos, o que ajudará a avaliar um desvio ou anomalia como, por exemplo: invasões, transmissões indevidas de dados, acessos não permitidos e outros cenários mais complexos. As ferramentas deste tipo costumam vir com algumas regras simples e é preciso especialistas em cibersegurança, com experiência em avaliação de ameaças, para manter atualizadas heurísticas que ajudarão na detecção de problemas.

 

Mas, e quanto aos casos em que ainda não se conhece o problema? É possível detectá-los com alguma automação? A resposta é sim, com supervisão humana. Note que o SIEM pode ser um passo em busca de algo ainda maior. Com a coleta de eventos, um “ciberdetetive” pode criar um local central para os dados (datawarehouse) e aplicar técnicas (Business Intelligence) que o auxiliarão a obter insights ligados à cibersegurança.

 

Ao contrário dos detetives de filmes que normalmente trabalham sozinhos, os especialistas de cibersegurança que atuam com este tipo de pesquisa, graças à internet, podem compartilhar informações com o mundo, aumentando assim as chances de detecções de ameaças antes que elas se tornem realidade. Dessa forma, mesmo que em uma ciberbatalha tenham sucesso no ataque à um alvo, pode-se prevenir em outros. Isso tudo faz parte de um conceito atual chamado de Cyber Threat Intelligence (CTI).

 

A CTI diminui a chance de sucesso dos ofensores e traz como benefícios:

 

•  Contextualização e relevância para uma enorme quantidade de dados

• Tornar as organizações proativas em cibersegurança

• Facilitar a predição de eventos futuros

• Auxiliar nas tomadas de decisões sobre segurança da informação

 

O que mais impressiona no Cyber Threat Intelligence é o poder de ajudar as pessoas e organizações a vencerem ciberameaças. Há muita coisa acontecendo nos servidores e redes do mundo inteiro que nem fazemos ideia. Com o CTI, adotando os conceitos de aprender, evoluir e contribuir, chegamos a um novo patamar, agora global, de segurança da informação.

 

* André Duarte é coordenador de Operações do Arcon Labs

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365