Compartilhamento de inteligência é abalado por desafios de volume de dados

Segundo relatório, setor de segurança enfrenta desafios fundamentais em esforços de compartilhar inteligência de ameaças entre entidades, dentre soluções de fornecedores e mesmo dentro de portfólios de fornecedores

Compartilhar:

A McAfee Inc. divulgou seu Relatório de Ameaças McAfee Labs: Abril de 2017, que detalha os desafios enfrentados pelos esforços de compartilhamento de inteligência de ameaças, examina a arquitetura e mecanismos internos dos botnets Mirai, avalia ataques relatados em todos os setores, e revela as tendências de crescimento em malware, ransomware, malware móvel e outras ameaças no 4º trimestre de 2016.

 

“O setor de segurança enfrenta desafios fundamentais em nossos esforços de compartilhar inteligência de ameaças entre entidades, dentre soluções de fornecedores, e mesmo dentro de portfólios de fornecedores”, disse Vincent Weafer, Vice-Presidente do McAfee Labs. “Trabalhar em conjunto faz a força. A abordagem desses desafios determinará a efetividade das equipes de segurança cibernética para automatizar a detecção e orquestrar respostas, e finalmente pender a balança em favor dos defensores.”

 

O relatório revisa o histórico e os motivadores do compartilhamento de ameaças; os diversos componentes, fontes e modelos de compartilhamento da inteligência de ameaças; como operações de segurança consolidadas podem fazer uso dos dados compartilhados; e os principais desafios do compartilhamento que o setor deve superar. Esses desafios incluem:

  • Um massivo problema de relação sinal-ruído continua a assolar os defensores que tentam triar, processar e agir frente aos incidentes de segurança da mais alta prioridade.

 

  • Validação. Atacantes podem registrar falsos relatórios de ameaças para desorientar ou sobrecarregar sistemas de inteligência de ameaças, sendo que os dados de fontes legítimas podem ser adulterados se forem incorretamente administrados.

 

  • Se os fornecedores apenas focarem em reunir e compartilhar mais dados de ameaças, existe um risco de que muitos desses dados sejam duplicados, perdendo um tempo valioso e esforço em vão. Sensores devem capturar dados mais ricos para ajudar a identificar os principais elementos estruturais de ataques persistentes.

 

  • Inteligência recebida tarde demais para a prevenção de um ataque ainda é valiosa, mas apenas para o processo de limpeza. Os sensores e sistemas de segurança devem compartilhar inteligência de ameaças em tempo quase real para se equiparar às velocidades de ataque.

 

  • Correlação. A falha em identificar padrões relevantes e pontos de dados principais nos dados de segurança impossibilita transformar os dados em inteligência e, em seguida, em conhecimento que pode informar e orientar as equipes de operações de segurança.

 

Para evoluir o compartilhamento de inteligência para o próximo nível, o McAfee Labs sugere o foco em três áreas:

 

  • Triagem e priorização. Simplifique a triagem de eventos e proporcione um melhor ambiente para os profissionais de segurança para investigar ameaças de alta prioridade.

 

  • Conectar os pontos. Estabeleça relações ente indicadores de comprometimento de modo que os caçadores de ameaças possam entender suas conexões para campanhas de ataque.

 

  • Melhores modelos de compartilhamento. Aprimore os meios de compartilhar inteligência de ameaças entre seus próprios produtos e junto a outros fornecedores.

 

“Atacantes cada vez mais sofisticados estão evitando sistemas de segurança discretos, e sistemas de armazenamento em silos deixam entrar ameaças que foram paradas em outros locais porque não compartilharam informações”, continuou Weafer. “O compartilhamento de inteligência de ameaças nos permite aprender com as experiências de cada um, obtendo percepções com base em vários atributos que compõem um cenário mais amplo e completo do contexto dos eventos cibernéticos.”

 

Proliferação do Botnet Mirai

 

O Mirai foi responsável pelo altamente difundido ataque de DDoS ao Dyn, um os principais provedores de serviços de DNS. O Mirai é notável porque ele detecta e infecta dispositivos IoT mal protegidos, transformando-os em bots para atacar seus alvos.

 

A divulgação do código-fonte do Mirai, em outubro, resultou em uma proliferação de bots derivados, embora a maioria pareça ser acionado por programadores de scripts amadores e relativamente limitados em seu impacto. Entretanto, a divulgação do código-fonte também resultou em ofertas de “DDoS-as-a-Service” com base no Mirai, tornando simples para atacantes pouco sofisticados, mas voluntariosos, executar ataques de DDoS que afetam outros dispositivos IoT com baixa segurança. Os ataques de DDoS com base no botnet Mirai estão disponíveis como um serviço no mercado de criminosos cibernéticos por $50 a $7.500 ao dia.

 

O McAfee Labs estima que 2,5 milhões de dispositivos de Internet das Coisas (IoT) foram infectados pelo Mirai no 4º trimestre de 2016, com cerca de cinco endereços IP de IoT adicionados para botnets Mirai a cada minuto naquele momento.

 

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...