Na guerra contra o cibercrime, o tempo sempre esteve do lado dos atacantes, com os criminosos usando o tempo de permanência como vantagem para realizar um ataque. No entanto, é possível recuperar a vantagem conhecendo o ambiente de segurança, planejando a frente e empregando uma abordagem proativa. A McAfee divulga dez dicas que podem ser usadas para adicionar velocidade e inteligência à detecção e resposta de incidentes.
1. A integração é tudo. Se os produtos de segurança não se falam, não é possível ver o cenário completo. E uma violação pode ser perdida. A integração dos sistemas de detecção e resposta, através de iniciativas como OpenDXL, assegura a comunicação e acelera a detecção e a contenção
2. Compreenda todo o ambiente. Não é surpresa que os profissionais de segurança dizem que determinar o impacto e o alcance de um incidente de segurança leva muito tempo. Muitas vezes, subestimam quantos servidores, aplicativos e dispositivos existem na organização. Ao implementar o gerenciamento centralizado de segurança é possível obter a visibilidade e o monitoramento necessário.
3. Sempre mantenha os olhos nos dados. Detectar rapidamente a atividade anormal é essencial. No entanto, isso é impossível sem uma linha de base dos níveis normais de atividades do sistema, da rede e do usuário. Tenha uma solução que monitore continuamente o tráfego e detecte automaticamente qualquer atividade anormal, deixando os pontos cegos em rede no passado.
4. Mantenha-se atualizado sobre o cenário da ameaça. Comece com a coleta e a integração de inteligência de ameaças dentro da organização e expanda para o compartilhamento com toda a indústria. O compartilhamento possibilita uma inestimável visão das últimas vulnerabilidades e perigos. Use ferramentas que possam monitorar, coletar, gerenciar, priorizar e compartilhar inteligência de ameaças.
5. Priorize os ativos, eventos e ações. A triagem é a chave durante um ataque. É preciso conhecer seus recursos mais críticos, saber quando soar alarmes e ter fluxos de trabalho de investigação previamente estruturados e comunicações multifuncionais já estabelecidas. Planeje com antecedência para economizar um tempo precioso defendendo os ativos mais importantes no caso de ataque.
6. Pratique. Aproximadamente um terço das empresas treinam para a resposta a incidentes. Essa é uma porcentagem pequena, já que que colocar os procedimentos de resposta em teste identifica lacunas de segurança antes que ocorram violações. Execute exercícios regulares para melhorar os tempos de resposta; simule infrações, realize exercícios ou contrate uma empresa que realize testes de penetração para simular um ataque de fora da companhia.
7. Estabeleça uma equipe homem-máquina para combater o malware. A automação não irá substituir funcionários altamente treinados, e sim os tornará mais efetivos. Com a aprendizagem de máquinas é possível automatizar a classificação de eventos de segurança e a priorização. Isso permite realizar análises preditivas e prescritivas que ajudem a antecipar e neutralizar as novas técnicas de evasão emergentes.
8. Seja proativo. Ser proativo com a segurança, ao invés de reativo, é a única maneira de proteger o negócio. Depois de entender o ambiente, é possível procurar ativamente ameaças antes que elas ataquem.
9. Regule o acesso externo à empresa. Muitas brechas originam-se de fornecedores, parceiros ou provedores de nuvem terceirizados. Certifique-se de que todas as entidades conectadas ao ambiente de rede, sem exceção, aderem às políticas de segurança. Além disso, defina os privilégios, o tempo e os controles de localização para que certos parceiros possam acessar apenas sistemas e dados prescritos.
10. Crie um loop de feedback ativo. Torne os sistemas de detecção e resposta mais rápidos e inteligentes em cada evento. Aproveite todos os especialistas em segurança, tecnologia e processo para alimentar a análise pós-incidente para a inteligência de ameaças, ferramentas de automação e equipes de treinamento.