Por trás dos ataques digitais avançados há uma indústria criminosa muito capitalizada, contando com hackers experientes e, em alguns casos, patrocinada por alguns países. Esse contexto, cada vez mais crítico, está fazendo com que as perdas causadas às empresas por violações de segurança nãoparem de crescer. É o que aponta um novo relatório do instituto de pesquisa Ponemon. A cada ano o custo de uma violação fica mais pesado para a empresa atacada; entre 2014 e 2015, esse índice cresceu 29%. Empenhados em quantificar as perdas causadas pelas violações ocorridas neste mesmo período, os analistas da Ponemon descobriram que os custos das violações subiram de US$ 3.8 milhões para US$ 4 milhões. E, ao que tudo indica, o futuro continua repleto de perigos. O mesmo levantamento mostra que nos próximos 24 meses deverá haver um crescimento de 26% de incidência de roubos de ativos digitais; em termos numéricos, os experts da Ponemon acreditam que cerca de 10 mil ativos digitais serão roubados ou destruídos nos EUA nos próximos 24 meses.
Para os cibercriminosos, os ambientes de TIC das grandes empresas são o espaço onde eles irão agir para realizar violações e disseminar diversos tipos de malware (phishing, maladvertising, ransomware, etc.). Novos ataques são desenvolvidos todo dia. E, infelizmente, casos de invasões e roubos de dados que não são detectados durante semanas, meses e até mesmo anos seguem aparecendo.
Esse quadro está pressionando os líderes corporativos a identificar soluções inteligentes de detecção de ameaças. A meta é empregar uma tecnologia capaz de atuar tanto no caso de uma violação pontual como no caso de uma sequência de comportamentos incomuns que, tipicamente, podem causar perdas devastadoras à corporação usuária de TI.
Eis aqui quatro estratégias para evitar as perdas causadas por ataques avançados:
Não seguir as regras – Numa tentativa de automatizar uma parte do trabalho manual envolvido na detecção de anomalias, frequentemente as empresas confiam fortemente em regras e limites. Entretanto, essa abordagem acarreta seus próprios desafios. Seu maior problema é ter sido desenvolvida para uma era anterior da TI, muito menos dinâmica. Hoje, por exemplo, limites e regras são ineficazes e pouco úteis para garantir a segurança de dados periódicos. Outra faceta problemática dessa abordagem é que os alertas gerados por essa visão podem criar ruído desnecessário. Tanto barulho pode distrair a atenção das equipes de informações estratégicas sobre segurança e resposta a incidentes.
Estabelecer uma referência de comportamento normal dos dados – Toda organização é singular e está em constante transformação. É comum que, momentos após ser determinada, uma referência possa se tornar imprecisa devido a alterações no ambiente de rede ou do comportamento do usuário. Estabelecendo uma referência dinâmica automatizada para o comportamento normal, as organizações são capazes de identificar o perfil correto da atividade da rede e das aplicações na nuvem e, assim, perceber claramente uma atividade anormal. A construção de uma referência para checar se um determinado comportamento é normal pode ser realizada por meio da alavancagem da captura de pacotes, além do uso analítico de registros forenses de rede.
Não confiar em processos de monitoração manuais – Frequentemente, as equipes de resposta a incidentes adotam uma abordagem manual de monitoramento de segurança. Neste modelo, atribui-se a alguns membros da equipe tarefas de monitorar painéis de controle e identificar comportamentos anômalos. Entretanto, esse processo pode consumir um tempo extremamente grande e facilmente levar a equipe de segurança de TI a resultados ineficazes e imprecisos. Estamos vivendo em um mundo multiprotocolo com acessos provenientes de diferentes dispositivos, em que a nuvem é uma realidade. Neste quadro, qualquer controle manual está fadado ao desastre. A TIC atual faz com que seres humanos dependam de sofisticadas soluções automatizadas, plataformas atualizadas várias vezes ao dia que identificam e bloqueiam ameaças que, em alguns casos, acabaram de ser criadas.
Considerar o impacto da Shadow IT – No passado, a segurança de redes se restringia às aplicações cuidadosamente homologadas, analisadas e implementadas pelo departamento de TI. Hoje, as práticas de Shadow IT e de BYOD (Bring Your Own Device) tornaram o ambiente de negócios muito mais complexo. Para vencer seus desafios profissionais, é comum que os funcionários acessem na Internet aplicações construídas sem segurança para realizar tarefas que, por um motivo ou outro, não estão contempladas nas soluções corporativas. Isso é o Shadow IT, uma realidade e um desafio para as empresas. O perímetro em expansão, por outro lado, introduz nesta equação incontáveis novos endpoints que exigem que as equipes de segurança pensem de maneira diferente sobre a abordagem à detecção e prevenção de ameaças.
A guerra continua e as recomendações sobre o que fazer e o que não fazer para preservar a segurança da informação é algo em evolução constante.
Nesta batalha, é essencial o uso de soluções de detecção de ameaças e de resposta a incidentes que alavanquem o nível de segurança da empresa. Além da avaliação cuidadosa das soluções disponíveis no mercado, é importante participar de reuniões de usuários, ligar-se a associações voltadas para a manutenção da segurança, atualizar constantemente seus conhecimentos sobre segurança da informação. O próximo ataque certamente virá: cabe à equipe do CISO estar preparado para isso, contando com todo o conhecimento e a tecnologia necessários para vencer o inimigo.
* Marcos Oliveira é country manager da Blue Coat Brasil