Não importa a origem da ameaça: ela pode ter surgido internamente, já na rede da empresa; pode estar sendo incubada há dias, meses ou até anos; pode se tratar de uma invasão recente via Internet. O fato é que ela está instalada em sua rede. E agora?
Hoje, o mais comum é as empresas utilizarem tecnologias que são razoavelmente eficientes na detecção de anomalias, muitas vezes com foco na solução dos poucos problemas encontrados. Isso porque, se a visibilidade da rede funciona, o processo de interpretação dos eventos geralmente é longo. E nem sempre completado a tempo de evitar os prejuízos de um ataque.
Verificado o fato de que existe algo de estranho na rede, a identificação da natureza exata da anomalia em questão, nos sistemas padrão do mercado, exige um significativo esforço humano. Requer o trabalho de profissionais especializados – equipes caras, que, como detetives, precisam analisar um a um os logs dos eventos identificados na rede. Encontrar o “X do problema” pode demorar dias, semanas, meses, ocorrer tarde demais ou nunca acontecer.
Uma das grandes questões, é que muitos eventos são determinados por uma situação pontual, e não existe uma correlação com outros eventos que o ambiente considera válido.
Do popularíssimo ransomware até roubo de dados cadastrais ou financeiros e a paralisação das operações de grandes sites globais de serviços, os crimes cibernéticos se multiplicam não apenas em termos de frequência, mas também no que toca às dimensões dos prejuízos que ocasionam. Os exemplos são muitos, e hoje não se restringem a setores especialmente visados, como o financeiro e o de e-commerce.
Uma reação rápida e eficaz para acabar com o problema antes que ele possa causar danos depende não somente da capacidade de visualização do trafego, mas também de recursos capazes de proporcionar uma análise mais imediata e acurada do que se pode enxergar, apontando, por exemplo, novas ameaças, que não geram ainda assinaturas específicas. Justamente por correlacionar tráfego que o ambiente o considera lícito.
Não basta a análise de pacotes. Ela deve ser combinada, cruzando-se as informações, com a análise do fluxo de dados dentro de redes de operadoras, redes corporativas ou redes internas de data centers. Só assim se pode acelerar a solução de eventos de segurança.
As ferramentas para que detecção, identificação do mal, e mitigação se deem mais rapidamente são a inteligência da rede e a análise do “big data”, com sistemas de busca que facilitem a localização e correlação de eventos passados, além de permitirem simulações do tipo “what if”.
Colaboração também é uma palavra chave, no sentido de propiciar uma inteligência realmente efetiva. Não existem redes isoladas – elas são interligadas de modo a criar uma teia global. A própria internet nada mais é do que a junção de uma série de operadoras e provedores de rede. Quanto maior for a troca de informações quanto às ameaças que circulam em todo o mundo, mais se estará alerta ao perigo, e, assim, maior será o potencial de prevenção e até de mitigação das ameaças.
Segurança não é um problema individual de uma rede, de uma empresa, de uma operadora. As questões de segurança afetam a todos, e quanto mais compartilharmos informações por meio de sistemas e fóruns apropriados, mais nós todos estaremos protegidos. Essa é uma questão de atitude, que, aliada à adoção conjunta de diferentes tecnologias poderá tornar menos árdua a responsabilidade de zelar por dados forçosamente recolhidos em um mundo onde os negócios são digitais.
* Geraldo Guazzelli é diretor da Arbor Networks no Brasil
