Nosso blog

Você tem medo do desconhecido?

k

09 Agosto 2017

Fernando Romero

Posts by authors: Fernando Romero, Cyber Security Specialist

LinkedIn

Falta de Visibilidade – Você tem medo do desconhecido?

Os ataques mais recentes do tipo ransomware, como o Wannacry e o Petya, trouxeram à tona um problema que muitas empresas convivem no dia a dia – a falta de visibilidade.

O tema visibilidade é bastante amplo, e no caso do Wannacry e Petya, a falta de visibilidade do nível de atualização dos sistemas operacionais ou ainda a demora da aplicação desses patches, levou a um grande impacto nas operações de empresas do mundo todo. Mas a falta de visibilidade não para por aí, muitas vezes os gestores não tem a mínima ideia de quem está conectado à rede corporativa, o nível de patch desses equipamentos e nem que tipo de comunicação esses ativos estão fazendo na sua rede. Podemos até fazer uma analogia com aquelas pessoas que não fazem os exames médicos de rotina exatamente pelo medo do resultado.

À medida que as redes continuam a evoluir com tendências como a nuvem e a Internet das coisas (IOT) e as ameaças cibernéticas tornam-se mais sofisticadas, eficazes e bem financiadas, muitas organizações estão lutando para obter visibilidade sobre o tráfego da rede. O monitoramento da segurança da rede surgiu como uma maneira popular e efetiva de resolver esse problema, afinal, tudo passa pela rede.

Existe solução para esse problema?

É preciso começar com o básico, como uma gestão de vulnerabilidades efetiva teria evitado muita dor de cabeça, com primeiramente a descoberta das vulnerabilidades e sua posterior correção, pois nos casos descritos acima, a atualização que impedia o ataque já havia sido disponibilizada pela Microsoft desde março.

Soluções de NAC (Network Access Control) podem ajudar no controle de quem pode e quem não pode se conectar a sua rede, bem como controlar o acesso de máquinas que estão autorizadas mas que não estão devidamente atualizadas. O BYOD também entra nesse aspecto, visto que é preciso permitir ou não o acesso desses dispositivos particulares à rede, e se permitidos, o que estão fazendo pois pode se tratar de um dispositivo infectado.

Outra fonte bastante rica em informações são os logs que todos os ativos geram e que podem trazer informações que podem passar desapercebidas no caso de uma grande quantidade de logs gerados, para isso um sistema de correlação de eventos também conhecido como SIEM pode ajudar o time de segurança a priorizar os incidentes mais graves.

Já existem outras soluções mais avançadas que contam com técnicas de Machine Learning para conseguir entender os tráfegos de rede, sistemas e usuários, conseguindo identificar desvios de comportamento que antes passavam desapercebidos e que agora podem ser detectados e bloqueados a tempo de impedir algo mais grave como um vazamento de dados, por exemplo. Ferramentas como essa trabalham continuamente e de preferência devem ser integradas a um SOC (Centro de Operações de Segurança) 24x7 para uma resposta no momento em que o incidente ocorrer, afinal um incidente de segurança não tem hora para acontecer.

As ameaças sempre evoluem, os cibercriminosos estão sempre tentando arranjar uma nova maneira de obter sucesso nos ataques e um ambiente seguro hoje pode não continuar seguro amanhã, por esse motivo é importante acompanhar as novidades que são lançadas no mercado e é claro um parceiro que possa implantar essas tecnologias para que a proteção seu ambiente esteja sempre à frente das novas ameaças.