É possível evitar a maioria das violações de dados

As violações de segurança no mundo online estão tirando o sono de um número cada vez maior de líderes de TI… mas e se você pudesse prever onde e quando elas ocorrem?

Isso parece um pouco ficção científica, mas quase todas as ameaças de segurança cibernética, incluindo malwares, DDoS e espionagem virtual, são precedidas por sinais de alerta que qualquer gerente de TI pode detectar. As empresas precisam investir em detecção e prevenção, em vez de responder a uma violação que já aconteceu.  ”Nunca imaginei que isso poderia acontecer” não é mais uma desculpa aceitável para um ataque bem-sucedido à rede.

Observando os sinais
À medida que aumentam os custos e a sofisticação dos ataques cibernéticos, os gerentes de TI estão se vendo sob crescente pressão para reforçar suas defesas. Em uma recente pesquisa sobre complexidade de rede realizada pela SolarWinds, os gerentes de TI brasileiros que entrevistamos citaram segurança como a principal causa da complexidade da rede atual entre as principais operações de negócios. Com uma análise de rede mais rigorosa, no entanto, os líderes de TI podem captar muitos dos sinais indicadores que normalmente são um indício de uma tentativa maliciosa de obter ou negar acesso.

No entanto, não são apenas ameaças de força bruta como DDoS e malwares que apresentam esses sinais. Quase todas, com exceção das ameaças mais sofisticadas, têm suas próprias marcas de alerta precoce que um líder de TI perspicaz consegue detectar. E, monitorando as áreas onde essas marcas geralmente aparecem, as organizações podem reduzir significativamente a incidência de violações bem-sucedidas, assim como os custos subsequentes, que reduzem os lucros e a participação no mercado. Na verdade, as empresas precisam se concentrar em medidas preventivas, em vez de tentar colar os pedaços depois de uma violação. A prevenção vai se mostrar muito mais rentável para elas a longo prazo.

Amigo ou inimigo?
Os sinais de um ataque iminente são muitas vezes descarados. Em geral, um rápido aumento das transferências de pacotes e do tráfego WAN, por exemplo, é prova de que há uma tentativa de DDoS em andamento. O alto tráfego é gerado pelos bots gerando tráfego para o serviço que pretendem derrubar. É possível observar esse aumento do tráfego. Mas como você diferencia um simples problema de desempenho e o começo de uma violação maliciosa? Os líderes de TI precisam não apenas adotar a mentalidade “pense como um hacker”, muitas vezes proposta por especialistas em segurança cibernética, como também aplicá-la na forma como os hackers elaboram e executam seus ataques.

Em um ataque DDoS, provavelmente o hacker assumirá o controle das vulnerabilidades de segurança para controlar seu sistema e usá-lo para atacar outros sistemas na rede. Um exemplo perfeito disso é o envio massivo de mensagens com o intuito de sobrecarregar um site com informações. Em termos simples, o ataque é distribuído, ou seja, o usuário utiliza vários computadores para lançar o ataque DoS.

Sintomas como baixo desempenho da rede, aumento repentino no recebimento de spam e incapacidade de acessar determinados sites, sugerem que há fortes possibilidades de que sua rede esteja sendo atacada.

Em geral, uma tentativa de DDoS, por exemplo, envolve uma avalanche de pacotes incorretos ou mal formados, que são muito mais eficazes em derrubar a pilha de protocolos do sistema. Então, se testar a qualidade do aumento no tráfego, você poderá dizer se a rede está passando por picos de demanda ou está nos primeiros estágios de uma tentativa de derrubar os servidores. Além disso, muitas vezes as violações maliciosas desencadeiam uma atividade incomum em toda a gama de ativos de rede, e não apenas um único indicador. No caso de uma tentativa de ataque por vírus, o aumento no tráfego provavelmente passará por portas não utilizadas ou virá de endereços IP inválidos, aumentando ainda mais as suspeitas sobre a legitimidade do tráfego.

Assim como ocorre no filme Minority Report – A Nova Lei, a vigilância constante e completa é essencial para evitar um crime (cibernético) antes que ele aconteça. As empresas precisam investir em uma gama abrangente de ferramentas de monitoramento, detecção e alerta que não só detectem sinais de violação, como ainda alertem a equipe de TI ou até mesmo tomem ações automáticas ao detectá-los. Ferramentas sofisticadas de gerenciamento de rede conseguirão monitorar e diferenciar esses indicadores.

Pela porta dos fundos
E o que dizer das ameaças mais sutis, particularmente o problema crescente da espionagem cibernética e da sabotagem virtual? Embora a ferramenta SIEM (Gerenciamento de eventos e informações de segurança) possa ser suficiente para detectar os ataques mais óbvios, os gerentes de TI também precisam aplicar sua própria inteligência organizacional na forma como posicionam suas defesas.

As empresas devem adotar uma abordagem estruturada na maneira como armazenam seus dados, o que, por sua vez, lhes permitirá identificar e controlar o acesso a informações importantes com maior facilidade. Elas também podem aplicar níveis diferentes de controle de acesso a partes diferentes da rede, efetivamente impedindo que os hackers casuais consigam entrar sem precisar recorrer a meios mais óbvios de força bruta. Isso não apenas é essencial para a integridade da rede, como também um elemento importantíssimo de conformidade.

A maioria dos ataques vêm com a intenção de roubar dados financeiros e, às vezes, informações comerciais. Assim, os ataques podem vir na forma de tentativas de roubo de dados, injeção de SQL, spyware, phishing, hacking e outros tipos de malware.

Uma recente pesquisa realizada pela Verizon sobre violação de dados revelou as vítimas por setor:
·  37% – Organizações financeiras
·  24% – Varejo e restaurantes
·  20% – Produção, transporte e serviços públicos
·  20% – Informações e serviços profissionais

Na verdade, as ameaças mais difíceis de detectar em termos de segurança cibernética são as que surgem dentro da própria organização, que vão desde o uso descuidado de dispositivos pessoais (a lógica “BYOD”) à infiltração maliciosa através de portas USBs ou outros suportes físicos. Mas mesmo as violações provenientes dessas fontes exibem certos padrões que podem e devem ser controlados.

Padrões incomuns de acesso ou atividade da rede fora do horário de trabalho podem ser um sinal de que há espionagem ou sabotagem corporativas em andamento – especialmente se seu sistema estiver registrando tentativas de login acima da média em áreas confidenciais da rede, como o departamento financeiro ou de P&D. Essas tentativas de login podem ser geradas automaticamente em grandes quantidades em um ataque de força bruta.

E o monitoramento do tráfego da LAN pode ajudar a identificar os malwares provenientes dos uso de um dispositivo pessoal pela forma como ele tenta acessar outras portas ou hosts da rede, permitindo que as equipes de TI ou até mesmo o próprio sistema automaticamente contenham a ameaça no ponto de origem. Ao fazer isso, os líderes de TI podem impedir que os dados saiam da organização, mesmo através de meios off-line.

Técnicas de análises preditivas
Por muito tempo, as empresas e os líderes de TI assumiram uma postura reativa quando se trata da capacidade de resposta da segurança cibernética. Com uma solução abrangente de SIEM e uma abordagem estruturada de monitoramento, no entanto, as organizações podem, na verdade, perceber e frustrar uma ampla gama de ameaças antes mesmo que elas comecem a romper as defesas internas. Como qualquer um que assistiu ou leu Minority Report sabe, nem todos os crimes cibernéticos podem ser evitados antes de serem cometidos. Mas, ao contrário do que acontece naquela história em particular, uma abordagem preventiva para a prevenção de ameaças só pode trazer enormes benefícios para as empresas e para seus resultados financeiros.

Por Don Thomas Jacob

Fonte: CIO