0
0
A marcha em direção à transformação digital e ao crescente volume de ataques cibernéticos estão finalmente levando as equipes de segurança de TI e de rede a uma melhor colaboração. Essa ideia não é nova, mas está finalmente sendo colocada em prática em muitas grandes empresas.
Análise e segurança de tráfego de rede
As razões são bastante simples: todas essas novas iniciativas de transformação – movendo cargas de trabalho para a nuvem, buscando virtualização ou projetos SD-WAN, etc. – criam pontos cegos de tráfego de rede que não podem ser facilmente monitorados usando as ferramentas de segurança e o processo projetados para arquiteturas tradicionais mais simples e in loco. Este resultado é uma série de datas e ilhas de sistema, expansão de ferramentas e falta de correlação. Basicamente, há muitos dados, mas pouca informação. À medida que a organização cresce, os problemas se agravam.
Para uma empresa atingida por um ataque cibernético, o custo final pode ser astronômico, pois inclui custos de investigação e mitigação, custos ligados à exposição legal, aumentos de seguros, aquisição de novas ferramentas, a implementação de novas políticas e procedimentos e o impacto nas receitas e na reputação.
Tamanho não importa – todas as empresas são vulneráveis a um ataque. Para melhorar as posturas de segurança organizacional neste novo ambiente de rede híbrida, as equipes de Operações de Segurança (SecOps) e Operações de Rede (NetOps) estão se tornando amigas rápidas. De fato, o Gartner mudou recentemente o nome de um de seus segmentos de mercado de “Análise de Tráfego de Rede” para “Detecção e Resposta de Rede” para refletir a mudança na demanda por soluções de análise de rede mais focadas em segurança.
Aqui estão quatro maneiras pelas quais os dados de rede em geral e a análise de tráfego de rede, em particular, podem beneficiar a equipe do SecOps no nível soc do Centro de Operações de Segurança ::
1. Habilitar a detecção de ameaças baseadas em comportamento
A detecção de ameaças baseada em assinaturas, como encontrada na maioria das soluções antivírus e firewall, é reativa. Os fornecedores criam assinaturas para malware à medida que aparecem na natureza ou licenciam-nas de fontes de terceiros, como o VirusTotal do Google, e atualizam seus produtos para reconhecer e proteger contra as ameaças.
Embora esta seja uma maneira útil de analisar rapidamente todos os arquivos perigosos conhecidos de entrar em uma rede, a abordagem tem limites. O mais óbvio é que a detecção baseada em assinaturas não pode pegar novas ameaças para as quais não existe assinatura. Mas, mais importante, uma porcentagem crescente de malware é ofuscada para evitar a detecção baseada em assinaturas. Uma pesquisa realizada pela empresa de segurança de rede WatchGuard Technologies descobriu que um terço de todos os malwares em 2019 poderiam escapar do antivírus baseado em assinaturas, e esse número aumentou para dois terços no quarto trimestre de 2019. Essas ameaças requerem um método de detecção diferente.
A análise de tráfego de rede (também conhecida como detecção e resposta de rede, ou NDR) usa uma combinação de análise avançada, aprendizado de máquina (ML) e detecção baseada em regras para identificar atividades suspeitas em toda a rede. As ferramentas NDR consomem e analisam o tráfego bruto, como dados de pacotes, para construir modelos que refletem o comportamento normal da rede e, em seguida, levantam alertas quando detectam padrões anormais.
Ao contrário das soluções baseadas em assinaturas, que normalmente se concentram em manter o malware fora da rede, a maioria das soluções NDR pode ir além do tráfego norte-sul para também monitorar o tráfego leste-oeste, bem como o tráfego nativo da nuvem. Esses recursos estão se tornando cada vez mais importantes à medida que as empresas se tornam virtuais e em nuvem em primeiro lugar. As soluções NDR ajudam assim os SecOps a detectar e prevenir ataques que podem evitar a detecção baseada em assinaturas. Para funcionar, essas soluções NDR requerem acesso a dados de rede de alta qualidade.
2. Fornecendo dados para análise de segurança, conformidade e perícia
A equipe do SecOps muitas vezes precisará dos dados de rede e insights de comportamento para análise de segurança ou auditorias de conformidade. Isso geralmente exigirá metadados de rede e dados de pacotes de elementos físicos, virtuais e nativos da nuvem da rede implantados em ambientes de data center, filiais e multi-nuvem.
Quanto mais fácil de acessar, indexar e fazer sentido a partir desses dados (de preferência em uma solução de “painel único de vidro”), mais valor ele fornecerá. A obtenção desse insight é totalmente viável, mas exigirá uma mistura de testes de rede físicos e virtuais e corretores de pacotes para coletar e consolidar dados dos vários cantos da rede para processar e entregá-los à pilha de ferramentas de segurança.
As soluções NDR também podem oferecer à equipe do SecOps a capacidade de capturar e reter dados de rede associados a indicadores de compromisso (IOCs)para rápida busca e análise forense em caso de incidente. Essa capacidade de capturar, salvar, classificar e correlacionar metadados e pacotes permite que os SecOps investiguem violações e incidentes após o fato e determinem o que deu errado, e como o ataque pode ser melhor reconhecido e evitado no futuro.
3. Oferecer melhor visibilidade da rede para uma melhor automação de segurança
Profissionais de segurança qualificados são raros, e seu tempo é extremamente valioso. Automatizar tarefas de segurança pode ajudar as empresas a resolver incidentes mais rapidamente e liberar tempo para a equipe do SecOps se concentrar em tarefas mais importantes. Infelizmente, a visibilidade e a automação só funcionam, bem como a qualidade e a granularidade dos dados – e tanto pouco quanto muito pode ser um problema.
Muito poucos dados, e as soluções automatizadas são tão cegas quanto a equipe do SecOps. Muitos dados, na forma de um sistema de detecção de ameaças que lança muitos alertas, podem resultar em um cenário de “menino que chora lobo” com as respostas automatizadas desligando contas ou cargas de trabalho e fazendo mais mal do que bem.
Faltando dados, muitos alertas ou pontos cegos inerentes podem significar que o aprendizado de máquina e os modelos analíticos em que o NDR se baseia não funcionarão corretamente, produzindo falsos positivos enquanto faltam ameaças reais. A longo prazo, isso significa mais trabalho para a equipe do SOC.
A chave para uma automação bem-sucedida é ter dados de rede de alta qualidade para permitir alertas de segurança precisos, para que as respostas possam ser automatizadas.
4. Diminuindo o tempo de moradia do malware
As soluções NDR normalmente têm pouca ou nenhuma capacidade de bloqueio porque geralmente não são implantadas inline (embora essa escolha seja com as equipes de TI). Mas, mesmo assim, eles são eficazes em encurtar a janela de resposta a incidentes e reduzir o tempo de moradia do malware, identificando rapidamente o comportamento suspeito ou o tráfego. Os resultados das ferramentas NDR podem ser alimentados em ferramentas de segurança a jusante que podem verificar e remediar as ameaças.
O tempo de moradia dos malwares vem diminuindo constantemente em toda a indústria; o Relatório de Investigação de Violação de Dados da Verizon 2019 (DBIR)constatou que 56% das violações levaram meses ou mais para serem detectadas, mas o Relatório de Investigação de Violação de Dados 2019da Verizon data Breach Investigation 2020 descobriu que 81% das violações de dados estavam contidas em dias ou menos. Esta é uma estatística encorajadora e esperamos que as equipes da SecOps continuem fazendo parcerias com a NetOps para reduzi-la ainda mais.
Os benefícios da detecção e resposta de rede ou análise de tráfego de rede vão muito além do domínio tradicional do NetOps. Ao cooperar, as equipes do NetOps e do SecOps podem criar uma sólida arquitetura e prática de visibilidade que fortalece sua postura de segurança, deixando as organizações bem preparadas se um ataque ocorrer.
A visibilidade completa da rede permite que as equipes de segurança vejam todas as informações relevantes através de uma camada de entrega de segurança, usem métodos de detecção de ameaças baseados em comportamento ou automatizados e sejam capazes de capturar e armazenar dados relevantes para que a perícia profunda investigue e responda a qualquer incidente.
FONTE: HELPNET SECURITY