0
0
Veja como os CISOs e as equipes de operações de segurança de TI podem lidar melhor com os principais desafios do monitoramento de rede que podem aumentar o tempo de vida dos malwares.
Ataques de malware custam às empresas norte-americanas US$ 2,6 milhões por empresa em média — e esse valor está aumentando, de acordo com um relatório de 2019 da Accenture Security e do Ponemon Institute. Parte da razão para esse aumento é o crescente número de pontos cegos de rede: CISOs e equipes de segurança não podem ver em certas partes da rede, portanto, se o malware consegue passar pelas defesas do perímetro, ele pode sentar, não ser detectado e causar estragos. Esses pontos cegos são exacerbados por um modelo de rede híbrida; À medida que os aplicativos se movem para uma nuvem pública ou as empresas implementam a virtualização, a rede fica mais complexa, a visibilidade fica limitada e o monitoramento de segurança se torna mais difícil.
Felizmente, relatórios recentes mostram que esse problema parece estar melhorando, com as organizações conseguindo diminuir constantemente o tempo de vida dos malwares. O ” Relatório de Investigações de Violação de Dados de2020” (DBIR) da Verizon constatou que mais de 60% das violações de dados foram descobertas em dias ou menos. Isso é uma melhora encorajadora dos últimos anos, mas mais de um quarto das violações ainda levam meses ou mais para serem detectadas, então ainda há mais trabalho a ser feito.
No entanto, ao mesmo tempo, projetos de transformação digital e paradigmas em nuvem ou inteligentes em nuvem estão se proliferando, ambos complicando o monitoramento e a visibilidade. Se a equipe de segurança não acompanhar a crescente complexidade da rede, eles correm o risco de perder ganhos recentes.
Veja como os CISOs e as equipes de operações de segurança de TI podem lidar melhor com alguns dos principais desafios para o monitoramento de rede que ameaçam aumentar o tempo de vida dos malwares.
A visibilidade sobre o tráfego leste-oeste
O tráfego leste-oeste (ou seja, dentro de um data center) aumentou nos últimos anos à medida que as aplicações se tornaram multitier e mais intensivas em computação, as redes tornaram-se mais virtualizadas para suportar mais máquinas virtuais, e o número de transações e trocas em uma direção leste-oeste aumentou. Isso está acontecendo em muitos setores, incluindo serviços financeiros, prestadores de serviços e varejo. A mudança está dificultando o monitoramento — onde você toca na rede sem conexões físicas e dispositivos?
Mas ter acesso a esse tráfego é essencial porque permite que ferramentas de segurança detectem comportamentos incomuns da rede que podem indicar uma falha de segurança. O acesso ao tráfego leste-oeste revela quais endereços IP estão conversando entre si, quando essas conexões ocorrem, etc. Essas informações permitem que analistas ou ferramentas de segurança baseadas em comportamento levantem alertas para investigar e remediar eventos de rede incomuns (automaticamente ou manualmente). Por exemplo, um acesso incomum ao banco de dados por um aplicativo ou um grande download ftp às 2 da manhã é um evento que deve ser investigado. À medida que as empresas se conectam virtualmente e em nuvem em primeiro lugar, ter acesso total a todo o tráfego de rede, incluindo o tráfego dentro do data center, é vital para mantê-las seguras.
2. Capacidade de capturar e armazenar dados de rede para forenses
Ter acesso a dados detalhados de pacotes e fluxos de antes, durante e depois de uma falha de segurança é necessária para que os analistas de segurança determinem com precisão a extensão da violação, analisem os danos e descubram como evitá-los daqui para frente. Capturar e armazenar um banco de dados de rede para esse fim geralmente exigirá a coleta de metadados de rede e dados de pacotes de elementos físicos, virtuais e nativos da nuvem da rede implantados em ambientes de data center, filiais e multicloud. A obtenção desse insight requer uma mistura de testes de rede física e virtual, corretores de pacotes e dispositivos de captura para coletar e consolidar dados dos vários cantos da rede para processar e entregá-los à pilha de ferramentas de segurança. É igualmente importante que as equipes possam capturar e armazenar dados de pacotes de antes, durante e depois de um indicador de compromisso para análise forense posterior. Quanto mais fácil é acessar, indexar e fazer sentido a partir desses dados, mais valor ele fornecerá.
Embora seja mais complexo e difícil obter essas informações a partir de segmentos virtuais ou baseados em nuvem da rede, é essencial para manter as organizações seguras. O Verizon DBIR 2020 descobriu que os ataques direcionados a aplicativos web estavam envolvidos em 43% das violações, mais que o dobro do que eram em 2019. À medida que mais fluxos de trabalho se movem para a nuvem, os ataques seguirão — por isso o monitoramento e as defesas precisam fazer o mesmo.
Reformulação das políticas de segurança para trabalhadores remotos
Muitos trabalhadores do conhecimento ainda estão trabalhando em casa graças ao COVID-19, e isso mudou significativamente a postura de segurança para a maioria das organizações. No passado, as equipes de TI e segurança podiam basear as políticas de segurança na suposição de que a maioria dos usuários acessa os recursos através da rede corporativa enquanto estava no local, com um pequeno número acessando-os remotamente. Agora isso está invertido — a maioria dos usuários está acessando aplicativos na nuvem ou no data center via Internet pública. As empresas reagiram afrouxando as restrições de segurança para melhor acomodar a base do acesso remoto. Isso suaviza a segurança do perímetro, aumentando assim a necessidade de detectar e mitigar rapidamente qualquer malware que possa passar.
Obtendo visibilidade na nuvem pública
Muitas organizações têm movido aplicativos para a nuvem pública para aproveitar sua escalabilidade e flexibilidade, mas pode haver um custo na falta de visibilidade. Até recentemente, as principais plataformas de nuvem pública eram caixas pretas; era possível ver o tráfego dentro e fora da nuvem, mas pouco do que aconteceu dentro. Sem esse acesso ao tráfego de rede dentro da AWS, Google Cloud ou Azure, as equipes de TI não poderiam monitorar sinais de uma violação. Felizmente, isso está mudando, com alguns grandes provedores de nuvem adicionando recursos que espelham o tráfego de rede de e para os aplicativos de um cliente. Em seguida, um corretor de pacotes virtuais pode ser usado para encaminhar esse tráfego para ferramentas de monitoramento de segurança nativas da nuvem. Um feed pode ser direcionado para o dispositivo de captura de pacotes virtuais, bem como para arquivar os dados do pacote para armazenamento em nuvem para conformidade e perícia.
Em resumo, detectar e reduzir o tempo de vida do malware em um ambiente híbrido requer acesso ao tráfego completo de rede para todos os segmentos da rede — seja no local, dentro do data center, dentro da nuvem pública ou para acesso remoto ao trabalhador. A liderança de infraestrutura e operações de TI deve colocar a inteligência de tráfego de rede em sua lista e reservar uma parte de seu orçamento de segurança para instrumentação adequada da rede.
FONTE: DARK READING