Quando a segurança cibernética se torna aterrorizante

Views: 290
0 0
Read Time:4 Minute, 44 Second

Algumas histórias de terror de segurança cibernética não são suas histórias típicas de terror: não há perigo de um maníaco empunhando motosserra se escondendo atrás de um rack de servidores, o Candyman não aparecerá se você disser seu nome três vezes enquanto olha para o seu monitor 4K, e não é como se um vampiro ou lobisomem pudesse morder um firewall.

Em vez disso, as histórias de terror de segurança cibernética contadas aqui são contos que resultam em… (pausa dramática) …más experiências do cliente.

Os nomes dos atores foram removidos para proteger os inocentes, mas o horror… sim, o horror era muito real. Felizmente, esses contos servem como uma experiência de aprendizado para o resto de nós.

Um fantasma na máquina?

Era uma vez uma empresa que construiu belos painéis. Coisas gigantes e extensas que monitoraram coisas como latência, jitter de pacotes e uma série de recursos e processos de rede de baixo nível. A equipe de segurança e confiabilidade adorou seus painéis e todos os dados que lhes forneceu.

Um dia, no entanto, enquanto a equipe de segurança e confiabilidade olhava para sua parede de painéis mostrando que tudo estava normal, um engenheiro de suporte entrou e informou que a plataforma estava inativo.

Descobriu-se que, apesar de todos os seus esforços de dashboarding, a empresa não conseguiu monitorar se os usuários poderiam fazer login no serviço. Isso criou uma situação em que a equipe de confiabilidade não sabia que a plataforma estava inativo até que o suporte lhes dissesse. O suporte só sabia porque um cliente ligou e disse a ele.

À medida que a realidade da situação começou a surgir na equipe de confiabilidade, um membro da equipe gesticulava quizzicamente para a parede de telas exibindo harmonia sistêmica e, atordoado, perguntou: “Há algo errado com o jitter do pacote?”

Monitore com intenção

Para resolver esse problema, as equipes de segurança e confiabilidade perceberam que poderiam detectar problemas de acesso à plataforma rastreando logins de usuários. Eles até levaram essa solução um passo adiante e criaram monitoramento sintético do usuário, fazendo com que um aplicativo tentasse fazer login automaticamente a cada cinco minutos de vários locais geograficamente distintos. Isso também forneceu informações sobre a acessibilidade do site. Isso permitiu que eles fossem proativos e detectassem problemas antes que os clientes o fizessem.

Esta empresa usou dados de séries temporais (métricas de login) para ver a relação entre o número de conexões de login e a quantidade de conexões de dados de back-end que consomem recursos da CPU que estão sendo usados em relação ao tempo. Os dados combinados de logins de usuários e monitoramento sintético revelaram que o problema era… congestionamento. Muitos usuários estavam tentando fazer login logo de manhã, o que sobrecarregou o sistema.

Felizmente, eles conseguiram aumentar o número de conexões de banco de dados para acomodar o aumento das demandas de serviços. Eles também aprenderam uma lição valiosa sobre monitoramento: Não tente monitorar tudo. Em vez disso, entenda o que você está monitorando e qual é o propósito de monitorar esse processo. O objetivo deve ser revelar os insights necessários às pessoas que precisam dessas informações para tomar as medidas apropriadas.

Endereços IP anormais

Ter a capacidade de detectar comportamentos anormais pode ser um salva-vidas. Uma proeminente plataforma de desenvolvimento SaaS descobriu isso da maneira mais difícil quando contas hackeadas passaram de ser detectadas por meses e o código de repositórios comprometidos vazou. O hack foi rastreado até dois endereços IP do outro lado do mundo que se conectaram a milhares de contas na plataforma SaaS. Sem dúvida, isso foi um pesadelo para todos os envolvidos.

Comportamento de rastreamento

Felizmente, você pode evitar que a mesma coisa aconteça com você usando modelagem comportamental. A modelagem comportamental é uma questão de série temporal porque envolve rastrear eventos ao longo do tempo. Ao modelar o comportamento de um usuário, você pode determinar quando ele faz login, em qual dispositivo e onde no mundo eles estão localizados.

O rastreamento desses dados ao longo do tempo revela padrões normais de uso para usuários e organizações. Você também pode usar esses dados para construir modelos matemáticos de dados de uso normal e, em seguida, procurar valores discrepantes.

No exemplo, a empresa SaaS poderia ter monitorado cada conta e organização, bem como a frequência com que as operações de clone ocorreram e de onde essas tarefas se originaram.

Todo SaaS consiste em um conjunto de características que definem seu serviço. Qualquer comportamento anormal em relação a esse conjunto de características se torna uma instância. A equipe de monitoramento pode então decidir qual é o limite de instância. Por exemplo, se três tipos diferentes de instâncias ocorrerem em uma janela curta, então há uma alta probabilidade de que algo esteja errado.

Como bônus, entender o comportamento do cliente pode ajudar as empresas a prestar um melhor serviço aos seus clientes. Por exemplo, notificar o cliente de que ele está prestes a atingir algum tipo de limite de uso.

O ponto é que, do ponto de vista da segurança cibernética, os dados de séries temporais podem descobrir uma ampla gama de problemas, problemas e fenômenos, você só precisa procurá-los. Por exemplo, milhares de logins e raspagens de código, em várias contas e organizações, provenientes de dois endereços IP.

Pode ser um desafio para as equipes de segurança e confiabilidade ficar à frente de atores nefastos, antecipar as limitações de sua própria infraestrutura ou prever o que seus clientes farão. A falta de pensamento e planejamento dessas coisas pode acabar em desastre. Mas ver esses mesmos desafios através da lente dos dados de séries temporais revela uma gama de soluções.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS