Top 5 análises de segurança para medir

Views: 523
0 0
Read Time:5 Minute, 3 Second

Você não precisa de um Ph.D. em cibersegurança para reconhecer a importância da análise de segurança. A análise de segurança usa a análise de dados – muitas vezes auxiliada pelo aprendizado de máquina – para detectar ameaças à segurança e medir a eficácia das operações de segurança.

Mas o que pode ser desafiador determinar, especialmente se você não é um especialista em segurança cibernética, é o que analisar para melhorar os resultados de segurança de sua organização. Este artigo discute cinco das análises de segurança mais cruciais para rastrear.

Como você verá, algumas dessas análises ajudam na detecção de ameaças, que é um componente de operações de segurança eficazes. Outros lidam com a avaliação da eficácia de seus processos de operações de segurança para ajudá-lo a detectar ineficiências ou riscos dentro de sua abordagem à gestão de segurança.

Tempo médio para detectar

O tempo médio para detectar, também conhecido como MTTD, é uma métrica padrão para as equipes de operações de TI, que a usam para avaliar a rapidez com que, em média, podem identificar problemas específicos.

O MTTD é particularmente necessário para análise de segurança. De fato, é indiscutivelmente ainda mais crítico neste contexto, dado que muitas organizações lutam para detectar violações de segurança cibernética. Atores de ameaças usam táticas cada vez mais furtivas para esconder suas intenções maliciosas. Eles orquestram várias ações “normais” para se esconder à vista de todos.

Além disso, quanto mais tempo você demorar para descobrir se há uma brecha em seu ambiente, mais danos o ataque provavelmente causará. É provável que o episódio aumente para afetar mais aplicativos e dados se você não detectá-los e isolar os recursos afetados.

Você deve avaliar de forma abrangente quanto tempo sua equipe leva para detectar incidentes de segurança cibernética e objetivo melhorar essa métrica continuamente por todas essas razões.

Tempo médio para resolver

A detecção é apenas o primeiro passo para resolver incidentes de segurança. É por isso que o tempo médio para resolver (MTTR) é uma métrica de análise de segurança igualmente importante para medir.

O MTTR reflete o quão eficiente e eficaz sua equipe de operações de segurança funciona quando ocorre uma violação. Ao rastrear essa métrica, você pode avaliar quanta eficiência você ganha ao implementar alterações em sua estratégia de operações de segurança, como adotar uma nova ferramenta ou fazer alterações organizacionais em sua equipe de resposta à segurança. O MTTR também é útil para avaliar a rapidez com que sua equipe pode resolver diferentes incidentes de segurança, como ataques DDoS, ataques de ransomware e vazamentos de dados.

Tempo médio para conter

Entre a detecção e resolução de incidentes de segurança vem a contenção. A contenção é o processo de isolar recursos comprometidos uma vez que você detectou uma brecha para evitar danos adicionais.

Em alguns aspectos, o tempo médio para conter, ou MTTC, é ainda mais importante do que o MTTR. O custo total de um incidente depende em parte da rapidez com que você pode contê-lo.

Por essa razão, você deve acompanhar o MTTC ao lado de MTTD e MTTR. Se você descobrir que detecta incidentes rapidamente, mas leva muito tempo para contê-los depois disso, é um sinal de que você precisa investir um pouco mais em estratégias de contenção.

Dispositivos não identificados em redes internas

As redes de hoje são muito fluidas. Os pontos finais vêm e vão continuamente, e a maioria das redes não possuem perímetros firmes porque se conectam constantemente à infraestrutura remota de nuvem, dispositivos fora do local conectados via VPNs, etc. Em última análise, isso significa que é impossível desenhar distinções em preto e branco entre quais dispositivos devem ou não existir em sua rede.

No entanto, você pode e deve rastrear sistematicamente quantos dispositivos não identificados existem em sua rede. Dispositivos não identificados são dispositivos cujas origens e propósitos são desconhecidos.

Em muitos casos, dispositivos não identificados são benignos. Podem ser novos VMs que um engenheiro criou ou um dispositivo móvel que um trabalhador trouxe no local como parte de uma política BYOD.

Ainda assim, o número de dispositivos não identificados em sua rede geralmente deve seguir um padrão consistente. Suponha que você detecte um pico repentino em dispositivos desconhecidos. Nesse caso, pode ser um sinal de risco, como a criação não autorizada de novos pontos finais por funcionários que não estão aderindo às regras de governança de TI da sua empresa, ou (pior ainda) esforços dos invasores para trazer dispositivos maliciosos para o meio ambiente para escalar uma brecha.

Métricas de controle de acesso

As funções e políticas de controle de acesso para ambientes de TI modernos são complexas. Diferentes partes do seu ambiente (como uma nuvem pública por um lado e servidores e estações de trabalho no local, por outro), normalmente usam diferentes sistemas de controle de acesso e exigem diferentes tipos de configurações.

Não há uma maneira simples de rastrear configurações de controle de acesso ou identificar positivamente um risco. Para isso, você precisará de técnicas abrangentes e detalhadas de gerenciamento de controle de acesso, como gerenciamento de postura de segurança na nuvem (CSPM) e gerenciamento de direitos de infraestrutura em nuvem (CIEM).

No entanto, mesmo a estratégia de análise de segurança mais básica pode rastrear métricas como o número de usuários e funções dentro das configurações de controle de acesso. Você também pode medir a mudança rápida das políticas de controle de acesso. Flutuações da norma para ambas as métricas podem ser um sinal de um problema de segurança.

Conclusão

As análises de segurança descritas acima representam apenas as métricas mais básicas que você deve considerar rastrear para otimizar as operações de segurança. Existem dezenas de outros – como tempo médio para corrigir, taxas de transferência de dados e exposições de porta de rede, para citar apenas alguns – que podem adicionar contexto crítico às operações de segurança.

Mas se você está elaborando uma estratégia básica de análise de segurança, comece com os principais essenciais, como MTTD, MTTR, MTTC, rastreamento de dispositivos não identificados e métricas de controle de acesso.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS