0
0
A segurança cibernética envolve um ato de equilíbrio entre aversão ao risco e a tolerância ao risco. Ir longe demais para extremos pode aumentar o custo e a complexidade, ou pior: causar as inevitáveis consequências de negócios e conformidade de um ataque cibernético bem sucedido. As decisões que precisam ser tomadas em torno da exploração madeireira e monitoramento não são exceção.
Capturar todos os dados de todos os dispositivos da rede pode criar gargalos, sobrecarregar o gerenciamento de log e ofuscar sinais de penetração de rede ou atividades maliciosas. Não capturar todos os dados críticos de registro pode resultar em monitoramento que não identifica ataques antes que eles façam danos ou ajudem na perícia após o incidente.
Obter o registro e o monitoramento certo é tão importante que está listado entre os controles críticos de segurança do Center for Internet Security.
Falha no registro cria pontos cegos
A não ativação do registro cria pontos cegos de segurança em sua rede que só se tornarão aparentes após o fato (ou seja, quando um ataque é bem sucedido). Todos os componentes de sua infraestrutura estendida — no local e no controle remoto — devem ser configurados para gerar eventos de auditoria apropriados. Esses componentes incluem sistemas operacionais, utilitários de sistema, servidores, estações de trabalho, equipamentos de rede e sistemas de segurança (que incluem anti-malware, firewalls, sistemas de detecção e prevenção de intrusões e VPNs).
Isso se aplica se você executa sua própria solução de gerenciamento de informações de segurança e eventos (SIEM) para gerenciamento de log ou usa um SIEM gerenciado com SOC-as-a-Service para monitoramento, alerta e emissão de relatórios 24 horas por dia, 7 dias por semana. O SIEM conta com feeds de dados de registro para fornecer proteção. Ele não pode ver alertas sobre o que não está sendo registrado. A responsabilidade de tornar dispositivos e aplicativos visíveis muitas vezes fica fora da organização de segurança.
Por exemplo, a falha na ativação do registro pode acontecer se houver uma mentalidade de “defina e esqueça”. A realidade é que as redes estão sempre mudando. Novos dispositivos de ponto final estão sendo continuamente adicionados e removidos devido a mudanças de pessoal, adição de novas localizações, programas de trabalho flexíveis que permitem que os funcionários trabalhem em casa, novas soluções de mobilidade e afins.
Supondo que novos aplicativos e dispositivos — incluindo novas infraestruturas em nuvem — venham com o registro definido para “on” é outra maneira de as organizações não enviarem dados para o SIEM. “Verifique sempre as configurações de registro” deve ser procedimento padrão em toda a organização de TI. Uma terceira possibilidade é não entender que os registros de um dispositivo IoT — em um exemplo real, o leitor de crachá na entrada da sala do servidor — devem ser monitorados.
Estabeleça uma política de gerenciamento e monitoramento de log
A melhor maneira de evitar falhas de registro e monitoramento — bem como a falha na captura dos dados certos — é uma política de gerenciamento e monitoramento de registros e uma cultura de conscientização e adesão de políticas. O desafio é determinar quais dados de registro capturar e monitorar com um SIEM e armazenar adequadamente para fins de auditoria.
Mandatos de conformidade, como o PCI DSS, inicialmente conduziram essas decisões. A legislação federal dos EUA e os requisitos regulatórios, como o HIPAA e a FISMA, também entram em jogo. Embora os relatórios de conformidade e auditoria permaneçam em tabelas, as soluções siem de hoje têm um foco maior na detecção de ameaças e na perícia.
É preciso uma mistura de arte, ciência e experiência para determinar o que deve ser codificado na política de exploração madeireira de uma organização. Você quer levar em consideração o apetite de risco, a relevância da segurança e o volume, ao mesmo tempo em que encontra o saldo para a exploração madeireira. Isso significa apenas o suficiente para satisfazer o caso de uso específico da sua organização e não tanto que você está atolado em dados.
A boa notícia é que você não precisa começar do zero. Por um lado, muitos fabricantes de dispositivos de rede, fornecedores de software e provedores de nuvem oferecem sugestões de quais dados de eventos devem ser registrados para seu produto ou serviço. Você também pode obter orientação de frameworks padrão do setor, como NIST SP800-92, MITRE ATT&CK ou o Open Web Application Security Project (OWASP).
A principal vantagem é que você deve tomar uma decisão informada sobre os dados do evento de todos os componentes da rede. A lista abaixo é um ponto de partida dos eventos a considerar:
- Eventos de autenticação e controle de acesso bem-sucedidos e mal sucedidos
- Atividades de gerenciamento de contas, como criação de contas, modificação e exclusão
- Atividades de sessão
- Processos de partida e parada
- Alterações na autorização, privilégios do usuário e configurações
- Dispositivos e software adicionados ou removidos
- Acesso, modificações, downloads e exclusão de conjuntos de dados críticos
- Alertas de sistemas de segurança, incluindo firewalls, IDS/IDP e anti-malware
Para fins forenses, cada entrada de log deve conter pelo menos um ator (nome de usuário, endereço IP), uma ação, um estamp de tempo e um local (geolocalização, navegador, nome do script de código).
O gerenciamento adequado de log é fundamental para proteção e conformidade
Considere também como seus arquivos de log são gerenciados. Se você manusear informações de saúde pessoal ou identidade (PHI/PII), considere anonimizar esses dados para evitar que informações confidenciais sejam armazenadas em texto simples. Você também quer garantir que os arquivos de registro não possam ser adulterados. Criminosos cibernéticos frequentemente mudam arquivos de registro para disfarçar suas atividades maliciosas. A criptografia em repouso e em movimento, juntamente com verificações de integridade de log e acesso de menor privilégio, pode proteger os dados de log. Para evitar a perda de dados, certifique-se de fazer backup de dados de log com frequência para que ele esteja disponível para uma auditoria de conformidade ou quaisquer investigações forenses necessárias.
Dependendo dos regulamentos ou mandatos aplicáveis ao seu negócio, você precisará armazenar logs por um período de tempo especificado. Por exemplo, o PCI DSS exige que os logs sejam armazenados por pelo menos um ano, com três meses disponíveis sob demanda. Os meses restantes podem residir em armazenamento de longo prazo, como fita armazenada fora do local.
Monitoramento de considerações: Um SIEM bem ajustado com um SOC qualificado
Sistemas de monitoramento de registros, normalmente soluções SIEM, supervisionam a atividade da rede, analisam eventos do sistema e emitem alertas quando o comportamento anômroo é detectado. Eles são otimizados para diferentes casos de uso e um tamanho nunca se encaixa em todos. A seleção errada pode ter um impacto duradouro, ser cara para manter e apoiar, e demorada para sintonizar, e é por isso que muitas implantações do SIEM acabam abandonadas.
As organizações precisam de um SIEM bem ajustado para fornecer a visibilidade fundamental sobre eventos no ambiente de rede. A automação produz eficiências significativas quando aplicadas às enormes quantidades de dados que devem ser correlacionados e filtrados para descobrir ameaças cibernéticas. Com automação e inteligência artificial, o SIEM superfícies apenas aqueles artefatos que precisam ser mais revisados por um analista de segurança para determinar se o evento é um falso positivo ou um evento de segurança real. A inteligência de ameaças fornece, então, contexto específico para os objetivos e postura de risco da sua organização. Um SIEM também deve fornecer relatórios para atender aos requisitos de conformidade.
Muitas vezes é irrealista para a maioria das pequenas e médias empresas (SMBs) contratar, treinar e reter funcionários de operações de segurança interna e implementar a inteligência de ameaças de última geração. Por exemplo, em nossa experiência, é preciso um mínimo de oito a dez analistas para fornecer cobertura de monitoramento 24 horas por dia. A tentativa de implementar a segurança cibernética DIY pode resultar em um software de segurança subutilizado que se torna shelfware e leva a vulnerabilidades escancaradas. Para essas organizações, um SIEM gerenciado com SOC-as-a-Service para monitoramento 24 horas por dia, 7 dias por semana, análise de eventos, inteligência de ameaças e gerenciamento de log pode ser uma opção viável para acelerar o tempo para detectar ameaças à segurança e melhorar a resiliência.
FONTE: HELPNET SECURITY