Detecção e resposta de rede na era moderna

Views: 213
0 0
Read Time:7 Minute, 12 Second

Nesta entrevista da Help Net Security, David Gugelmann, CEO da Exeon , esclarece as atuais ameaças cibernéticas e seus desafios para a segurança da rede. Ele discute a função das soluções de detecção e resposta de rede (NDR) que aproveitam algoritmos de aprendizado de máquina para melhorar a detecção de ameaças e agilizar a resposta a incidentes.

A entrevista também investiga a lacuna de talentos em segurança cibernética, os riscos associados aos dispositivos IoT e a necessidade de as empresas mudarem de uma estratégia de segurança reativa para uma estratégia de segurança proativa. Gugelmann descreve conselhos práticos para CISOs sobre como equilibrar as necessidades de conformidade com medidas práticas de segurança, bem como tecnologias emergentes que estão estabelecendo novos paradigmas em segurança de rede em 2023.

Dada a constante evolução das ameaças cibernéticas, como você vê o cenário atual e quais você considera os desafios mais urgentes para a segurança de rede atualmente?

As ameaças cibernéticas estão se tornando mais avançadas e variam de ransomware, explorações de dia zero e APTs a ameaças internas. Detectar e responder rapidamente a essas ameaças é fundamental para a segurança de uma empresa. A detecção eficaz de ameaças requer visibilidade abrangente das atividades da rede e a capacidade de monitorar constantemente eventos na rede. As informações contextuais sobre ameaças detectadas ajudam as equipes de segurança a tomar decisões informadas para uma resposta a incidentes. As soluções de detecção e resposta de rede facilitam a rápida investigação, contenção e rápida correção de incidentes. Além disso, os algoritmos subjacentes de aprendizado de máquina (ML) são essenciais para melhorar a precisão da detecção de ameaças, reduzir alarmes falsos e permitir uma resposta rápida.

Outro desafio importante é a falta de profissionais de segurança cibernética com as competências e conhecimentos necessários. É aqui que uma notificação de falha na entrega automatizada pode mitigar, pois simplifica a inteligência sobre ameaças e é acessível a equipes de segurança com todos os níveis de conhecimento.

Além disso, a crescente proliferação de dispositivos IoT e a tendência BYOD levaram a novas vulnerabilidades na segurança dos terminais da rede. Além disso, as empresas estão a avançar para um modelo de confiança zero, onde, por defeito, ninguém é confiável. No entanto, sem uma boa visibilidade das atividades da rede, será muito complicado para os administradores de rede definirem políticas rigorosas de confiança zero. Uma solução NDR que forneça recursos de visibilidade fáceis de usar pode simplificar bastante a implementação de políticas fortes de confiança zero.

Finalmente, os regulamentos de conformidade (por exemplo, NIS2 , GDPR ou DORA) exigem medidas de segurança robustas para proteger dados sensíveis e garantir a conformidade regulamentar a nível nacional e supranacional.

Uma notificação de falha na entrega aborda esses desafios com detecção avançada de ameaças que aproveita o ML para detecção de anomalias comportamentais para fornecer monitoramento e permitir alertas e respostas imediatas. Além disso, as notificações de falha na entrega fornecem recursos que ajudam as organizações a atender às regulamentações de proteção e conformidade de dados.

Quais são as vulnerabilidades de rede mais comuns que as organizações costumam ignorar?

Um grande problema que estamos vendo nas redes é a shadow IT , ou seja, dispositivos desonestos ou “esquecidos” que estão conectados à infraestrutura de TI de uma organização. Os dispositivos Shadow IT geralmente não são atualizados, o que torna trivial para os invasores explorarem uma fraqueza bem conhecida de um dispositivo. Basicamente, os invasores podem apenas pesquisar quais vulnerabilidades não corrigidas são conhecidas para uma determinada versão do dispositivo, procurar uma exploração de prova de conceito de tal vulnerabilidade e, em seguida, usar a exploração para assumir o controle do dispositivo. Isso permite que um invasor estabeleça facilmente uma posição segura na infraestrutura de TI de uma organização.

Outro grande problema é a complexidade do conjunto de regras de firewall que as organizações maiores devem manter. Existem facilmente dez mil ou mais regras de firewall ativas. Devido à complexidade resultante, acontece frequentemente que os firewalls sejam mal configurados e permitam o acesso a serviços que não deveriam ser acessíveis, por exemplo, do exterior. Novamente, essa única configuração incorreta pode fornecer ao invasor uma maneira fácil de entrar na rede. Uma vez estabelecida uma posição na rede, um invasor pode mover-se lateralmente dentro da rede e executar um ataque que geralmente dura semanas, meses ou até anos.

Para mitigar estas ameaças, é importante que as organizações monitorizem as suas atividades de TI. Porque, por exemplo, as etapas de preparação para o movimento lateral e o próprio movimento lateral podem muitas vezes ser facilmente detectados na rede por uma solução NDR.

Como as organizações podem aproveitar melhor a automação para proteger suas redes contra ameaças automatizadas?

A automação é eminentemente importante para proteger as redes contra ataques, uma vez que os atacantes podem potencialmente esconder-se entre milhares de milhões de comunicações nas redes todos os dias. Algoritmos de detecção de ameaças baseados em aprendizado de máquina analisam continuamente o tráfego, os protocolos e os comportamentos da rede e identificam anomalias. Esses modelos de detecção aprendem continuamente com dados históricos para identificar ameaças com base em mudanças de comportamento. Uma vez detectadas ameaças potenciais, o sistema correlaciona as atividades suspeitas e gera alertas para notificar as equipes de segurança caso a ameaça seja considerada relevante. Como esta avaliação não se baseia em informações estáticas, como listas negras de ameaças conhecidas, mas sim em análises de comportamento, ela também pode detectar ataques de dia zero que ainda não são conhecidos.

Os alertas incluem informações contextuais relevantes sobre a ameaça para acelerar a tomada de decisões.

Que conselho você pode dar aos CISOs ao equilibrar as necessidades de conformidade e a praticidade de implementar certas práticas de segurança de TI?

Para começar, é imperativa uma compreensão abrangente dos requisitos regulamentares e das regras que se aplicam à respectiva indústria. Além dos requisitos regulamentares, cada CISO precisa desenvolver uma estratégia de segurança que também atenda às necessidades específicas de segurança da organização. Com isso, podem ser definidas e implementadas medidas eficazes e gerenciáveis.

As medidas automatizadas são um aspecto muito importante para cumprir igualmente os requisitos de conformidade e praticabilidade, porque apenas são necessários recursos humanos muito limitados para operá-las. Por exemplo, a detecção e resposta de rede baseada em aprendizado de máquina ajuda a monitorar continuamente a rede, identificar vulnerabilidades e ameaças e acionar alertas para atender às regulamentações de conformidade sem o envolvimento de recursos humanos.

Como podem as organizações criar uma estratégia proativa que se concentre no fortalecimento das vulnerabilidades inerentes às suas redes, em vez de apenas reagir a ameaças externas?

Sugerimos diversas medidas para fortalecer proativamente as redes corporativas. Em primeiro lugar, atualizações e patches frequentes dos sistemas são cruciais para eliminar potenciais pontos fracos. Em segundo lugar, é muito importante ter uma visão holística de todas as atividades da rede para garantir que não haja fluxos de dados não intencionais. Uma solução NDR pode ajudar a gerar essa visibilidade. Sugerimos também a realização de auditorias regulares de rede para identificar e resolver vulnerabilidades, configurações incorretas e sistemas desatualizados que possam ser explorados por invasores. E, por último, a funcionalidade dos sistemas NDR torna-os proativos por natureza, uma vez que monitorizam continuamente o tráfego de rede com o objetivo de prevenir ameaças antes que elas ocorram, em vez de reagir a elas.

Quais soluções e tecnologias emergentes de segurança de rede serão revolucionárias em 2023?

Existem muitas oportunidades para fortalecer a segurança da rede e fornecer às organizações ferramentas poderosas para se defenderem contra ameaças cibernéticas em evolução. Na verdade, muita coisa está acontecendo também na tecnologia de detecção e resposta de rede. Estas tecnologias recentes fornecem insights profundos sobre o tráfego de rede e identificam comportamentos anômalos e ameaças potenciais com base na análise de padrões de comportamento. Técnicas avançadas de ML melhoram a precisão da detecção de ameaças do NDR, analisando grandes volumes de dados de rede local e na nuvem em busca de anomalias e padrões indicativos de ataques. O que também vemos nas interações com os clientes é que as soluções modernas de NDR fornecerão um alto nível de flexibilidade arquitetônica, permitindo uma integração perfeita na infraestrutura de monitoramento existente.

No entanto, também é importante mencionar que não se trata de mudanças de jogo completamente novas, mas sim de evoluções contínuas que, felizmente, já poderíamos antecipar em vários trabalhos de investigação de há alguns anos.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS