0
0
O mundo é abalado por diferentes novas crises e eventos cibernéticos todos os dias. Todos os setores são afetados pelos eventos, seja em termos de produção, transporte ou segurança. A intensidade e o impacto dos ataques cibernéticos em todos os setores continuam aumentando diariamente. Soluções tradicionais de inteligência de ameaças não são suficientes. Portanto, novas soluções, como a Inteligência De Ameaças Estendidas, são necessárias.
Em 2021, só as gangues de ransomware lucraram pelo menos US$ 590 milhões, de acordo com o Departamento do Tesouro dos EUA. À medida que os atores de ameaças aproveitam táticas, técnicas e procedimentos mais direcionados (TTPs) para explorar com sucesso sistemas vulneráveis, as equipes de segurança estão cada vez mais procurando soluções focadas em laser que os alertam com sinais de alerta antecipado de ameaças cibernéticas.
No entanto, serviços isolados de cibersegurança, como aqueles que envolvem tecnologias unidimensionais, não são suficientes para detectar ameaças de ransomware de antemão nem são eficazes para as indústrias. Na verdade, o Gartner diz em um relatório publicado no mês passado que a intersecção de muitos casos de uso de cibersegurança é confusa para atores do setor que não sabem qual serviço priorizar contra ameaças.
Mas não precisa ser confundido. Existem algumas plataformas que trazem uma nova abordagem que integra os recursos de Inteligência de Ameaças Cibernéticas, Proteção de Risco Digital e Gerenciamento de Superfície de Ataque Externo para realinhar o pensamento de segurança do de um defensor ao de um invasor. (Os detalhes dessas tecnologias serão explicados abaixo.) Isso pode colocar equipes de segurança em vários setores em uma posição melhor para detectar pontos cegos antes que os hackers os explorem.
Para entender a natureza desses serviços, antes de mais nada, é necessário descrever os limites das abordagens tradicionais em segurança cibernética.
Quais são as limitações das abordagens tradicionais de inteligência de ameaças?
Historicamente, a inteligência de ameaças foi prometida para ser o primeiro destino a procurar as incógnitas, porém programas tradicionais de inteligência de ameaças cibernéticas (CTI) reativos são improváveis de preencher a lacuna de alerta antecipado. O foco limitado na coleta e análise de dados da dark web, por exemplo, é uma das desvantagens.
Apesar do fato de que os mercados da dark web se tornaram uma loja única para atores de ameaças que queriam sacar, de acordo com a Pesquisa CTI da SANS de 2021, apenas 38% dos entrevistados consideram as fontes fechadas e escuras da web como parte de sua coleta de informações.
Esse baixo nível de interesse pode ser resultado de um equívoco comum, que é a suposição de que a inteligência relevante de fontes profundas e escuras da web seria incluída em feeds de ameaças públicas e IOCs. Isso pode ser verdade para a inteligência tática, mas é muito limitado em termos de coleta de inteligência operacional e estratégica específica da empresa.
Outro fator contribuinte para essa estratégia CTI insuficiente seria a sensação errada de segurança disseminada por fornecedores de cibersegurança e provedores de tecnologia. Os IOCs alimentados com a pilha de segurança existente têm sido fortemente mostrados como uma maneira proativa final de prevenir ameaças cibernéticas.
A visibilidade é um componente crucial da defesa cibernética. É essencial saber o que proteger. A falta de visibilidade e inteligência em torno de vulnerabilidades críticas voltadas para o exterior é outra desvantagem dos programas tradicionais de CTI.
De acordo com o IBM X-Force Threat Intelligence Index, a participação das vulnerabilidades de varredura e exploração saltou para ser o principal vetor de infecção (35%), superando o phishing. Manter um inventário de ativos atualizado e executar varreduras contínuas do ponto de vista externo pode ajudar as equipes de gerenciamento de vulnerabilidade a detectar e priorizar a remenda de bugs fortemente explorados em tecnologias críticas de balanceador de carga ou VPN, como Citrix, Palo Alto ou Microsoft Exchange.
Como chegamos a “estendido”?: Completando o quebra-cabeça
Devido à mistura ideal de prevenção, resposta e perspectivas estratégicas, especialistas em segurança cibernética acreditam que o mecanismo de alerta precoce deve ser naturalmente construído em torno da inteligência de ameaças. O objetivo dos programas CTI é ajudar as equipes de segurança a preencher uma lacuna de conhecimento sobre as ameaças presentes e futuras.
Na última década, uma série de soluções que proporcionam a visibilidade de ameaças externas também nasceram, como o Digital Risk Protection Services (DRPS) e o External Attack Surface Management (EASM).
As tecnologias EASM, por outro lado, abordam a segurança na perspectiva dos atacantes. Entender a paisagem de ataque em constante mudança através da identificação de ativos esquecidos ou sombras pode ajudar as equipes de segurança a detectar fraquezas e vulnerabilidades no início.
As soluções DRPS são geralmente a solução para empresas que precisam de proteção estendida de ativos digitais críticos, bem como riscos associados a terceiros, marcas, funcionários e VIPs. Os stakeholders do DRPS podem se estender a equipes de prevenção de fraudes, diretoria executiva e outros departamentos voltados para o cliente.
As tecnologias DRPS e EASM permitem que as organizações lidem com o monitoramento de fontes de dados de muitas variedades, incluindo mídias sociais, certificados SSL, registros de domínio, bancos de dados de vulnerabilidades, conjuntos de dados de violação, fontes deep web, repositórios de código e muitos outros. A tecnologia XTI, no entanto, ajuda a alcançar todo o potencial desses dados massivos, gerando inteligência contínua e acionável. De fato, o Gartner, em outro relatório publicado nos últimos meses, defende a visão de que os provedores de serviços de segurança cibernética devem cooperar com o DRPS ou o EASM.
Um dos desafios de ser líder de segurança é tomar a decisão mais informada de escolher entre um conjunto diversificado de tecnologias para evitar violações de dados. Como a tendência de consolidação em cibersegurança está acelerando, soluções que fornecem resultados semelhantes, mas estão listadas em diferentes definições de mercado, dificultam o trabalho.
Enquanto isso, os profissionais de segurança lidam com uma infinidade de tecnologias que geram alertas de vários fornecedores, eventualmente causando perda de produtividade e complexidade. A importância da integração da inteligência artificial com o setor de segurança cibernética deve ser ressaltada neste momento.
Uma combinação inteligente de tecnologia de automação alimentada por IA e uma equipe ctia pode aumentar a produtividade enquanto transforma um grande fluxo de alerta em um grande número de eventos. O suporte de remediação incorporado também é essencial para interromper ou analisar a infraestrutura inimiga conforme necessário.
Como funciona o XTI? Como diferentes soluções de Inteligência de Ameaças Estendidas podem ajudar as empresas?
A Inteligência de Ameaças Estendida pode chegar ao chão e estar operacional em horas. Não há necessidade de uma lista de ativos ou palavras-chave do Excel para virar a chave. Empresas XTI como o SOCRadar, prometem diferentes módulos para ativar. Por exemplo, o primeiro é o EASM (External Attack Surface Management, gerenciamento externo de superfície de ataque). A EASM executa um processo de descoberta e mapeamento de pegada digital muito detalhado (DFP) que acreditamos ser fundamental.
Além disso, a Proteção de Risco Digital (DRPS) e a Inteligência de Ameaças Cibernéticas (CTI) sobem ao estágio, é claro. Novamente, para dar um exemplo usando ativos digitais descobertos automaticamente, incluindo palavras-chave da marca, a tecnologia DRPS unificada e CTI começam a coletar e analisar dados em toda a superfície, deep e dark web para serem processados e analisados em tempo real.
O principal benefício do XTI é que ele fornece uma visibilidade contínua de visualização de hackers em pontos cegos para torná-lo proativo contra ameaças cibernéticas. DRPS, EASM e CTI não coexistem apenas dentro de uma única plataforma, mas é a interoperação próxima desses três módulos.
Outras vantagens do XTI são:
- Centralização da inteligência de ameaças externas
- Custos reduzidos de aquisição
- Analistas certificados de Inteligência de Ameaças (CTIA) que atuam como uma extensão de sua equipe de segurança em termos de remediação e resposta
- Perspectiva acionável e holística de prevenção de ameaças além do perímetro
- Eliminados processos de investigação de DFIR e ameaças
- Facilidade e velocidade de onboarding para defender sua empresa contra atores de ameaças e criminosos cibernéticos imediatamente
- Prevenção de ameaças acionáveis e holísticas integrando-se com suas plataformas SIEM/SOAR
- Encurtar o tempo e o esforço de sua atividade de caça a ameaças com plataforma de big data incorporada
FONTE: HELPNET SECURITY