0
0
Os processos de segurança estão cada vez mais automatizados, o que levou algumas empresas a despriorizarem o desenvolvimento das competências de defesa das suas equipas de segurança. Embora as detecções de ameaças geradas por antivírus e não humanos identifiquem vulnerabilidades com eficiência, elas não conseguem detectar todas as ameaças.
Com o número crescente de ataques cibernéticos, as organizações devem certificar-se de que estão preparadas para se defenderem. Isso significa equipar as equipes de segurança cibernética com habilidades suficientes para identificar e impedir efetivamente um ataque em andamento. É preocupante que apenas 17% dos trabalhadores da tecnologia estejam completamente confiantes nas suas competências em cibersegurança, enquanto 21% não têm qualquer confiança. Dado que 74% das violações de dados são causadas por erro humano, é crucial que sejam implementadas práticas de melhoria de competências.
Uma das melhores formas de desenvolver as competências necessárias é através da aprendizagem prática, que permite aos funcionários praticar num ambiente de baixo risco e compreender melhor os métodos utilizados pelos ciberataques. Esse tipo de experiência é vital para que as equipes de segurança sejam capazes de antecipar ameaças e proteger os negócios de maneira competente.
A importância de testar as habilidades das equipes de segurança
As tecnologias de defesa automatizadas são altamente eficazes para ameaças de mercadorias – aquelas que se baseiam em programas que estão prontamente disponíveis e não requerem personalização para lançar um ataque. Mas a integração de capacidades de IA/ML nas operações de segurança pode gerar uma falsa sensação de segurança. Os invasores ainda podem criar exatamente o mesmo programa com milhões de hashes de arquivos diferentes ou aplicar a engenhosidade humana para escapar de defesas conhecidas.
O antivírus é construído sobre um enorme castelo de cartas em forma de banco de dados de assinaturas que se desintegra facilmente ao alterar o texto nos programas. O mesmo se aplica a assinaturas de rede, detecção e resposta de endpoint. Existem certos comportamentos nos quais as tecnologias de defesa tradicionais se concentram, mas, em última análise, o malware é apenas software. Quanto mais ele se misturar às atividades comuns de software, menor será a probabilidade de um ataque ser detectado. E isso é mais fácil do que parece.
As equipes de segurança precisam de técnicas facilmente replicáveis para emular cenários de ameaças e testar suas habilidades de defesa em relação ao nível de habilidade dos ciberataques. Os testes são a forma como as empresas descobrem o nível de habilidade das equipes de segurança cibernética sem esperar por uma violação.
Pelo menos anualmente, deverá haver uma avaliação completa da equipe vermelha ; o time vermelho é formado por profissionais de segurança ofensiva cuja função é explorar as vulnerabilidades da empresa e superar os controles de segurança cibernética. Mas como os atacantes operam sempre em tempo real, deve haver um exercício semanal para táticas, técnicas e procedimentos individuais ( TTPs ).
Comece com o básico
Mesmo os ataques cibernéticos mais avançados utilizam técnicas básicas que já existem há anos. As empresas precisam se concentrar em aproveitar totalmente as ferramentas de que dispõem para detectar até mesmo as técnicas mais básicas e, a partir daí, avançar para técnicas mais avançadas. Isso removerá primeiro a ameaça mais comum da equação. Isso lhes dá tempo para identificar e desenvolver o conhecimento e a infraestrutura necessários para serem maduros o suficiente para se defenderem contra as ameaças mais avançadas ou perigosas.
Antecipe o risco usando modelos de aprendizagem de simulação de ameaças
Um exemplo de tal exercício é uma simulação de ataque amigável da equipe azul. A equipe azul aqui se refere a especialistas em segurança que estão cientes dos objetivos e da estratégia de segurança da organização e estão tentando defender e responder aos ataques realizados pela equipe vermelha. Um grupo se apresenta como a força oposta, ou neste caso, como criminosos cibernéticos, enquanto testa a capacidade dos defensores de detectar e se proteger contra tais ataques.
No entanto, esses tipos de simulações são realizados em extensas faixas cibernéticas que exigem muito tempo e esforço para serem criadas e nem sempre refletem com precisão o ambiente empresarial. Além disso, exige que as equipes de segurança tirem vários dias de folga para realizar o exercício. A qualidade destas simulações depende da equipa que as desenvolveu e da complexidade dos recursos de alcance cibernético disponíveis. A rápida evolução das ameaças significa que o trabalho realizado pelas equipes cibernéticas pode ter uma vida útil curta, assim como a capacidade de preparar adequadamente os defensores.
Os defensores precisam ser capazes de testar rapidamente novas táticas e técnicas em seu ambiente cotidiano. Isto permite-lhes verificar rapidamente a eficácia das suas ferramentas de monitorização, bem como das suas pessoas e processos, de forma contínua, de forma precisa relativamente às ameaças atuais. Isto é importante para o conceito de “tornar-se a ameaça”. O que as equipes de segurança cibernética realmente precisam é da capacidade de testar táticas individuais no ambiente real de sua organização, sem a sobrecarga de um exercício completo da equipe vermelha.
Aprimore habilidades e desenvolva confiança por meio do aprendizado prático
As simulações são uma boa maneira de entender a melhor forma de se defender e responder contra diferentes ataques e determinar se os funcionários precisam melhorar suas habilidades. No seu nível básico, se a equipa azul vencer, pode estar confiante quando se trata de uma ameaça à segurança cibernética. Mas se perder, a organização ainda tem trabalho para melhorar a sua estratégia de defesa.
Ao simular vários TTPs, você pode classificá-los de duas maneiras. Primeiro, pelo nível de conhecimento necessário para realizar o ataque específico. Segundo, pela área ou tipo de dados em que o ataque deve ser detectado.
O conceito de defesa em profundidade é que mesmo que você perca um componente de um ataque, o ideal é que você possa capturar outros para evitar que os atacantes atinjam seu objetivo. A medição é baseada no tempo que uma equipe leva para detectar e responder a um determinado TTP depois de lançado, por categoria da técnica. As lacunas de habilidades, processos e tecnologia podem então ser mapeadas identificando onde os tempos de resposta foram baixos ou onde não houve tempo de resposta.
Habilidades atualizadas são essenciais para ficar à frente dos hackers
As equipes cibernéticas jogam um jogo constante de gato e rato para acompanhar o cenário de ameaças em evolução. No entanto, as organizações podem adotar práticas específicas para garantir que as equipas tenham competências desenvolvidas para se defenderem contra ataques cibernéticos e protegerem o negócio.
Fornecer aos funcionários experiências em primeira mão sobre como ocorre um ataque cibernético pode quebrar a barreira entre o defensor e o invasor para compreender melhor a ameaça e antecipar os riscos. Este tipo de percurso de aprendizagem é crucial para uma organização que precisa de saber até que ponto as suas equipas estão bem equipadas para quando ocorrer inevitavelmente um ataque cibernético. Só então poderão ser tomadas decisões para preencher as lacunas de competências com formação adicional ou se o seu nível atual de especialização é suficiente para proteger o negócio.
Quando se trata de ataques cibernéticos, as equipes de segurança devem agir com extrema rapidez para minimizar o impacto em ambientes estressantes. Simulações práticas de ameaças munirão os especialistas em segurança cibernética com as habilidades e a confiança necessárias para reagir a um ataque cibernético com calma e eficiência, protegendo ao mesmo tempo os dados confidenciais da empresa e evitando danos dispendiosos.
FONTE: HELP NET SECURITY