Quanto tempo você acha que seria necessário para detectar um intruso em sua casa? A maioria das pessoas se mover rapidamente quando ouvem um intruso.
Intruso de Redes |
Vamos dizer que eles entraram durante a noite, apenas para dar-lhes uma chance. Provavelmente seria apenas alguns minutos antes de você chamar a polícia ou na ponta dos pés em direção aos invasores de agarrar uma raquete de tênis ou taco de beisebol em suas mãos suadas.
Certamente não seria semanas ou meses antes de notar.
E, no entanto, muitas empresas vão levar muito tempo para detectar intrusos em suas redes.
"O tempo entre o ataque e a detecção pode esticar até 200 dias", disse Peter Woollacott, chefe da empresa de segurança Huntsman.
"É preciso tanto tempo, porque existe uma escassez de analistas de segurança competentes e há uma enorme quantidade de tecnologia que está fornecendo-lhe informações sobre a ameaça", disse ele.
A análise sugere uma razão US varejista sofreu uma das maiores violações de dados da história corporativa americana era porque os sistemas de detecção de ameaças da empresa oprimia sua equipe de segurança com alarmes falsos. Em meio a todo esse barulho eles não notaram os intrusos reais.
Houve indícios de que o site de infidelidade Ashley Madison foi também expostos por um intruso que tomou dados de sua rede interna.
A razão pela qual há tantos dados para peneirar é porque os bandidos mudaram suas táticas, disse Raimund Genes, CTO da Trend Micro.
"Eles geralmente começam com um ataque de engenharia social", disse ele. "Eles pegam informações de seu Facebook para fazer parecer que eles sabem quem você."
Os falsos truques de familiaridade pessoas para abrir um e-mail armadilha e deixá-los roubar credenciais que são então utilizados para chegar a uma rede da empresa. Ou ele pode levar a um link que dá e um invasor acesse ao computador de trabalho.
Por essa razão, disse Genes, muitas empresas agora devem monitorar o que acontece em sua rede interna, um espaço que até agora eles assumiram para ser fiel.
Muitas empresas operam em um "castelo e fosso" base mas isso significa que suas defesas, enquanto forte, estão enfrentando em grande parte para fora. Eles podem perder os ataques que vêm de dentro talvez por sapadores de túneis sob os muros ou sabotadores que conseguiram enganar o seu caminho.
Virando as defesas interior pode resolver esse problema. No entanto, disse Turner Mav da empresa de segurança ventos solares, observando tudo o que o tráfego interno em uma intranet é difícil.
A infraestrutura
"A infraestrutura e muito, muito complexo", disse ele. "Há uma grande quantidade de peças móveis."
Em suas operações do dia-a-dia, cada dispositivo em que a rede gera informações sobre o que está fazendo. O retrato é feito mais complicado pela inteligência de ameaças moderno, maneira de monitor sistemas e informar sobre a atividade na intranet.
Isso pode adicionar até milhões, se não bilhões, de eventos individuais a cada dia que exigem uma análise.
Isso pode adicionar até milhões, se não bilhões, de eventos individuais a cada dia que exigem uma análise.
O que é fundamental, disse o Sr. Turner, é entender o que está acontecendo nessa rede e se esses eventos são normais. Esses padrões são susceptíveis de ser exclusivo para essa rede abordagens de modo mais tradicionais baseados em torno de assinaturas de ataques conhecidos são muito menos úteis.
Muitos ataques modernas, tais como aqueles que começam com e-mails falsos para olhar como eles são de alguém que você conhece bem, não se assemelham a um ataque, porque eles usam seu nome de login e senha. Parece que você está conectado. Em vez disso ciber-ladrões usam as credenciais roubadas para atravessar a rede e obter a recursos valiosos.
Cada vez mais empresas e grandes organizações estão se voltando para ferramentas que assistem os fluxos de tráfego na sua rede e equipe alerta para anomalias, por exemplo, se alguém que nunca antes tenha consultado o banco de dados de clientes de repente começa a baixar megabytes de dados a partir dele.
"Você precisa usar o poder da máquina para fazer algumas das coleções de informação", disse o Sr. Woollacott. "Detecção de anomalia é grande, é muito poderoso, mas ele precisa ser usados em conjunto com algoritmos de alta velocidade."
Além disso, disse ele, nem toda anomalia é um risco de segurança. Os seres humanos são um elemento necessário que tem de verificar se um alerta é um falso alarme ou o começo de algo mais sério. Eles também são os que decidem qual ação precisa ser tomada ao responder a um alerta.
Como os algoritmos ficaram melhores para triagem, alguns desses vão ser automatizado, disse Woollacott, mas é provável que os seres humanos serão sempre aqueles que decidem se desligar sites ou serviços em resposta.
Apesar de obter melhor em detectar uma violação é vital para reduzir a janela de 200 dias de exposição que não é tudo o que tem que fazer.
Uma vez que uma violação é detectada, a empresa precisa ser capaz de fazer algo sobre isso, disse Harry Sverdlove, CTO da Bit9. As empresas também precisam de ferramentas para gravar esses fluxos de dados internos para auxiliar a análise forense.
"Uma das coisas que você precisa fazer é a gravação constante", disse ele. "Quando você percebe que não era um cara ruim lá, você precisa voltar e ver onde eles foram e o que fizeram?"
Isso ajuda se um processo criminal decorrente da intrusão e pode revelar deficiências na maneira do trabalho pessoal. Sem essa visibilidade, as empresas poderiam ser condenados a repetir os mesmos erros.
"Dessa forma, você pode gerenciar o dano", disse ele. "Isso é importante quando você percebe que há uma boa chance de que os bandidos já estão lá em sua rede."
Nenhum comentário :
Postar um comentário
Deixe seu comentário ou sugestões de postagem.