Blue team

S-Labs

Mudar o foco: da prevenção à preservação

Para aqueles de nós que trabalhem em TI e Segurança de TI há mais de 25 anos, quando se trata de segurança a missão é fazer com que nada aconteça.

01/06/2022

Mudar o foco: da prevenção à preservação

Literalmente. Se fizermos o nosso trabalho, a nossa presença não é notada, os dados não são roubados e o malware nunca interrompe as operações. Claro que esta não é a realidade, mas uma orientação para o que queremos alcançar.

Ao longo dos últimos anos, os programas de segurança giravam em torno de aumentar a eficácia das ferramentas preventivas das marcas, como firewalls e antivírus, para que estivessem o mais próximo possível da perfeição. Os ataques eram amplamente automatizados e o estado geral de segurança em todo o mundo era atroz. Os criminosos podiam contar com quantidade, e não com qualidade, para roubar. Todo este panorama levou a uma dependência excessiva de ferramentas, e não de pessoas, para resolver os problemas e reconhecer as ameaças. E isto funcionou – até certo ponto.

Atualmente, embora ainda existam criminosos que percorrem a Internet em busca de computadores, servidores e dispositivos IoT sem patches, as ferramentas de segurança estão à altura da tarefa de detetar esses ataques e manter as redes seguras. A realidade é que todos os ataques que realmente tememos, enquanto profissionais de segurança, incluem uma componente essencial comum: humanos.

Os humanos são imprevisíveis, tenazes e, tal como implica o termo “ameaça persistente avançada” (APT, na sua sigla em inglês) que tantas vezes utilizamos... persistentes. As ferramentas não conseguem reagir perante humanos que identificam as suas fraquezas e as exploram. Por outro lado, ao invés de bots e scripts automatizados, os humanos não desistem e são muito inventivos.

As organizações de maior dimensão que se focam em segurança ajustaram-se a esta mudança e criam cada vez mais centros de operações de segurança (SOCs, na sua sigla em inglês). Os analistas de segurança do SOC monitorizam possíveis comprometimentos e tudo o que se desvie das operações ditas normais.

Idealmente os invasores são descobertos antes de roubarem dados ou causarem danos, mas a chave para o sucesso é poder dar resposta a incidentes suspeitos em algumas horas, em vez de dias ou semanas, como acontece demasiadas vezes.

Quanto mais cedo a ameaça for neutralizada, menor será o custo para a organização que foi vítima dela. O relatório “State of Ransomware 2022” da Sophos revelou que o custo médio de recuperação para organizações comprometidas por ransomware na Europa é de 1.51 milhões de euros.

A investigação da Sophos também mostra que os criminosos geralmente ficam dentro das redes comprometidas durante duas ou mais semanas antes de atingirem os seus principais objetivos. Este período de tempo representa muitas oportunidades para que as empresas com defesas ativas quebrem a cadeia de ataque antes que seja tarde demais.

Contudo, nem todas as organizações podem dar-se ao luxo de configurar o seu próprio SOC e monitorizá-lo 24/7. Os analistas são escassos, exigem salários generosos e têm funções muito especializadas. Para a maioria das organizações, a segurança é melhor consumida “como um serviço” (as-a-Service) em que os altos custos iniciais de construção do SOC são partilhados com outras entidades que precisam da mesma proteção.

As organizações que desejam ser proativas na proteção contra ameaças humanas, como ransomware, geralmente querem que os seus fornecedores de segurança, como a Sophos, possam oferecer serviços de resposta gerida a ameaças (MTR, na sua sigla em inglês). Muitos fornecedores de serviços de segurança geridos também oferecem serviços de SOC geridos aos seus clientes, permitindo que estes partilhem os custos de contratação e gestão de operadores de SOC.

Os analistas que trabalham em equipa para proteger centenas de organizações adquirem rapidamente as habilidades necessárias para identificar os tipos de atividades que levam a eventos que paralisam as operações.

No entanto, nem todas as organizações decidiram adotar esta abordagem – mas não estão totalmente por conta própria, se não quiserem. Os serviços de resposta a incidentes, como o Sophos Rapid Response, podem oferecer a mesma experiência quando se deteta uma violação. O custo mais elevado num incidente de ransomware não é o resgate em si; é o tempo de paragem dos sistemas enquanto se formulam planos para expulsar os criminosos e restaurar as operações.

As equipas experientes de resposta a incidentes podem, em simultâneo, eliminar o malware, conectar os pontos de entrada e aconselhar os clientes sobre como restaurar os sistemas para que voltem a um estado seguro. Num momento de crise, contar com profissionais de segurança experientes para aumentar a equipa de segurança in-house e acelerar a recuperação equivale a economizar muito dinheiro no fim de tudo.

Vivemos agora num panorama de segurança que exige não apenas que evitemos violações, mas também que detetemos quando a nossa prevenção falha e tenhamos planos para como responder quando os lapsos de segurança forem descobertos. É, de facto, um admirável mundo novo.

 

Conteúdo co-produzido pela MediaNext e pela Sophos


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº17 Abril 2024

IT SECURITY Nº17 Abril 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.