Todos nós já vimos essa cena em algum filme ou programa de TV: um hacker está sentado em uma sala sombria, digitando ativamente em seu teclado. Música de suspense toca ao fundo, a câmera gira em torno dele em um movimento lento e no espaço de alguns cliques e voilà! nosso protagonista invadiu o alvo altamente seguro que ele estava tentando penetrar.
“Estou dentro.” ele diz.
Isso pode render uma ótima TV, mas a realidade das violações de dados é, bem… não tão empolgante.
O fato é que os ataques maiores e mais prejudiciais não acontecem em minutos. Eles se desdobram ao longo de meses. Eles não são executados em alguns cliques, mas por meio de um longo processo de exploração e aproveitamento.
De acordo com fontes, o tempo médio para detectar e conter uma violação é de 280 dias. Isso é mais de 9 meses. Detectar e conter uma violação causada por um ataque malicioso leva ainda mais tempo: 315 dias em média.
Uma violação não é um evento; é um processo
A coisa mais importante a entender sobre violações de dados é que não é um evento único; em vez disso, é um processo contínuo com várias etapas.
O primeiro passo geralmente é a infiltração. Esta é a etapa pela qual o invasor ganha uma posição segura na rede. A infiltração pode acontecer de várias maneiras: pode vir por meio de roubo de credencial direcionado, exploração de aplicativos da Web vulneráveis, roubo de credencial de terceiros, malware e muito mais. No entanto, este é apenas o primeiro passo e ainda há um longo caminho a percorrer.
A próxima etapa geralmente é o reconhecimento. É aqui que os invasores tentam entender qual é a arquitetura da rede, que acesso eles têm por meio de suas credenciais roubadas e onde os dados confidenciais são armazenados. Compare isso a um ladrão arrombando no meio da noite uma casa que não visitou. A primeira coisa que fazem é olhar em volta e ver o layout da casa e onde os objetos de valor estão sendo guardados. Os ataques cibernéticos não são diferentes.
Assim que os invasores concluírem o reconhecimento básico, eles geralmente tentarão a expansão lateral na rede, isto é, mover-se dentro da rede para um nível superior com melhor acesso, realizar escalonamento de privilégios para obter permissões com acesso mais amplo, adquirir dados confidenciais e, finalmente, exfiltrá-lo fora da rede.
Essas etapas levam semanas e meses para progredir, realizadas por meio de um meticuloso processo de tentativa e erro pelos invasores, enquanto eles se esforçam para identificar recursos confidenciais e expandir dentro da rede.
Normalmente, no caso de uma violação de dados, ouvimos apenas sobre as primeiras e últimas etapas, infiltração na rede e exfiltração de dados, mas entre elas há todo um mundo de atividades.
Seu problema não é detecção. É Correlação
Como, então, você pode perguntar, se uma violação de dados é feita de tantas etapas individuais, que essas etapas não são detectadas e imediatamente identificadas para as explorações maliciosas que são?
A resposta é que eles são detectados. Mas o principal problema da segurança na nuvem hoje não é de detecção. É correlação.
Os sistemas de segurança modernos detectam muito. Na verdade, eles provavelmente detectam muito: de acordo com o estudo da segurança de TI, o SOC médio recebe mais de 10.000 alertas por dia de uma gama cada vez maior de produtos de monitoramento e detecção.
No entanto, apesar desse grande número de alertas, há uma série de razões pelas quais a atividade maliciosa ainda não é detectada:
Muitos logs: quando você tem muitos logs, é impossível saber quais alertas são importantes e quais não. Identificar um evento malicioso em um mar de falsos positivos é como tentar encontrar uma agulha em um palheiro.
Alertas de baixo risco: enquanto muitos eventos estão sendo detectados, a maioria deles são alertas de médio e baixo risco que não valem a pena investigar.
Falta de contexto: olhando para uma atividade individual separadamente, é impossível dizer se essa atividade é legítima ou não. Aquele administrador logando no meio da noite, é porque ele está sem dormir ou alguém roubou seu usuário? Aquela engenheira de DevOps que invoca uma chamada de API que ela nunca usou antes, é porque ela está trabalhando em algo novo ou um hacker tentando algo obscuro? Sem contexto, é impossível dizer.
Alongamento ao longo do tempo: voltando ao nosso ponto original – as violações de dados demoram muito para acontecer. Isso significa que, da mesma forma, os alertas relacionados a ele serão detectados por um longo período. Quando os eventos são detectados em sequência, é fácil dizer que eles estão relacionados. Mas o que acontece quando eles são detectados com meses de intervalo?
Dadas essas realidades, não é realista esperar que os gerentes de segurança sejam capazes de conectar um evento aleatório a outro evento que detectaram semanas ou meses atrás. A resposta, portanto, é usar ferramentas automatizadas que não apenas detectam eventos individuais, mas também os correlacionam em uma sequência lógica que mostra como eles estão relacionados.
Os ataques são lentos. Defenda rápido
Os ataques cibernéticos levam tempo e, quanto maior e mais complexa for a rede, mais tempo levará. Durante um período tão longo, é impossível acompanhar os eventos individuais e conectá-los manualmente. Em vez disso, você precisa de ferramentas automatizadas que façam isso por você, rastreiem atividades separadas por longos períodos, alertem sobre a ameaça agregada da sequência de eventos e respondam automaticamente para quebrar a cadeia de destruição do ataque conforme ela avança, antes que seja tarde demais.
Fonte: https://en.wikipedia.org/wiki/Streaming_media