Todo líder de segurança precisa saber responder essas três questões

Só assim serão capazes de entender o estado de maturidade da sua estratégia de segurança, e sua capacidade de antecipar ameaças

Nenhuma solução é capaz de prevenir todas as formas de ataque e, ao mesmo tempo, mitigar os danos de uma tentativa bem-sucedida. Por isso, as empresas precisam contar com múltiplas camadas de proteção e uma estratégia de segurança capaz de antecipar todos os vetores de ataque e desenvolver múltiplos mecanismos para combater cada um deles.

Os riscos trazidos pelos avanços digitais, como a dificuldade de identificar transferências de dados perigosas e a falta de visibilidade das atividades do usuário, são grandes desafios para os líderes de segurança de hoje, que precisam estar atentos a uma superfície de ataque cada vez maior e vulnerável, expondo o negócio a uma série de ameaças com alto poder de destruição.

Monitorar a rede e identificar mudanças bruscas no comportamento do ambiente de TI é essencial para garantir a segurança do negócio e evitar processos custosos de remediação, problemas com compliance e danos à reputação da empresa. Para isso, é preciso lidar com uma série de pontos cegos.

Veja abaixo três perguntas que os líderes de segurança precisam saber responder para entender o estado de maturidade da sua estratégia de segurança e sua capacidade de antecipar ameaças:

1. Você tem controle de todos os dispositivos conectados à rede?
A maioria das organizações não é capaz de detectar atividades anormais nos dispositivos conectados à rede, incluindo Internet das Coisas ou qualquer outro dispositivo não convencional. Os hackers sabem disso e têm investido cada vez mais em ataques contra esses dispositivos. É o caso, por exemplo, dos ataques DDoS usando o malware Mirai, em 2016, que, por meio de vulnerabilidades em câmeras Wi-Fi, deixaram uma série de serviços fora do ar durante horas.

Grande parte dos dispositivos de Internet das Coisas não foi feita tendo a segurança em mente – muitos não foram feitos nem para receber atualizações, por exemplo. O fato de as empresas não terem conseguido se adequar para garantir a manutenção correta desses dispositivos também é um ponto a favor dos hackers. É comum vermos boas práticas básicas deixadas de lado, como a necessidade de alterar as credenciais de acesso de fábrica.

2. Onde estão seus dados e como são usados?
Softwares de monitoramento da rede, como soluções de SIEM, por exemplo, certamente são úteis para revelar atividades anormais, porém, devido à falta de contexto, a quantidade de alertas é tão absurda que o time pode acabar ignorando atividades críticas, como grandes volumes de dados saindo da rede ou sendo copiados para pastas desprotegidas. Qualquer hacker capaz de ultrapassar a barreira do perímetro pode ficar semanas ou meses roubando informações de uma base de clientes sem ser notado.

É claro que você não precisa receber um alerta toda vez que um vendedor faz download de uma planilha de vendas, mas certamente é importante saber que alguém de outra área, que não precisa dessa informação, fez download desse mesmo material. Isso exige contexto e um amplo entendimento do fluxo de dados.

Saber onde estão os arquivos e como são usados é fundamental para detectar movimentos ilegítimos e bloqueá-los antes que a empresa perca informações de alto valor.

seguranca

3. Como seus usuários de comportam?
É claro que nem todo usuário interno tem intenções maliciosas, mas vazamentos acidentais podem ser tão destrutivos como qualquer ataque malicioso para roubar informações. Falhas humanas foram a causa de 31% dos incidentes registrados no Brasil em 2017, segundo dados do Instituto Ponemon.

Mesmo que um usuário, por exemplo, tenha acesso a 90% dos dados da empresa, caso ele resolva acessar um arquivo com uma informação sensível, é importante saber quais foram as atividades que ele executou enquanto esteve usando as informações. Isso permite que a empresa obtenha um controle maior referente ao que cada usuário pode acessar, garantindo que as correções possam ser feitas rapidamente.

Acessos em horários diferentes do habitual, atividades como grande volume de downloads e mudança no local dos arquivos devem ser analisadas com cuidado, pois certamente podem estar ligadas a alguma ação imprudente ou maliciosa.

Poucos líderes de segurança são capazes de responder essas três perguntas totalmente confiantes, por isso, esse é o primeiro passo para começar a enfrentar os pontos cegos da rede e criar estratégias para gerar mais visibilidade e proteção para os ativos de informação mais importantes para o negócio.

(*) Carlos Rodrigues é vice-presidente da Varonis para a América Latina