Calma! Nem todas as ameaças representam sério risco à segurança

Por estarmos conectados o tempo todo, somos alvos fáceis para os agentes mal-intencionados. Cada vez mais ferramentas automatizadas para fazer ciberataques estão disponíveis a qualquer pessoa com uma conta Bitcoin, gerando um sensível e crescente aumento de violações de rede, de roubos de informação e valores em geral. Só no ano passado, o Instituto Ponemon divulgou um aumento de 82% nos gastos com ciberataques nos últimos seis anos.

Dessa forma, as empresas estão buscando aprimorar seus conhecimentos em inteligência de ameaças para preparar suas equipes sobre novos e já existentes métodos de ataques e sobre como detê-los. Nesse sentido, muitas organizações gastam milhões de dólares todos os anos com capacitação da equipe e adoção de assinaturas e recursos inteligentes para combater ciberameaças. Mas, muitas vezes, na pressa para adoção da mais recente assinatura, parece que a maioria das empresas ou organizações não possui um bom plano para garantir que essas informações sejam transformadas em proteções eficazes.

Várias assinaturas podem apenas significar múltiplas atualizações diárias, das quais muitas podem ser redundantes. Esses excessos podem ser traduzidos em desperdício de tempo, já que as equipes de segurança tentam consolidar as informações de diversas fontes. Essa consolidação é ainda mais complicada porque essa variedade de fontes de alimentação (ou feeds) apresenta suas descobertas de formas diferentes, forçando as equipes de segurança a gastarem mais tempo traduzindo os feeds para o formato adequado à sua infraestrutura de segurança.

A maioria dos feeds tende a reportar cada nova ameaça como um sério risco de segurança, o que não é o caso. Na realidade, uma enorme parte das ameaças listadas em um relatório diário é comum, são ataques de commodities já “conhecidos” que podem ser facilmente tratados com os sistemas de segurança já existentes.

Quando todas as ameaças são classificadas como graves, os profissionais têm pouco contexto para trabalhar e tentam fazer a triagem por ordem de potencial de risco. Para complicar ainda mais a situação, com poucas mudanças para o malware, os agentes maliciosos podem fazer ameaças existentes parecerem ser “novas”, quando na realidade são da mesma família. Para feeds tradicionais, mesmo a menor mudança resultaria em outro alerta, apesar de apenas o nome de arquivo ou alguma outra variável ter mudado.

Conhecendo os problemas mencionados acima, eu encorajaria as organizações que usam assinaturas de ameaças a reservar um momento para refletir sobre as seguintes questões:

1. Se utilizarmos múltiplas assinaturas de ameaças, a equipe de segurança sabe quanta redundância existe entre elas?

2. É fácil integrar a inteligência recebida das assinaturas à minha infraestrutura de segurança? Minha equipe pode avaliar e convertê-la em uma política de segurança real, de forma rápida e sem a necessidade de configuração manual?

3. Minhas assinaturas fornecem informações suficientes para mostrar com clareza a gravidade de cada ameaça no contexto apropriado?

4. Minha assinatura rastreia ciberataques visando especificamente o meu setor?

Se a resposta a qualquer dessas questões é não, então eu diria que é necessária uma auditoria mais profunda. Além disso, também recomendo descobrir como é possível automatizar a aplicação de inteligência de ameaça à sua arquitetura de segurança. Isso permite que mais ameaças sejam resolvidas em tempo real e sem a necessidade de uma intervenção humana, mais lenta e cara.

Adicionar inteligência de ameaça à sua postura de segurança é uma ótima solução para manter uma rede protegida de novos e de ciberataques já conhecidos, mas só é uma opção efetiva quando a empresa toma as medidas necessárias para aplicá-la na política de segurança de forma simples e rápida.

*Arthur Capella é gerente geral da Palo Alto Networks no Brasil.