Monitoramento contínuo: Da prevenção passiva para a defesa proativa

Historicamente, a maioria das organizações de segurança tem se concentrado na parte da prevenção no ciclo de vida de defesa contra ameaças, formado por prevenção-detecção-correção. Nos últimos anos, no entanto, a proliferação de algumas violações de segurança de alto nível  tem demonstrado a fraqueza dessa estratégia.

Mesmo nas mais formidáveis defesas de segurança, as brechas existem. Atacantes tornaram-se cada vez mais sofisticados e persistentes. E os funcionários continuam a tomar más decisões que expõem suas organizações a violações.

Em muitos dos ataques que vimos no último ano, uma vez que os atacantes obtém uma posição, eles podem se mover livremente com pouca chance de detecção. Isso ocorre porque as empresas colocam a maior parte de seus esforços na prevenção. Mais cedo ou mais tarde, um sistema de operações de segurança sustentável exigirá uma ênfase equilibrada na detecção e correção para acompanhar os esforços de prevenção.

Estamos falando de uma mudança de mentalidade. Segurança, nesta nova era, não é mais sobre a construção de um fosso e uma parede no castelo e a garantia de conformidade. Trata-se agora de implementar uma abordagem sustentável e proativa para garantir que a empresa possa se adaptar inteligentemente e rapidamente à medida que novas formas de ameaça são identificadas.

O uso de técnicas de monitoramento contínuo podem ajudar a melhorar as operações de segurança identificando proativamente a atividade anormal da rede ou o comportamento do usuário visando a exfiltração das joias da coroa digital de uma organização. 

Aqui está uma amostra do quão assustador é este desafio de agulha no palheiro. Recentemente, trabalhamos com uma grande agência de saúde cujo sistema de informações de segurança e gerenciamento de eventos (SIEM) estava processando mais de 700 eventos por segundo – cerca de 17 milhões por dia – de mais de 50 mil endpoints. A capacidade da agência para filtrar o ruído, detectar e validar ataques relevantes, era muito limitada. Triagem, coleta de evidências e análise forense eram todas manuais e reativas.

Os atacantes são atraídos para estes tipos de ambientes. Eles vão aproveitar as redes mal arquitetadas, sem segmentação, movendo-se lateralmente em um sistema de TI (pivô) e usando sistemas mal configurados, bem como a sincronização de contas de administração local e técnicas de ataque como pass-a-hash ou pass-the-token.

Eles podem então listar ferramentas padrão de administração do sistema e outras ferramentas sysadmin para disfarçar sua rede de espionagem. Este tipo de atividade invasiva pode se manter por meses, ou anos, com a organização alvejada sem ter conhecimento.

É por isso que torna-se imperativo estabelecer uma visão de linha de base de como os fluxos de informação “normais” se parecem em seu ambiente de TI. Você precisa entender o normal para que você possa começar a priorizar atividades que parecem ser fora da norma. 

Concentre-se nos ativos críticos em seus sistemas de TI.

Crie uma lista de ativos priorizados: controladores de domínio, exchange servers, dispositivos de infraestrutura de rede, bases de dados internas, servidores web e serviços de fornecimento de dados externos.

Associe as ações de resposta a incidentes pré-aprovadas com elas: bloqueio de portas, tráfego Blackhole, desativação de contas, isolamento do sistema, busca por vulnerabilidades, etc.

O monitoramento contínuo fornece informações sobre os fluxos de dados na empresa – mostra “como” as coisas acontecendo no ambiente de TI, não apenas o “quem”. Um bom programa de monitoramento contínuo inclui a coleta e análise de dados a partir dos quais indicadores de ataque e indicadores de comprometimento podem ser extraídos de várias fontes, tais como: padrões de navegação, registros de DNS, tráfego netflow, serviços e processos em execução em servidores e estações de trabalho.

Ao adotar uma abordagem de monitoramento contínuo otimizada, assume-se que sua organização estará comprometida. Seu foco, em seguida, muda de prevenção orientada por conformidade para procurar e combater ativamente as ameaças aos recursos digitais mais valiosos.

O que está envolvido nesta abordagem? As soluções SIEM que foram previamente enterradas sob milhões ou bilhões de alertas e eventos externos podem ser ajustadas para ingerir logs que são significativos na detecção de atividade interna suspeita. As organizações também podem implementar ferramentas como honeypots internos e usar outras técnicas para enganar o invasor como honey tokens, sistemas de alerta precoce, alertando quando o atacante já está dentro.

Uma boa defesa começa com uma base sólida. Neste caso, uma arquitetura de rede sólida. Ao segmentar adequadamente sua rede, por exemplo, você pode concentrar suas defesas de segurança e monitoramento em torno das áreas que contêm seus recursos digitais mais valiosos. Isso torna mais difícil para os atacantes para alcançar seu objetivo, já que eles se movem lateralmente para encontrar acesso às joias da coroa, aumentando as chances de prevenção e detecção através de filtragem de entrada e saída.

Seu objetivo é impedir que o atacante seja bem sucedido. No fim, o tempo se torna seu inimigo. Você precisa compactar os tempos de permanência na detecção e remediação.

Passar da prevenção passiva e detecção para a defesa proativa não só deixa a empresa melhor preparada para a violação inevitável, como melhora a maturidade operacional e aumenta a visibilidade de atividades normais e anormais, minimizando o ruído no monitoramento. E ainda  ajuda a sua empresa a melhorar as competências e a formação de equipes, alcançar uma reação mais rápida aos ataques e obter maior visibilidade da segurança de rede e endpoint.

 

(*) Ismael Valenzuela é diretor de Foundstone Services na Intel Security