10 dicas para acelerar a detecção e a resposta aos incidentes de segurança

Na guerra contra o cibercrime, o tempo sempre esteve do lado dos atacantes, com os criminosos usando o tempo de permanência como vantagem para realizar um ataque. No entanto, é possível recuperar a vantagem conhecendo o ambiente de segurança, planejando a frente e empregando uma abordagem proativa. A McAfee divulga 10 dicas que podem ser usadas para adicionar velocidade e inteligência à detecção e resposta de incidentes.

1. A integração é tudo

Se os produtos de segurança não se falam, não é possível ver o cenário completo. E uma violação pode ser perdida. A integração dos sistemas de detecção e resposta, através de iniciativas como OpenDXL, assegura a comunicação e acelera a detecção e a contenção

2. Compreenda todo o ambiente

Não é surpresa que os profissionais de segurança dizem que determinar o impacto e o alcance de um incidente de segurança leva muito tempo. Muitas vezes, subestimam quantos servidores, aplicativos e dispositivos existem na organização. Ao implementar o gerenciamento centralizado de segurança é possível obter a visibilidade e o monitoramento necessário.

3. Sempre mantenha os olhos nos dados

Detectar rapidamente a atividade anormal é essencial. No entanto, isso é impossível sem uma linha de base dos níveis normais de atividades do sistema, da rede e do usuário. Tenha uma solução que monitore continuamente o tráfego e detecte automaticamente qualquer atividade anormal, deixando os pontos cegos em rede no passado.

4. Mantenha-se atualizado sobre o cenário da ameaça

Comece com a coleta e a integração de inteligência de ameaças dentro da organização e expanda para o compartilhamento com toda a indústria. O compartilhamento possibilita uma inestimável visão das últimas vulnerabilidades e perigos. Use ferramentas que possam monitorar, coletar, gerenciar, priorizar e compartilhar inteligência de ameaças.

5. Priorize os ativos, eventos e ações

A triagem é a chave durante um ataque. É preciso conhecer seus recursos mais críticos, saber quando soar alarmes e ter fluxos de trabalho de investigação previamente estruturados e comunicações multifuncionais já estabelecidas. Planeje com antecedência para economizar um tempo precioso defendendo os ativos mais importantes no caso de ataque.

6. Pratique

Aproximadamente um terço das empresas treina para a resposta a incidentes. Essa é uma porcentagem pequena, já que que colocar os procedimentos de resposta em teste identifica lacunas de segurança antes que ocorram violações. Execute exercícios regulares para melhorar os tempos de resposta; simule infrações, realize exercícios ou contrate uma empresa que realize testes de penetração para simular um ataque de fora da companhia.

7. Estabeleça uma equipe homem-máquina para combater o malware

A automação não irá substituir funcionários altamente treinados, e sim os tornará mais efetivos. Com a aprendizagem de máquinas é possível automatizar a classificação de eventos de segurança e a priorização. Isso permite realizar análises preditivas e prescritivas que ajudem a antecipar e neutralizar as novas técnicas de evasão emergentes.

8. Seja proativo

Ser proativo com a segurança, ao invés de reativo, é a única maneira de proteger o negócio. Depois de entender o ambiente, é possível procurar ativamente ameaças antes que elas ataquem.

9. Regule o acesso externo à empresa

Muitas brechas originam-se de fornecedores, parceiros ou provedores de nuvem terceirizados. Certifique-se de que todas as entidades conectadas ao ambiente de rede, sem exceção, aderem às políticas de segurança. Além disso, defina os privilégios, o tempo e os controles de localização para que certos parceiros possam acessar apenas sistemas e dados prescritos.

10. Crie um loop de feedback ativo

Torne os sistemas de detecção e resposta mais rápidos e inteligentes em cada evento. Aproveite todos os especialistas em segurança, tecnologia e processo para alimentar a análise pós-incidente para a inteligência de ameaças, ferramentas de automação e equipes de treinamento.