As pistas em uma batalha cibernética

Todo mundo deixa pistas sobre sua vida: roupas, acessórios, objetos pessoais, recibos entre muitas outras. Um bom detetive sabe que a soma destes dados fala muito sobre uma pessoa. No mundo cibernético acontece a mesma coisa. Os equipamentos são preparados de forma a deixar rastros de eventos que aconteceram com eles por um longo período de tempo. Logo, é possível usá-los para investigações.

Com a grande quantidade de bytes que trafegam nas redes de computadores e servidores, torna-se cada vez mais difícil detectar abusos não óbvios. É necessário ter conhecimento e ferramentas para saber como gerar informações a partir destes dados que façam sentido e permitam detectar ameaças. Se pensarmos em automação, cada sistema gera registro de eventos de uma forma diferente e pode ser muito trabalhoso programar a leitura dessas diversas fontes possíveis. Felizmente, temos ferramentas prontas para isso, chamadas de SIEM.

No software do tipo SIEM programa-se a coleta de eventos (potenciais pistas) e cadastram-se regras sobre comportamentos específicos, o que ajudará a avaliar um desvio ou anomalia como, por exemplo: invasões, transmissões indevidas de dados, acessos não permitidos e outros cenários mais complexos. As ferramentas deste tipo costumam vir com algumas regras simples e é preciso especialistas em cibersegurança, com experiência em avaliação de ameaças, para manter atualizadas heurísticas que ajudarão na detecção de problemas.

Mas, e quanto aos casos em que ainda não se conhece o problema? É possível detectá-los com alguma automação? A resposta é sim, com supervisão humana. Note que o SIEM pode ser um passo em busca de algo ainda maior. Com a coleta de eventos, um “ciberdetetive” pode criar um local central para os dados (datawarehouse) e aplicar técnicas (Business Intelligence) que o auxiliarão a obter insights ligados à cibersegurança.

Ao contrário dos detetives de filmes que normalmente trabalham sozinhos, os especialistas de cibersegurança que atuam com este tipo de pesquisa, graças à internet, podem compartilhar informações com o mundo, aumentando assim as chances de detecções de ameaças antes que elas se tornem realidade. Dessa forma, mesmo que em uma ciberbatalha tenham sucesso no ataque à um alvo, pode-se prevenir em outros. Isso tudo faz parte de um conceito atual chamado de Cyber Threat Intelligence (CTI).

A CTI diminui a chance de sucesso dos ofensores e traz como benefícios: · Contextualização e relevância para uma enorme quantidade de dados;

· Tornar as organizações proativas em cibersegurança;

· Facilitar a predição de eventos futuros;

· Auxiliar nas tomadas de decisões sobre segurança da informação.

O que mais impressiona no Cyber Threat Intelligence é o poder de ajudar as pessoas e organizações a vencerem ciberameaças. Há muita coisa acontecendo nos servidores e redes do mundo inteiro que nem fazemos ideia. Com o CTI, adotando os conceitos de aprender, evoluir e contribuir, chegamos a um novo patamar, agora global, de segurança da informação.

. Por: André Duarte, coordenador de Operações do Arcon Labs.| Perfil da Arcon—Atuando no mercado nacional desde 1995, a Arcon é especializada em cibersegurança com foco em serviços gerenciados de segurança (MSS – Managed Security Services). Com um completo portfólio e sólidas parcerias com os principais fabricantes do mundo, a empresa monitora e gerencia ambientes, mitiga os riscos e previne incidentes em empresas de grande porte.

A partir de seus SOCs, a Arcon processa mais de dois bilhões de eventos por dia, protege mais de 600.000 ativos e possui inteligência de segurança única na América Latina.

É a única empresa de serviços gerenciados de segurança no ranking Exame PME 2015 das empresas que mais crescem no Brasil. Nos últimos anos, firmou-se como líder no mercado brasileiro de MSS, tendo conquistado, o primeiro lugar em MSS no ranking Anuário Outsourcing por quatro anos consecutivos.

Em 2016 passou a integrar o grupo NEC, um dos maiores provedores globais de soluções integradas de TI e Comunicação.