Uma nova análise do Aberdeen Group, com base em dados fornecidos pela Verizon, oferece novas evidências que quantificam o custo do tempo em dois tipos de incidente diferentes: comprometimentos de dados e interrupção sustentada na disponibilidade dos serviços. Essas conclusões acentuam a urgência que os agentes de segurança cibernética têm para minimizar a detecção e o tempo de contenção.
De acordo com o relatório da Aberdeen encomendado pela McAfee, Cybersecurity: For Defenders, It’s About Time (Segurança Cibernética: para os defensores, é uma questão de tempo), o impacto de uma quebra de sigilo de dados nos negócios é maior no início da exploração, quando os registros são comprometidos. Faz sentido, pois os atacantes querem entrar e sair com as mercadorias (seus dados) no menor tempo possível. A maioria dos agentes está agindo somente após o ataque, quando a maior parte dos danos já foi feita.
No entanto, em contraste, o impacto nos negócios de uma interrupção continuada na disponibilidade continua a crescer do momento do comprometimento ao momento da correção. O dobro de melhoria no seu tempo de detectar e reagir a um ataque é igual a um impacto aproximadamente 70% menor nos negócios.
O Relatório conclui que o tempo de detecção continua sendo um grande desafio para os defensores que reagem aos ataques cibernéticos, colocando as empresas em risco. O estudo discute que em mais de 1300 quebras de sigilo de dados, investigadas entre 2014 e 2016, metade das detecções levou até 38 dias, com uma média de 210 dias, tendo alguns incidentes levado até quatro anos.
Esses dados mostram que os agentes de segurança cibernética podem melhorar sua capacidade de proteger o valor comercial se puderem implementar estratégias que priorizem mais rapidez na detecção, na investigação e na resposta a incidentes.
Recomendações
No estudo, o Aberdeen Group apresenta quatro exemplos ilustrativos de como a recaptura da vantagem do tempo pode ajudar os defensores a reduzir o risco, com sugestões de medidas e estratégias. Alguns destaques incluem o uso das tecnologias mais recentes de identificação e contenção:
– Antes do dia zero: identificação (por exemplo, por meio de reputação, heurística e aprendizado de máquina). Os atacantes têm se tornado cada vez mais hábeis em transformar o rastro do código malicioso para escapar das defesas tradicionais baseadas em assinatura. Mas a análise de pré-execução avançada dos recursos do código, combinada com a análise em tempo real dos comportamentos do código, tem sido usada para identificar malwares antes desconhecidos sem o uso de assinaturas, antes de eles terem oportunidade de executar.
– Após a identificação: contenção (por exemplo, por meio de proteção por aplicativos dinâmicos e inteligência agregada em campanhas ativas contra ameaças). Os recursos avançados de defesa de endpoints já permitem que códigos potencialmente maliciosos sejam carregados para a memória – mas impedindo-os de fazer alterações no sistema, de se espalhar para outros sistemas ou de realizar outros comportamentos tipicamente maliciosos. Essa abordagem oferece proteção imediata e ganha tempo para a inteligência – coleta e análise – sem interromper a produtividade do usuário.
Em data center e segurança na nuvem, algumas das táticas de endpoint acima podem ser aplicadas a cargas de trabalho virtuais e do servidor para proteger contra explorações conhecidas e desconhecidas. O Aberdeen Group também sugere que é possível melhorar os resultados por meio de táticas de patches virtuais e blindagem. Esse conceito já existe há anos, mas é especialmente útil quando recursos são centralizados.
– Patches virtuais: Às vezes conhecidos como patches externos ou blindagem de vulnerabilidade – estabelece uma política que é externa aos recursos sendo protegidos, para identificar e interceptar explorações de vulnerabilidades antes que alcancem o alvo pretendido. Dessa forma, não são necessárias modificações diretas nos recursos sendo protegidos e as atualizações podem ser automatizadas e constantes.
– Pontos de imposição estratégicos: Projete usando menos pontos de imposição de política (isto é, em alguns pontos na rede empresarial, em vez de aplicar patches de fornecedores em todo sistema).
