Todo mundo deixa pistas sobre sua vida: roupas, acessórios, objetos pessoais, recibos entre muitas outras. Um bom detetive sabe que a soma destes dados fala muito sobre uma pessoa. No mundo cibernético acontece a mesma coisa. Os equipamentos são preparados de forma a deixar rastros de eventos que aconteceram com eles por um longo período de tempo. Logo, é possível usá-los para investigações.
Com a grande quantidade de bytes que trafegam nas redes de computadores e servidores, torna-se cada vez mais difícil detectar abusos não óbvios. É necessário ter conhecimento e ferramentas para saber como gerar informações a partir destes dados que façam sentido e permitam detectar ameaças. Se pensarmos em automação, cada sistema gera registro de eventos de uma forma diferente e pode ser muito trabalhoso programar a leitura dessas diversas fontes possíveis. Felizmente, temos ferramentas prontas para isso, chamadas de SIEM.
No software do tipo SIEM programa-se a coleta de eventos (potenciais pistas) e cadastram-se regras sobre comportamentos específicos, o que ajudará a avaliar um desvio ou anomalia como, por exemplo: invasões, transmissões indevidas de dados, acessos não permitidos e outros cenários mais complexos. As ferramentas deste tipo costumam vir com algumas regras simples e é preciso especialistas em cibersegurança, com experiência em avaliação de ameaças, para manter atualizadas heurísticas que ajudarão na detecção de problemas.
Mas, e quanto aos casos em que ainda não se conhece o problema? É possível detectá-los com alguma automação? A resposta é sim, com supervisão humana. Note que o SIEM pode ser um passo em busca de algo ainda maior. Com a coleta de eventos, um “ciberdetetive” pode criar um local central para os dados (datawarehouse) e aplicar técnicas (Business Intelligence) que o auxiliarão a obter insights ligados à cibersegurança.
Ao contrário dos detetives de filmes que normalmente trabalham sozinhos, os especialistas de cibersegurança que atuam com este tipo de pesquisa, graças à internet, podem compartilhar informações com o mundo, aumentando assim as chances de detecções de ameaças antes que elas se tornem realidade. Dessa forma, mesmo que em uma ciberbatalha tenham sucesso no ataque à um alvo, pode-se prevenir em outros. Isso tudo faz parte de um conceito atual chamado de Cyber Threat Intelligence (CTI).
A CTI diminui a chance de sucesso dos ofensores e traz como benefícios:
- Contextualização e relevância para uma enorme quantidade de dados
- Tornar as organizações proativas em cibersegurança
- Facilitar a predição de eventos futuros
- Auxiliar nas tomadas de decisões sobre segurança da informação
O que mais impressiona no Cyber Threat Intelligence é o poder de ajudar as pessoas e organizações a vencerem ciberameaças. Há muita coisa acontecendo nos servidores e redes do mundo inteiro que nem fazemos ideia. Com o CTI, adotando os conceitos de aprender, evoluir e contribuir, chegamos a um novo patamar, agora global, de segurança da informação.
André Duarte é coordenador de Operações do Arcon Labs
Você já conhece a Sala de Imprensa da Arcon?
A Arcon disponibiliza especialmente para você, jornalista, um espaço com conteúdos sobre segurança voltados para os profissionais da área de Tecnologia da Informação e CIOs. Nosso objetivo é auxiliá-lo na produção de suas matérias que abordam este tema.
Assim, neste canal você pode aproveitar um material já disponível, solicitar uma fonte ou até mesmo conteúdo para uma matéria exclusiva. Prezamos pela agilidade neste processo, pois reconhecemos a sua necessidade e rotina.
Além dos jornalistas especializados, nossa intenção é contribuir com todos que buscam ampliar seus conhecimentos sobre esse universo. Aproveite e sinta-se à vontade para enviar sugestões e solicitações.
www.arcon.com.br/sala-de-imprensa
Por: André Duarte