Manter a continuidade da operação mediante o surgimento de um problema, geralmente relacionado à segurança, tem sido um grande desafio para as empresas. Ainda que a estratégia de cibersegurança esteja funcionando, pode haver lacunas que precisam ser corrigidas. Por isso, é importante que se reconheça os pontos fortes e fracos para entender o que pode ser melhorado e, assim, assegurar que a companhia consiga ser resiliente durante uma situação crítica. É o que apontam os especialistas da Lumu, empresa de segurança tecnológica criadora do modelo Continuous Compromise Assessment™.
"O contato entre o ativo de uma empresa e a infraestrutura de um hacker tanto pode representar o risco de um incidente de segurança quanto uma oportunidade para avaliar a capacidade de resiliência do negócio. Tudo depende do poder de visibilidade que as equipes têm do comprometimento", explica Jorge Alves, gerente de desenvolvimento de negócios para o Brasil da Lumu Technologies.
O executivo lembra que operar cibersegurança de maneira eficaz não é uma tarefa simples e envolve obstáculos que vão desde a complexidade das ferramentas, passando pela escassez de mão de obra qualificada, até a falta de conscientização dos usuários. Esses fatores fazem com que o tempo médio para detecção de uma violação de dados seja de 207 dias, levando cerca de mais 70 dias para contê-la, como mostra um estudo da IBM conduzido pelo Ponemon Institute.
Com o auxílio de um software baseado em avaliação contínua de comprometimento, o especialista da Lumu indica três passos básicos para que empresas de qualquer porte possam se tornar resilientes diante de uma ameaça cibernética e evitar a interrupção de suas operações.
- Buscar por comprometimentos: é necessário que se faça um rastreamento desse tipo de situação de forma intencional e contínua. Deste modo, é possível mensurar a efetividade da arquitetura de segurança e, ao mesmo tempo, retroalimentá-la com informações do atacante, que pode tentar estabelecer contato via infraestrutura de rede, movimentação lateral ou por conexão IP. Por isso, é importante coletar elementos do DNS, do fluxo de rede, firewall e do proxy para que se tenha visibilidade dos comprometimentos. "É válido ainda verificar a caixa de spam, pois lá também é possível obter informações sobre quem está tentando realizar um ataque e de que forma isso pode ser efetuado", recomenda Alves.
- Evidenciar os problemas: uma vez que as informações sobre eventos de comprometimento foram coletadas, é preciso fazer uma análise para levantar evidências dos possíveis problemas que estejam ocorrendo. Todo o metadado gerado pela rede em tempo real deve ser confrontado com uma base de indicadores de comprometimentos (IoCs, na sigla em inglês) conhecidos. Os dados que passam por essa primeira fase são processados por um motor de inteligência artificial que vai identificar situações que fogem do comportamento usual da rede, para que se faça uma análise mais profunda dessas anomalias. Assim, é feita uma atualização dos IoCs e aquilo que não é evidenciado como um problema fica armazenado em um banco de dados por até dois anos para eventuais consultas.
- Responder aos comprometimentos: feita a análise das evidências e tendo a visibilidade dos reais comprometimentos, é possível agir de maneira assertiva contra o invasor com o auxílio de softwares de segurança integrados, que vão automatizar as ações de resposta a esses incidentes, fortalecendo a ciber-resiliência da empresa.