[ Tráfego 9/Out a 7/Nov: 364.836 page views - 139.188 usuários ] - [ Newsletter 5.526 assinantes Open rate 27%]

Prevenção à violação de dados: dicas da McAfee

Paulo Brito
14/12/2014


A McAfee divulga um novo relatório denominado “*Quando minutos fazem a diferença”,* que avalia a capacidade das empresas em detectarem e impedirem ataques direcionados. O estudo revela os oito indicadores de ataque mais essenciais e examina práticas recomendadas de reação imediata a incidentes. O relatório mostra como as empresas são muito mais eficazes quando realizam análises de múltiplas variáveis em tempo real de atividades sutis de ataque e, ainda, contabilizam o tempo e as informações sobre ameaças na pontuação de risco e nas prioridades de reação a incidentes. Com o relatório, foi encomendada uma pesquisa pela Intel Security a qual foi conduzida pela Evalueserve. Essa pesquisa indica que a maioria das empresas não está confiante de que é capaz de detectar ataques direcionados em tempo hábil. Mesmo as empresas mais bem preparadas para lidar com ataques direcionados estão dedicando tempo para investigar altos volumes de eventos, gerando um senso de urgência e foco organizacional em abordagens criativas para garantir detecção antecipada e mitigação mais eficaz. Principais conclusões da pesquisa: – 74% dos entrevistados indicaram que os ataques direcionados são uma das maiores preocupações de suas organizações. – 58% das organizações investigaram dez (10) ou mais ataques no ano passado. – Apenas 24% das empresas estão confiantes de que são capazes de detectar um ataque em questão de minutos e pouco menos da metade afirmou que levaria dias, semanas ou até mesmo meses para comportamentos suspeitos serem detectados. – 78% das que são capazes de detectar ataques em questão de minutos tinham um sistema de SIEM (gerenciamento de informações e eventos de segurança) proativo em tempo real. – Metade das empresas entrevistadas indicou que possui as ferramentas e tecnologias adequadas para oferecer reação mais rápida a incidentes, mas, em geral, os indicadores essenciais não são isolados da massa de alertas gerada, sobrecarregando as equipes de TI, que precisam fazer uma triagem dos dados sobre ameaças. “Você só pode estar em vantagem sobre os invasores quando resolve o desafio do tempo de detecção”, afirma Ryan Allphin, vice-presidente sênior e gerente geral de gerenciamento de segurança da Intel Security. “Ao simplificar o trabalho frenético de filtrar uma infinidade de alertas e indicadores com informações e análises em tempo real, é possível compreender melhor os eventos relevantes e tomar medidas para conter e impedir os ataques com mais rapidez.” Considerando a importância da identificação dos indicadores essenciais, o relatório da Intel Security revelou as oito atividades de ataque mais comuns que organizações bem-sucedidas monitoram para detectar e impedir ataques direcionados. Entre eles, cinco refletiram eventos de monitoramento relacionados ao tempo decorrido, mostrando a importância da correlação contextual: 1. Hosts internos que se comunicam com destinos conhecidos como perigosos ou com um país estrangeiro no qual as organizações não fazem negócios. 1. Hosts internos que se comunicam com hosts externos usando portas não padrão ou incompatibilidades de protocolo/porta, como envio de *shells* de comando (SSH) em vez de tráfego HTTP pela porta 80, a porta padrão da Web. 1. Hosts publicamente acessíveis ou de DMZs (zonas desmilitarizadas) que se comunicam com os hosts internos. Isso permite a livre entrada/saída, possibilitando a extração de dados e o acesso remoto a ativos. Isso neutraliza o valor da DMZ. 1. Detecção de malware fora do horário comercial. Os alertas que ocorrem fora do horário comercial padrão (durante a noite ou nos fins de semana) podem sinalizar um host comprometido. 1. Varreduras de rede realizadas por hosts internos que se comunicam com vários hosts em um curto intervalo de tempo, o que pode revelar um invasor se deslocando lateralmente na rede. As defesas de rede perimétricas, como firewall e IPS, raramente são configuradas para monitorar o tráfego na rede interna (mas podem ser). 1. Vários eventos de alarme em um único host ou eventos duplicados em várias máquinas na mesma sub-rede durante um período de 24 horas, como falhas de autenticação repetidas. 1. Após ser corrigido, um sistema é infectado novamente com o malware em cinco minutos – as reinfecções repetidas sinalizam a presença de um rootkit ou de um comprometimento persistente. 1. Uma conta de usuário que tenta fazer *login* em vários recursos em intervalos de poucos minutos a partir de diferentes regiões – um sinal de que as credenciais do usuário foram roubadas ou de que um usuário está agindo de má fé. Clique em *Quando minutos fazem a diferença * para ler o relatório completo.

Compartilhar: