“Se uma árvore cai na floresta e ninguém está lá, ainda faz um som”? Em segurança da informação a pergunta funciona da mesma maneira: “se um incidente de segurança não é detectado, ainda assim ele é um incidente que pode gerar um dano ou violação de segurança no ambiente corporativo?”A Pesquisa Global sobre Segurança da Informação 2015 da PwC contabilizou um crescimento de 34% na soma dos prejuízos financeiros atribuídos a violações de segurança. Mesmo em empresas com alto investimento em tecnologia de segurança, incidentes acontecem e sempre acontecerão. Mas como ganhar a luta se não sabemos contra o que estamos lutando? A resposta para esse desafio é a Monitoração de Segurança.
Proteger uma empresa contra ameaças cibernéticas requer vigilância contínua sobre sua infraestrutura de segurança e ativos críticos de informação. A base para a proteção de uma rede corporativa é a constante coleta e análise, em tempo real, dos milhares de logs de segurança gerados pelos ativos da rede. Quando uma organização sofre um ciberataque, o tempo de resposta é determinante para minimizar as consequências e proteger suas informações.
Não é possível lutar conta o que não se vê
Ao mesmo tempo em que as empresas devem dedicar atenção à segurança de sua rede, sistemas e aplicações, elas precisam, ainda, complementar essa defesa com a capacidade de reagir rapidamente à ocorrência de incidentes. Mas não é possível lutar contra o que não se vê.
Prova disso é o relatório do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.br) que mostra que a maior parte dos incidentes é reportada às segundas-feiras, muitas horas depois de terem acontecido e quando o prejuízo pode já ser irreversível.
Ao considerarmos esse cenário de (in)segurança, as empresas não têm outra saída a não ser buscar a diminuição do impacto que um incidente pode causar, sendo ágeis e assertivas no seu tratamento.
Foi detectado um incidente de segurança. O que fazer?
- Contenção
Rapidamente deve-se conter o incidente para evitar que ele tome maiores proporções. No entanto, trata-se de uma solução temporária para impedir que o incidente tenha consequências mais sérias.
- Investigação
Nessa fase é necessário investigar as ações relacionadas à ocorrência para, a partir daí, compreender a extensão do problema, seus impactos e tomar as ações corretivas definitivas.
- Erradicação
Se a Contenção é o passo emergencial para evitar que o incidente se torne ainda mais grave, a Erradicação é a medida para sanar o problema de forma definitiva.
Quem dera se fosse fácil assim...
Ao avaliarmos as fases acima descritas, tudo parece simples e rápido, mas não é bem assim. Aqui estão listadas algumas dificuldades encontradas no processo de detecção e resposta a incidentes de cibersegurança:
- Desenvolvimento de inteligência de segurança para detecção dos incidentes
- Determinação do impacto e/ou escopo de um incidente (o que foi alterado em um sistema, por exemplo)
- Tomada de medidas para minimizar o impacto de um ataque
- Atualização dos controles para evitar tipos semelhantes de ataques no futuro
O Gartner é enfático ao afirmar a necessidade de se investir em detecção e resposta a incidentes de segurança: “pare de tentar proteger exageradamente sua organização e invista em detecção e resposta. A velocidade de detecção e resposta é uma das falhas mais gritantes descobertas em investigações de violação. No mundo digital, o ritmo das mudanças é rápido demais, impossibilitando a antecipação e defesa contra todos os tipos de ataque”.
Considerando a recomendação feita na “Conferência de Segurança e Gestão de Riscos”, em agosto de 2015, 4 grandes desafios se apresentam às organizações:
1. Tecnologia: o SIEM (Security Information and Event Management) já se mostrou tecnologia indispensável nessa batalha. No entanto, especialistas de segurança alertam que apenas sua adoção não é suficiente e o resultado pode ser custoso e frustrante.
2. Inteligência de Segurança: sem boas regras de correlação (desenvolvidas de acordo com o entendimento da anatomia das ameaças que surgem e das necessidades do ambiente), nenhum SIEM é capaz de gerar os alertas de segurança a partir da correlação de grandes volumes de logs gerados pelos ativos de TI de uma rede corporativa. Se você não sabe o que procurar, achará qualquer coisa.
3. Triagem dos alertas: ainda que o SIEM conte com boas regras de correlação, o volume de dados é muito grande. É preciso ter um processo de triagem dos falso-positivos contidos nos alertas gerados para responder aos reais incidentes de segurança identificados, de acordo com sua criticidade.
4. Tempo de resposta: A demora ou ineficiência no tratamento só aumentará os danos e perdas de uma violação de segurança. Para isso, uma equipe de especialistas em segurança dedicada também é fundamental.
Muitas organizações não dispõem de orçamento nem de expertise para encarar esses desafios sozinhas e, para isso, contam com provedores especializados e dedicados.
Benefícios exclusivos de um MSSP
Ainda que uma empresa resolvesse assumir toda complexidade do serviço – definição de processos, infraestrutura robusta, equipe especializada e dedicada, ferramentas específicas e inteligência de segurança - um importante valor que jamais seria alcançado é a ampla amostragem. Um MSSP (Managed Security Service Provider) atende a diversos clientes e processa diariamente bilhões de logs de segurança, estando, portanto, exposto a uma enorme amostragem de ameaças cibernéticas, em variados mercados e geografias, que são tratadas e se transformam em mais inteligência de segurança, gerando imediatamente mais valor para seus clientes.
8 motivos para terceirizar a segurança da informação
Segundo a pesquisa The Global State of Information Security, divulgada pela PwC, o número de incidentes detectados subiu para 42,8 milhões em 2014 – uma alta de 48% em relação ao ano anterior. Esse crescimento está ocorrendo não só porque existem mais ameaças, mas também porque algumas empresas investiram e passaram a detectá-los melhor. Se por esse lado a análise é positiva, o mesmo não ocorre quando avaliamos que a soma dos prejuízos financeiros atribuídos a violações de segurança cresceu 34% em um ano.
Para proteger suas informações, e ao mesmo tempo manter o foco na geração de valor para seu negócio, cada vez mais empresas têm adotado a estratégia de terceirizar sua operação de segurança com os MSSPs. Ao se conscientizarem que segurança é um assunto que exige profundo conhecimento, a adoção do modelo ainda é embasada por motivos como:
1. Dificuldade em contratar e manter profissionais especializados em segurança da informação.
2. As equipes internas são reduzidas, atuam em horário comercial e são multidisciplinares.
3. As tecnologias a serem adquiridas são cada vez mais numerosas, extremamente complexas e requerem especialização para suportá-las (monitoração e gerenciamento).
4. As organizações passam a contar com o conhecimento de um provedor dedicado ao assunto que atende diversos clientes (maior amostragem de ameaças), permitindo que possam antecipar estratégias e ações de proteção para seus ambientes.
5. Enquanto as atividades das empresas costumam estar sujeitas ao horário de expediente comercial, o modelo de Serviços Gerenciados de Segurança atua de forma ininterrupta 24x7.
6. Os serviços contribuem diretamente para atender a regulamentações e padrões de segurança – SOX, PCI DSS e ISO 27001/27002 – assim como normas internas das organizações.
7. Permite que a empresa se concentre na gestão estratégica da empresa, enquanto o operacional fica com especialistas.
8. Orçamentos limitados e falta de capacidade para desenvolver e manter toda infraestrutura dentro de casa.
Na essência, os motivos resumem-se a uma expectativa de que um MSSP realizará as atividades operacionais necessárias para a segurança do ambiente corporativo de forma menos custos e mais eficaz.
Entenda como um MSSP pode ajudar sua empresa:
Mas esse não é o fim dos problemas
Vale lembrar que a organização é responsável por gerenciar o risco do negócio, já que é quem melhor entende seus próprios desafios. A operação pode (e deve, pelos motivos descritos) ser terceirizada. A gestão do risco, não. Por isso, alguns pontos devem ser avaliados na hora de escolher seu provedor de segurança:
1. Defina suas expectativas no início: É um erro supor que os MSSPs “farão qualquer coisa”. Definir as expectativas certas estabelece uma base para o sucesso do projeto com o provedor de segurança selecionado.
2. Customização custa caro: Algum grau de customização é normal, mas mudanças drásticas no procedimento acarretam custos extras e, inevitavelmente, serão repassados ao cliente. Se não for cobrado, em algum momento este custo aparecerá, normalmente como problemas na entrega e baixa qualidade do serviço.
3. Falhas ao delimitar responsabilidades: É fundamental, em qualquer relação comercial, delimitar responsabilidades para ambas as equipes (cliente e fornecedor). É preciso estabelecer uma matriz de responsabilidades.
4. Prova de Conceito (POC): O fornecedor diz que faz? Então tem que provar! No processo de escolha de um provedor de segurança é fundamental que seja realizada uma Prova de Conceito do serviço a ser contratado para a avaliação da oferta e da capacidade do MSSP.
5. Inteligência de Segurança: É possível, sim, medir. Provedores de serviços gerenciados de segurança atuam em diversas empresas ao mesmo tempo, o que possibilita um enorme contato com as ameaças que circulam pelas redes mundiais, permitindo antecipar estratégias e ações de proteção para seus clientes. Avalie a capacidade do seu provedor quanto ao tamanho de sua empresa no que diz respeito à quantidade de clientes e diferentes segmentos de mercado.
6. Infraestrutura de alta disponibilidade e processos maduros: O cibercrime não dorme e não tira férias. Já falamos que a maioria dos ataques ocorre fora do horário normal do expediente. Para lidar com esse cenário são necessários Centros de Operação de Segurança (SOC – Security Operation Center) redundantes com alta disponibilidade, que funcionam em regime 24x7. Visite as instalações dos fornecedores que está avaliando e entenda seu processo de entrega.
7. Reports: Se no final da POC não são notificados os incidentes que estão e voga, estranhe! Até nas empresas com um alto nível de maturidade de segurança eles aparecem.
Busque garantias
Todos os pontos citados são norteadores na hora de escolher um provedor de segurança e, melhor ainda, se o processo adotado por ele for certificado por algum órgão de acreditação.
Certificar uma organização, ou um escopo dela - como, por exemplo, um processo crítico do negócio – exige o compromisso dos colaboradores e do patrocínio da alta direção. Dependendo do contexto em que a organização se encontre, investimentos em recursos humanos e tecnológicos poderão ser necessários. Além disso, uma vez implementando, o SGSI deverá ser monitorado e melhorado continuamente, condições que requerem conhecimento e experiência em Segurança da Informação.
Diante deste cenário, contar com um fornecedor certificado é uma boa estratégia tanto para empresas que desejam se certificar, como para as que exigem de seus fornecedores a mesma seriedade com que encaram o assunto SI. A ISO/IEC 27001, inclusive, possui um grupo de controles sobre o relacionamento na cadeia de suprimento. Ter essa certificação é sinônimo de seriedade no tratamento das informações geradas e custodiadas pela organização, o que inclui, é claro, as informações dos clientes. Além disso, prova o devido cuidado com os respectivos processos e sua melhoria contínua.
