Security Analytics: enfrentando ameaças complexas

Ferramentas convencionais não são mais suficientes para proteger sua operação. Entenda o que é Security Analytics e sua importância no cenário atual de cibersegurança.

Cibersegurança é um conjunto de ferramentas, práticas e diretrizes usados para proteger instituições e pessoas de roubos, fraudes, danos de toda ordem e acessos não autorizados.

Trata-se de um tópico fundamental por três perspectivas:

  1. Nós vivemos em uma sociedade que é digitalmente hiperconectada, englobando atividades diversas: relacionamentos sociais, negócios, serviços públicos e outros aspectos do dia-a-dia;

  2. O aumento da dependência da digitalização acarreta no avanço da variedade de vetores de ataques, simples e complexos, como Advanced Persistent Threats (APT), que se tornam cada vez mais organizados e difundidos a cada dia;

  3. Existem claras evidências de ataques sendo realizados não apenas por pessoas (hackers, script kiddies), mas organizações de grande porte e expertise técnico, financiadas por governos estrangeiros e empresas.

Ou seja, a cibersegurança é fundamental para se evitar a manipulação de pessoas e instituições para o benefício de terceiros.

É importante notar que o crescimento persistente do sucesso de ataques cibernéticos, conforme é reportado continuamente na mídia especializada, e o amplo efeito dessas ações, demonstram que as ferramentas e práticas convencionais de defesa não são mais suficientes para lidar com o cenário atual de ameaças.

Security Analytics: conceito, vantagens e casos de uso

Nesse novo cenário, a monitoração contínua e análise de segurança (Security Analytics) tem se tornado a abordagem mais comum. Podemos definir Security Analytics da seguinte maneira:

Security analytics é o conjunto de ferramentas e atividades que buscam: 1) identificar ataques complexos (ex. insider threats e APT); 2) prover visibilidade da infraestrutura, com visualizações facilmente customizáveis; 3) entender os ataques cibernéticos de forma minuciosa para evitar que aconteçam novamente.

A principal função da análise contínua de segurança é manter vigilância constante sobre novas vulnerabilidades, ataques (ex. zero day) e atividades suspeitas de usuários internos e externos.

Uma das maiores vantagens dessa nova forma de se executar a segurança cibernética é a capacidade de se detectar ataques avançados, chamados de Advanced Persistent Threats (APTs), que demoram geralmente semanas ou meses para se efetivarem.

Esses ataques, apesar de raros, são os mais devastadores, pois são executados por criminosos com conhecimentos avançados, capazes de permanecer com acesso indevido a sistemas e dados por meses e até anos. O uso efetivo de ferramentas e práticas de Security Analytics é a única forma de se descobrir, mitigar e proteger empresas e pessoas desses ataques mais sofisticados.

Soluções de Security Analytics são implementadas em uma grande variedade de casos de uso. Algumas de suas principais aplicações práticas são:

  • Análise de tráfego de rede para detecção de anomalias que revelam ataques;

  • Monitoração do comportamento de usuários em rede;

  • Detecção de insider threats (usuário internos, praticando ações nocivas à segurança digital ou atividades criminosas);

  • Detecção de vazamento de dados;

  • Dentre várias outras funções.

Principais recursos de ferramentas de Security Analytics

Para se aplicar de forma eficiente os conceitos de Security Analytics é imprescindível o uso de ferramentas que sejam capazes de:

  1. Capturar e armazenar grandes quantidades de dados, especialmente dados de rede (wire data), capturados de forma não intrusiva. Capturar dados em rede é a única forma de se detectar na infraestrutura de TI novos dispositivos e sistemas, maliciosos ou não, sem que seja necessária intervenção humana;

  2. Decodificar as informações em metadados e disponibilizar as informações em mecanismo que possibilitem busca textual rápida e criação de análises complexas, com gráficos, tabelas e outros recursos visuais;

  3. Utilizar recursos de Inteligência Artificial para análise de comportamentos de usuários e máquinas;

  4. Consumir informações de Threat Intelligence, de fonte confiável, de forma simples e rápida.

Com esses e outros recursos, soluções de Security Analytics não apenas permitem o combate à ameaças avançadas, mas também eliminam dificuldades comuns de ferramentas convencionais, como a complexidade para manter a solução (treinamentos, configuração) e a dependência de assinaturas (que não relevam novos ataques ou APT).