Como sua organização pode evitar violações de dados

By Eyal Arazi October 19, 2021

Vamos começar com a verdade não óbvia: o problema de impedir violações de dados não tem a ver com a detecção. Os sistemas de segurança modernos detectam muita coisa. Eles detectam muito mesmo. De acordo com um estudo da empresa de segurança de TI Bricata, o Centro de Operações de Segurança (Security Operations Center, SOC) médio recebe mais de 10.000 alertas por dia de uma série de produtos de monitoramento e detecção. Portanto, obviamente, a falta de detecção suficiente não é o problema.

O fato é que o problema reside em outro lugar – não é detecção; é correlação.

A detecção é fácil, mas e depois?

A detecção, em sua forma mais simples, é um alerta. Um usuário executa uma atividade e um log é gerado. Os modernos sistemas de segurança na nuvem são desenvolvidos para detectar. Um SOC médio pode gerar entre 5.000 e 40.000 alertas por dia (ainda mais para grandes redes).

O problema com a detecção, no entanto, é que analisar cada alerta não diz quase nada. Quase todos os logs podem ser legítimos ou ilegítimos, dependendo do contexto em que são criados.

Considere as atividades a seguir. Analisando cada uma, você saberia dizer qual delas é uma atividade legítima?

  • Um administrador do sistema fazendo login de um local incomum. É porque ele está trabalhando em algo urgente durante suas férias ou porque os hackers roubaram suas credenciais do Leste Europeu?
  • Um usuário está acessando a rede fora do horário comercial. É porque ele teve uma emergência no trabalho ou os hackers estão tentando passar despercebidos?
  • Um engenheiro de DevOps invocando pela primeira vez uma chamada de API que nunca usou antes. Ele está lançando uma nova versão do produto ou é um hacker tentando uma expansão lateral em sua rede?
  • Um administrador de banco de dados está acessando um bucket de armazenamento baseado em nuvem e exportando todos os dados dele. Isso faz parte do trabalho dele ou alguém roubou todo o seu banco de dados de usuários?

O fato é que, olhar para um único alerta – por si só – não revela a intenção por trás dele.

[Você também pode se interessar por: Defesa contra vulnerabilidades na nuvem – É tarde demais?]

Os invasores passam despercebidos

Em nossa própria experiência de análise de violações de dados aprendemos que, na maioria dos casos, as atividades mal-intencionadas foram de fato identificadas a tempo, mas passaram despercebidas.

Por que isso acontece:

  • Sobrecarga de logs: os gerentes de segurança são inundados com tantos alertas que não têm tempo para analisar muitos deles. Consequentemente, eventos importantes se perdem em meio à confusão.
  • Alertas de baixo risco: muitas atividades que constituem uma violação de dados não são de alto risco nem de alto impacto, mas ações triviais com baixo risco atribuído a elas. Assim, elas costumam ser negligenciadas.
  • Falta de contexto: analisar cada atividade independentemente de outras atividades não revela sua intenção.
  • Estendem-se ao longo do tempo: os incidentes de violação de dados podem levar semanas e – às vezes – meses para se desenrolarem. Os logs chegam em um alto volume diariamente, tornando impossível lembrar outro alerta que ocorreu há várias semanas e associar atividades individuais.

Como resultado dessas realidades do gerenciamento de segurança diário, qualquer meio de analisar alertas manualmente e colocá-los em contexto para identificar atividades mal-intencionadas está fadado ao fracasso.

Une image contenant texte, rideau, corbeille Description générée automatiquement

A detecção é importante, mas a correlação é crucial

O segredo, portanto, não está em mais detecção, mas sim na correlação.

Correlação é o processo de pegar eventos independentes, aparentemente não relacionados, e correlacioná-los em superfícies de ameaças, recursos e prazos.

Pense na lista de exemplos de atividades que listamos acima.  Por si só, cada evento não fazia sentido; não podíamos discernir a intenção por trás dele.

Mas considere a seguinte cadeia de eventos:

  1. Um usuário se conecta de um local remoto em um horário incomum, fora do horário comercial.
  2. Poucos dias depois, o mesmo usuário invoca pela primeira vez uma chamada de API para listar todos os privilégios do usuário.
  3. Ao longo de algumas semanas, o usuário faz uma série de conexões com vários buckets de armazenamento que contêm informações confidenciais.
  4. O usuário baixa dados de um bucket de armazenamento para um local fora da rede.

Analisar esses eventos em uma cadeia vinculada de eventos é diferente de apenas analisar cada evento individualmente. É por isso que a correlação é tão importante. Ela permite que você identifique uma violação de dados em sua totalidade, não apenas os eventos individuais que fazem parte dela.

A correlação é um componente crucial da cibersegurança e pode fazer a diferença entre deter uma violação a tempo ou ler sobre ela nas notícias.

[Gostou desta publicação? Inscreva-se agora para receber o conteúdo mais recente da Radware na sua caixa de entrada toda semana, além de acesso exclusivo ao conteúdo Premium da Radware.]

Posted in: Cloud Security
Eyal Arazi

Eyal Arazi

Eyal is a Product Marketing Manager in Radware’s security group, responsible for the company’s line of cloud security products, including Cloud WAF, Cloud DDoS, and Cloud Workload Protection Service. Eyal has extensive background in security, having served in the Israel Defense Force (IDF) at an elite technological unit. Prior to joining Radware, Eyal worked in Product Management and Marketing roles at a number of companies in the enterprise computing and security space, both on the small scale startup side, as well as large-scale corporate end, affording him a wide view of the industry. Eyal holds a BA in Management from the Interdisciplinary Center (IDC) Herzliya and a MBA from the UCLA Anderson School of Management.

Related Articles

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Contact Us Now

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center
CyberPedia

Close

What are you looking for?