A defesa de um ambiente de segurança da informação ainda é algo complexo. Por isso, analisar e gerenciar ameaças tornou-se imprescindível como estratégia para proteger o ambiente de informação das empresas, segundo Bruno Taveira Pereira, líder IBM da parceria em segurança cibernética com a Embratel.
Para Cristiano Serafim de Oliveira, especialista em análise e gerenciamento de ameaças da IBM, nem todas as organizações têm um ambiente de segurança da informação estruturado. Contudo, segundo ele, ter um Centro Operacional de Segurança, SOC, da sigla em inglês, continua sendo uma boa estratégia para suprir essa demanda.
“A Embratel, por exemplo, tem um serviço de SOC que é referência de segurança de ambiente. Ele representa ganhos operacionais, financeiros e estratégicos para as empresas”, afirmou Oliveira.
Para o especialista em análise e gerenciamento de ameaças da IBM, toda empresa necessita de ferramentas de automação que a ajudem a olhar para a segurança, sem necessariamente precisar de uma grande quantidade de profissionais envolvidos.
Cenário mundial de ataques às empresas
O relatório mais recente da X-Force apontou que a principal ameaça, hoje, é a extorsão (27% dos ataques), sendo que 41% delas começam por um phishing, mesmo as empresas fazendo campanhas e investindo em educação, e 17% deste tipo de ataque envolve ransomware. “O principal disso tudo é conhecer o cenário atual e criar uma estratégia para conter esses tipos de ameaças”, apontou.
De acordo com o relatório, houve uma mudança do modelo e no tempo de ataque, que teve redução de 94%. Ou seja, o que antes levava meses para acontecer, agora ocorre em dias. “A gente está falando de quatro dias desde o início do ataque até entrar na empresa, começar a propagar e gerar o impacto”, exemplificou Oliveira.
Entre os países da América Latina, o Brasil é o mais atacado. “Praticamente dois terços de todos os ataques da América Latina acontecem no Brasil, que obviamente é um país muito maior e com a economia muito mais sólida. Por isso, é um alvo constante e ainda está muito exposto a esse tipo de ataque”, completou Oliveira.
No Brasil, o custo de uma violação de dados representa, em média, R$ 6 milhões para uma instituição de médio ou grande porte. Além do alto custo, uma violação de dados gera uma sequência de transtornos para as instituições. De acordo com o relatório, os invasores aumentaram em mais de 2.000% o reconhecimento de dispositivos de OT — ou dispositivos de Tecnologia Operacional (Operational Technology, em inglês), que são componentes tecnológicos utilizados para controlar, monitorar e automatizar processos físicos e operacionais em ambientes industriais e de infraestrutura crítica. A superfície de ataque aumentou para 67%. “Em outras palavras, esses números dizem que boa parte desse ambiente é desconhecido para as instituições. As empresas ainda não têm ideia da dimensão da própria exposição. Parte ela controla, parte não, e esse é um vetor importante para ser utilizado por um atacante. Por isso é preciso atuar de forma estratégica e segura”.
Como proteger o ambiente de informação das empresas
De acordo com o Gartner, é preciso utilizar a estrutura de tríade de choque para a visibilidade do ambiente em questão. Ela é composta por três momentos de análises. O primeiro está relacionado aos eventos, o segundo ao tráfego de rede e o terceiro, ao endpoint. Contudo, eles apresentam efetividade quando associados à inteligência artificial. Na prática:
- a detecção comportamental é baseada em regras e correlação de atividades maliciosas por meio de análise em tempo real de dados de log em toda a empresa;
- detecção comportamental e prevenção de atividades maliciosas em endpoints e mitigação e resposta a ameaças remotamente;
- detecção comportamental com base em atividades de rede maliciosas e lacunas de SIEM e EDR, para fornecer insights críticos para priorizar a correção.
Para atender a essa demanda específica, a IBM e a Embratel atuam em parceria. Juntas, fazem parte da maior força integradora de segurança da informação do Brasil. Por meio do IBM Security SOAR, cria-se um Hub Central para resolver incidentes de segurança. Em outras palavras, uma estratégia que permite elencar as ameaças e, após análise, elenca prioridades para iniciar a ação.
“Normalmente quando falamos de um incidente de segurança, verificamos outras ocorrências que acabam aparecendo de forma colateral. A partir do momento em que sabemos sobre qual ameaça vamos atuar, podemos iniciar a investigação para conhecer qual a extensão, por onde começou, quais impactos, como atuar e se é necessário remediar”, explicou o especialista da IBM.
Segundo ele, a automação desse processo faz toda a diferença na execução, assim como o uso de IA. “É preciso ter agilidade para identificar a presença de um invasor, de forma a neutralizar a ameaça antes mesmo que a operação seja concluída. Por isso, a inteligência artificial deve ser utilizada para automatizar alguns processos, entre eles, proteger o ambiente de informação. Com a inteligência artificial, há um padrão, o que permite trabalhar numa remediação imediata”, explicou Oliveira.
Para ele, o processo de identificação, estratégia, investigação e ação em casos de ameaças só podem ser concluídos com excelência com o apoio da própria tecnologia. “O que eu quero deixar claro é que não tem uma solução mágica. O que existem são soluções inteligentes, para trabalharmos com informações completas. É preciso modernizar e começar a se aprimorar nesse processo”, finalizou.
Nesse sentido, as ferramentas oferecidas pela IBM e a Embratel para combater ameaças e proteger o ambiente de informação das empresas são totalmente integradas. Ou seja, uma vez que elas são acionadas, toda a estrutura dos usuários é impactada e assegurada em um curto espaço de tempo.