PREPARANDO-SE PARA LIDAR COM VIOLAÇÕESPERCEPÇÕES SOBRE O SECURITY FOR

BUSINESS INNOVATION COUNCIL

Preparo contra violação

2

Este e-book contém percepções sobre preparo contra violações, resposta e resiliência baseados em entrevistas aprofundadas realizadas com o SBIC (Security for Business Innovation Council, conselho de segurança para inovação nos negócios)1. O SBIC é composto por executivos de segurança visionários de empresas presentes na Global 1000, comprometidos com o avanço do estado da segurança das informações ao redor do mundo por meio do compartilhamento de percepções retiradas de suas experiências reais.

As referências de preparo para o setor como um todo são extraídas de uma pesquisa global com 170 profissionais de segurança em 30 países. São apresentadas medidas em quatro áreas principais do preparo contra violação e incidente de resposta: Inteligência de conteúdo, Perícia forense e lógica analítica, Inteligência contra ameaças e Resposta a incidentes.

Comparando e contrastando as respostas dos líderes do setor com as respostas do setor em geral, conseguimos fornecer recomendações práticas para a criação de um programa preemptivo de preparo contra violação e resposta a incidentes.

VISÃO GERAL

1 Consulte o anexo para obter uma lista completa de organizações e representantes do SBIC

Preparo contra violação

3

RESPOSTA A INCIDENTESResposta a incidentes é uma abordagem organizada para lidar com eventos adversos suspeitos ou confirmados que afetam a segurança das redes ou dos sistemas computacionais. Os processos eficientes de resposta a incidentes lidam com os incidentes de uma forma que limita o dano e reduz o custo e o tempo de recuperação.

O plano de resposta a incidentes deve ser um processo dinâmico. As organizações que não avaliarem nem aprimorarem os planos de resposta a incidentes expõem seus negócios a níveis maiores de risco.

SBIC Geral

Utilizam planos formais de reposta a incidentes.

67% dos membros do SBIC usam formalmente a

inteligência e as principais lições aprendidas de incidentes de

segurança para aprimorar os processos de

resposta.

100%

70%

57% dos participantes que

não fazem parte do SBIC raramente ou

nunca analisam nem atualizam esses planos.

"As pessoas e os processos são mais relevantes que a tecnologia, pois ela faz parte da área de resposta a incidentes. Primeiro, uma equipe de operações de segurança deve ter claramente definidas as funções e as responsabilidades para evitar confusão em momentos críticos. Mas é igualmente importante ter visibilidade e workflows consistentes durante qualquer crise de segurança grave para garantir a responsabilidade e a consistência e ajudar as organizações a aprimorar os procedimentos de resposta ao longo do tempo."

Ben Doyle, diretor de segurança das informações, Thales Austrália e Nova Zelândia

Preparo contra violação

4

INTELIGÊNCIA DE CONTEÚDOA Inteligência de conteúdo é um estado de consciência situacional obtido de ferramentas, tecnologias e processos que as organizações utilizam para identificar e monitorar os ativos críticos e disseminar a inteligência aplicada para análise e resposta.

Os membros do SBIC têm equipes capacitadas de segurança cibernética cuja tarefa é exclusivamente identificar e implementar tecnologias para Inteligência de conteúdo avançada. O compartilhamento de informações é um processo institucionalizado e contínuo.

Utilizam uma solução de agregação e correlação de registros focada em

segurança para fornecer alerta centralizado sobre atividade

suspeita

Utilizam os dados de relevância e/ou vulnerabilidade dos ativos durante as operações diárias e o

gerenciamento de incidentes

Identi�cam e reduzem os falsos positivos

SBIC

Geral

100%92%

45%

60%

90%

50%

"As organizações precisam refinar continuamente a abordagem à coleta de inteligência. Qual é o nível de praticidade e o oportunismo disso? Isso é relevante para a empresa? Sem fazer isso, ficaremos sobrecarregados com informações e praticamente perdidos"Tim McKnight, diretor global de segurança das informações, General Electric

Preparo contra violação

5

PERÍCIA FORENSE E LÓGICA ANALÍTICAA Perícia forense abrange a captura, o registro e a análise dos dados da rede e do host para detectar a origem dos ataques ou outros incidentes.

A perícia forense é um recurso chave para a detecção de ataques e campanhas de ataques avançados e sofisticados.

SBIC

Geral

Têm um recurso ativo de perícia forense de host

83%

72%

Utilizam atualmente um recurso ativo de perícia forense de rede,

como uma ferramenta com captura e análise de pacotes

completos

83%

42%

"É importante usar as fontes internas e externas para a detecção e a análise de malware. Com a terceirização, as organizações podem ter uma visualização melhor do que está acontecendo e aproveitar essa inteligência para prepararem-se para futuros ataques."Dave Martin, diretor de segurança, RSA

Preparo contra violação

6

INTELIGÊNCIA CONTRA AMEAÇASA Inteligência contra ameaças é o processo de coleta e síntese de dados de ameaças internas e externas para implementar detecção, investigação e resposta efetivas aos eventos de segurança.

"As operações de segurança devem manter certo nível de flexibilidade. Com eventos de dia zero e outros tipos de ataques menos comuns, as equipes de operações de segurança devem ser ágeis e capazes de se adaptar. Os serviços baseados em assinaturas são uma ótima ajuda, se sua equipe sofre com a limitação de recursos."Jerry Geisler, diretor sênior de operações de segurança de sistemas de informação, diretor de segurança das informações, Walmart

100%

60%

100%

43%

83% utilizam esses dados

em operações diárias de segurança

cibernética.

Têm um programa ativo de gerenciamento de

vulnerabilidade para identi�car, investigar, avaliar e corrigir os possíveis pontos de violações.

Fortalecimento da inteligência de ameaças internas com dados de

fontes externas.

SBIC

Geral

7

OUTRAS PERCEPÇÕES

Preparo contra violação

8

OUTRAS PERCEPÇÕESGERENCIAMENTO E RESPOSTA A INCIDENTES Como os incidentes de segurança priorizados e rastreados podem afetar drasticamente a eficiência da resposta a violações. Muitas organizações ainda contam com um sistema manual e descentralizado para rastrear incidentes de segurança. Em alguns casos, isso consiste em muito mais do que eventuais atualizações de planilhas feitas pelo analista de segurança. Isso dificulta o fornecimento de governança, o rastreamento do modo como os incidentes são solucionados e a oferta de percepções sobre o aprimoramento do processo ao longo do tempo.

As organizações devem utilizar um sistema dedicado e baseado em workflow que forneça total visibilidade (da coleta de alertas até a criação de incidentes e a escalada por meio de redução, contenção, análise e correção). Entre os respondentes do SBIC, somente 58% utilizam um sistema de gerenciamento de incidentes e workflows dedicado para operações de segurança com o objetivo de rastrear e gerenciar incidentes.

Por fim, o teste regular aumenta as chances de os procedimentos de resposta a incidentes serem implementados como planejado, quando necessário. Entre os membros do SBIC, 92% utilizam um processo formal para testar seu programa de resposta a incidentes pelo menos uma vez ao ano. Os ciber jogos de guerra identificam as áreas de aprimoramento e garantem os níveis certos de atenção, e a equipe e o orçamento estão concentrados em seus aplicativos e dados de maior valor e na infraestrutura vulnerável.

INTELIGÊNCIA DE CONTEÚDO O estabelecimento da inteligência de conteúdo é essencial e o primeiro passo para a criação de um programa de preparo contra violação e resposta a incidentes. As organizações devem aproveitar a tecnologia de coleta de dados para obter visibilidade mais ampla e aprofundada das atividades em todo o ambiente. Deve haver um recurso para fornecer detecção automatizada de anomalias com um recurso ou uma equipe dedicada a analisar os possíveis incidentes provenientes da tecnologia.

O desenvolvimento da inteligência de conteúdo é um processo contínuo. Os membros do SBIC, que utilizam protocolos avançados de preparo contra violação e resposta a incidentes, defendem o aprimoramento contínuo. 58% dos membros entrevistados declararam que, apesar da agregação central para dados de segurança e automatização de alertas, é difícil garantir a cobertura de todos os ativos relevantes.

Os falsos positivos são outro desafio. A análise de incidentes falsos positivos permite o ajuste dos sistemas de inteligência de conteúdo. Entre os membros do SBIC, 50% não têm um processo formal. Muitas empresas não estão pensando nos falsos positivos.

As organizações devem buscar constantemente fortalecer as fontes de inteligência de conteúdo. De acordo com os membros do SBIC, o compartilhamento de dados entre as equipes internas é essencial, seja por meio de ferramentas comuns de comunicação de banda externa ou de ferramentas de GRC (Governance, Risk and Compliance). O objetivo deve ser fragmentar os silos existentes.

Preparo contra violação

9

OUTRAS PERCEPÇÕESPERÍCIA FORENSE E LÓGICA ANALÍTICA A lógica analítica e a perícia forense de rede são essenciais para os esforços mais avançados do preparo contra violação. As organizações que contam apenas com a análise de registros sofreram com os muitos pontos cegos potenciais. Por meio da correlação dos pacotes de rede com outros dados de segurança, as organizações podem detectar ataques não presentes nas ferramentas baseadas em signature e de SIEM centradas em registros.

A análise de malware é uma técnica padrão de perícia forense que faz parte da maioria dos esforços de preparo contra violação e resposta a incidentes. Entendendo o funcionamento e o objetivo do malware, as organizações podem solucionar as vulnerabilidades de rede e ponto de extremidade para aprimorar a detecção de ataques e a defesa. Entretanto, em resposta a essas ferramentas, os invasores continuam evoluindo suas técnicas, levando a muitas invasões não detectadas pelos mecanismos de lógica analítica.

As ferramentas de perícia forense para análise estática e dinâmica de utilização de memória, conexões de rede abertas, execução de processos e log de eventos podem evidenciar invasões e ataques invisíveis. 83% dos membros do SIBC pesquisados têm recursos ativos de perícia forense de host; embora essas ferramentas sejam implementadas em vários níveis de funcionalidade, nem todos estão utilizando-as no processo investigativo.

INTELIGÊNCIA CONTRA AMEAÇAS De acordo com o SBIC, os seguintes dados de ameaças devem ser explorados para aprimorar o preparo contra violação e a resposta a incidentes:

• Dados de vulnerabilidade

• Dados de ameaças de código aberto

• Feeds de terceiros sobre inteligência contra ameaças externas

Entretanto, as organizações não devem confiar demasiadamente na inteligência contra ameaças. Os inimigos também se inscrevem nos feeds de ameaças, arquitetando ataques que evitam o uso de indicadores conhecidos, o que pode limitar a eficiência contra campanhas sofisticadas.

Os dados de vulnerabilidade combinados à determinação avançada da importância dos ativos de informações (por exemplo, missão crítica, essencial aos negócios ) fornecem o contexto de negócios que ajuda as organizações a priorizar a alocação de recursos.

Preparo contra violação

10

SUA EMPRESA ESTÁ PREPARADA CONTRA VIOLAÇÕES? Perguntas essenciais nas quatro principais categorias de preparo contra violação e resposta a incidentes

Resposta a incidentes

• Sua organização tem um processo de resposta a incidentes formalmente documentado e definido?

• Você definiu critérios de contratação e programas de treinamento para criar uma equipe eficiente de resposta a incidentes?

• Você tem um sistema que permite à equipe priorizar a resposta a incidentes?

• Se sua organização for notificada por um terceiro, como a polícia, sobre uma violação de segurança em sua rede, você saberá quais são as etapas exigidas como resposta?

• Qual é a frequência com que os recursos de incidente a respostas são testados formalmente?

Inteligência de conteúdo

• Sua organização utiliza atualmente uma solução de coleta de dados focada em segurança para fornecer alerta centralizado e investigação de atividade suspeita?

• Sua organização tem uma equipe/função dedicada ao desenvolvimento e ao teste de novo conteúdo para tecnologias de segurança?

• Você tem medidas em vigor para identificar e reduzir os falsos positivos?

• Você incorpora os dados de relevância dos ativos ou outras medidas de risco para tornar a inteligência de conteúdo mais prática?

Perícia forense e lógica analítica

• Você utiliza atualmente um recurso ativo de perícia forense de rede, como uma ferramenta com captura e análise de pacotes completos?

• Seu departamento de segurança tem atualmente uma função de análise de malware?

• Você tem atualmente um recurso ativo de perícia forense de host?

Inteligência contra ameaças

• Sua organização tem um programa de gerenciamento de vulnerabilidades?

• Sua equipe de segurança analisa dados de ameaças para categorizar e priorizar os dados a serem usados nas operações diárias?

• Seu programa de operações de segurança utiliza dados de inteligência contra ameaças de código aberto em operações diárias?

• Seu programa de operações de segurança compra dados de inteligência contra ameaças externas para serem usados nas operações diárias?

• Sua organização analisa regularmente as lições aprendidas de incidentes de segurança para gerar inteligência que é usada novamente nas operações de segurança para refinamento contínuo?

Preparo contra violação

11

SECURITY FOR BUSINESS INNOVATION COUNCILMarene Alison* — vice-presidente global de segurança das informações, Johnson & Johnson

Anish Bhimani* — CIO (Chief Information Officer) do setor de atividades bancárias comerciais, JP Morgan Chase

William Boni — vice-presidente e diretor corporativo de segurança das informações, T-Mobile USA

Roland Cloutier* — vice-presidente, diretor de segurança Automatic Data Processing, Inc.

Dr. Martijn Dekker*— vice-presidente sênior e diretor de segurança das informações, ABN Amro

Ben Doyle* — diretor de segurança das informações, Thales Austrália e Nova Zelândia

Jerry R. Geisler III* — diretor de segurança das informações, Walmart Stores, Inc.

Malcolm Harkins — vice-presidente e diretor de privacidade e segurança, Intel

Kenneth Haertling* — vice-presidente e diretor de segurança, TELUS

Dave Martin* — antigo vice-presidente e diretor de segurança, EMC Corporation, e diretor de segurança, RSA

Timothy McKnight* — diretor global de segurança das informações, General Electric

Kevin Meehan* — vice-presidente e diretor de segurança das informações, The Boeing Company

Philip Hong Sun, Kim — vice-presidente executivo e diretor de segurança das informações, Standard Chartered Bank of Korea

David Powell — líder de segurança de TI, National Australian Bank

Robert Rodger — líder do grupo de segurança de infraestrutura , HSBC Holdings plc.

Ralph Salomon — vice-presidente do setor de segurança, processos e conformidade, fornecimento de infraestrutura e nuvem da SAP

Vishal Salvi* — vice-presidente sênior e diretor de segurança das informações, HDFC Bank Limited

Denise D. Wood* — vice-presidente corporativo e diretor de segurança das informações, diretor de risco de TI, FedEx Corporation

*Membros do SBIC que participaram da pesquisa

EMC2, EMC, o logotipo da EMC, RSA e o logotipo da RSA são marcas registradas ou comerciais da EMC Corporation nos Estados Unidos e em outros países. © Copyright 2015 EMC Corporation. Todos os direitos reservados. Publicado no Brasil. 04/15 eBook H14105

Preparo contra violação