Ficar à frente dos invasores se tornou um jogo cada vez mais complexo à medida que os agentes de ameaças exploram vetores de ataque novos e mais sofisticados. De gangues de ransomware operadas por humanos a ataques sofisticados à cadeia de suprimentos, como o SUNBURST, as ameaças que enfrentamos hoje não são nada parecidas com as do passado. Os ataques podem consistir em uma série complexa de ações em que a infecção inicial é apenas o primeiro passo, complicando os esforços da equipe de segurança na detecção e resposta.
Em todos os setores, agora há uma clara mudança na mentalidade dos profissionais de segurança. Isso mudou de ‘se’ os hackers nos atacarem para ‘quando’. Organizações inteligentes entendem que precisam assumir que serão comprometidas e desenvolver defesas de acordo.
Não é apenas a ameaça direta aos dados de uma organização que está em jogo aqui. À medida que as ameaças aumentam, também aumenta o apetite da mídia por noticiá-las, com incidentes de segurança regularmente nas manchetes. Agora, mesmo que um ataque esteja fora das mãos de um CISO e de sua organização, o público em geral é rápido em colocar a culpa em sua porta.
O custo de uma violação de dados bem-sucedida é mais do que apenas financeiro: os ataques não apenas representam uma ameaça à segurança dos dados, mas à reputação da empresa como um todo, enquanto as violações inevitavelmente têm um efeito indireto na cadeia de valor mais ampla.
O contexto é a chave
Há muitas perguntas a serem respondidas para entender a natureza dos ataques. Há também muitas perguntas sobre como evitá-los. Por exemplo,
- Como ocorreu o ataque?
- Por que foi bem sucedido?
- Quem é o culpado?
- Como os efeitos podem ser remediados?
A investigação de um possível incidente começa com o ponto de entrada — o endpoint que um cibercriminoso usou como gateway para obter acesso a uma rede. As ferramentas de resposta de detecção de endpoint (EDR) herdadas tentam vincular uma atividade isolada a outra e depois a outra para criar uma imagem do incidente como um todo, em um esforço para entender o alcance da violação.
No entanto, resolver o mistério e entender o contexto dentro de uma enxurrada de dados corporativos é uma tarefa onerosa para uma abordagem baseada em humanos. As ferramentas de detecção e resposta herdadas fornecem uma quantidade complicada e esmagadora de dados em uma vasta gama de endpoints. As equipes de segurança já estão sobrecarregadas com longas filas de incidentes, deixando-as sem tempo para analisar incidentes e ameaças em profundidade.
Além disso, as equipes de resposta a incidentes – sem surpresa – querem derrubar um míssil virtual antes que ele atinja seu alvo, em vez de descobrir o que deu errado depois que aconteceu.
O papel da automação
Ficou claro que uma triagem manual de alertas não é mais suficiente – é quase impossível monitorar todos os endpoints manualmente, e a escala e a sofisticação dos ataques são demais para uma abordagem estritamente humana. Em vez disso, a contextualização de todos os pontos de dados em um único thread de ação é fundamental para uma defesa abrangente contra ameaças modernas. Por exemplo, resistir com sucesso a um ataque de ransomware como o SolarWinds requer uma solução que possa neutralizar toda a gama de ameaças de vários vetores de ataque. A única forma de conseguir isso é por meio de soluções alicerçadas em inteligência artificial e automação.
Uma vantagem tecnológica
Os agentes de ameaças aproveitam as mais recentes inovações em técnica e tecnologia para perpetrar seus ataques, e equipes robustas de segurança cibernética corporativa precisam fazer o mesmo, combatendo fogo com fogo para estar um passo à frente dos ataques e preveni-los proativamente. Pode levar apenas alguns segundos para violar uma organização. Ao alavancar a IA, as empresas podem detectar, responder e corrigir, tudo em tempo real.
Ao realizar modelagem de ameaças em tempo real, correlação de incidentes e análise de táticas, técnicas e procedimentos (TTP), a IA oferece inteligência enriquecida em torno do contexto de um ataque.
Regras de detecção personalizadas podem ser escritas para lidar com ameaças novas ou direcionadas, como aquelas específicas para indústrias ou organizações, para que uma resposta apropriada ocorra imediatamente enquanto os profissionais de segurança mantêm controle total sobre o processo.
Na verdade, uma das únicas soluções para proteger as organizações contra variantes do SUNBURST durante o ataque da SolarWinds alavancou a IA autônoma e a proteção robusta contra adulteração que, juntos, forneceram proteção completa no ponto de ataque.
Defesa proativa
O uso de IA e automação torna a segurança cibernética proativa em vez de reativa, detectando automaticamente ameaças e bloqueando processos indesejados, desconectando um endpoint da rede e até realizando uma reversão seletiva do sistema até um ponto antes do ataque ocorrer. Isso ajuda as organizações e os analistas de SOC a evitar ataques antes que eles ocorram e a corrigir os efeitos de uma violação bem-sucedida.
Desta forma, a recuperação é habilitada como parte da resposta automática, além da proteção puramente preventiva. Além disso, essa solução pode funcionar sem depender de uma conexão de nuvem para detectar atividades ou tomar decisões. Em vez disso, tudo pode acontecer no próprio endpoint, tanto online quanto offline.
Embora não exista algo abrangente em segurança de TI, a IA permite que as organizações finalmente avancem na corrida armamentista da segurança cibernética. Um analista humano precisa de anos de experiência e treinamento para desenvolver as habilidades necessárias para detectar e isolar ameaças. Automatizar o processo de detecção e resposta a incidentes é o equivalente a ter um analista de SOC digital em todos os endpoints o tempo todo – algo que toda organização poderia usar em seu arsenal de defesa cibernética.
Se você quiser saber mais sobre como a plataforma SentinelOne Singularity pode proteger sua organização, entre em contato conosco ou solicite uma demonstração gratuita.
Fonte: SentinelOne