Refletindo sobre os últimos ataques a grandes organizações, como Equifax, Target, NSA, Wikileaks, Yahoo, Sony, entre outras, é possível chegar a uma conclusão: o que todos têm em comum é o fato de que essas violações de dados partiram de dentro da empresa. Isso não quer dizer que todos os hackers eram funcionários, mas, de alguma forma, a violação foi interna e, uma vez que um invasor está dentro da rede, suas atividades dentro dela são basicamente as mesmas.
Assim que um hacker consegue acessar a rede de dados de uma empresa, ele consegue facilmente encontrar as informações que precisa para concretizar o ataque, como dados pessoais, e-mails, documentos, números de cartão de crédito etc. Portanto, a questão é: será possível seu time de segurança da informação perceber que existem invasores dentro da rede antes que seja tarde demais?
É imprescindível que, além do firewall e softwares de monitoramento de rede, você monitore o que está dentro da rede também, como o comportamento dos usuários, atividade de arquivos, acesso a pastas e quaisquer mudanças.
Quando o perímetro é violado
Imagine o seguinte cenário: um hacker conseguiu acesso à conta de um usuário e está tentando fazer download de dados sensíveis armazenados no OneDrive. As primeiras tentativas de acessar esses dados falharam, mas ele é insistente, então continua tentando outras contas até obter sucesso com alguma e conseguir acessar os arquivos.
Mesmo com monitoração de arquivos, esse tipo de atividade é difícil de ser identificada como ameaça. E ai que nós entramos. A Varonis analisa todas essas tentativas de acesso ao OneDrive com contexto, com base nas informações do UBA. A partir daí, você pode utilizar os modelos de ameaças da Varonis para analisar e comparar cada atividade com o comportamento típico de cada usuário, assim, quando um usuário apresentar comportamento estranho, sua equipe de segurança recebe um sinal de alerta.
Nesse cenário, esse conta começou a acessar, de repente, dados sensíveis e confidenciais que nunca havia acessado. E este é o sinal de alerta – e nós temos modelos de ameaças desenvolvidos especialmente para detectar esse tipo de comportamento.
Isso está fora do comportamento normal do usuário da conta que o hacker está tentando acessar – e devido ao fato de que a Varonis monitora toda a atividade do OneDrive há mais de um ano, o cliente tem todas as evidências que precisa para agir imediatamente.
Investigação e Forense Computacional
O primeiro passo é bloquear e deslogar essa conta – e, com o software da Varonis, é possível programar isso como resposta automática. Também é importante enviar e-mails de alertas à equipe de segurança da informação e/ou o sistema de SIEM. Assim que as partes relevantes estiverem notificadas, o trabalho de investigação pode ser iniciado.
Esse processo envolve descobrir o que aconteceu, como aconteceu, qual vulnerabilidades foram exploradas e o que pode ser feito para se proteger e a invasão não acontecer da mesma forma futuramente. Com o DatAdvantage da Varonis, é possível obter todo o histórico de auditoria daquele ID de usuário e, a partir disso, identificar mais locais que essa conta possa ter acessado e verificar se mais dados foram comprometidos.
Utilize todo o arquivo de auditoria para identificar possíveis danos e, se necessário, bloquear o sistema até que tudo esteja seguro novamente. Após neutralizar a ameaça inicial, é o momento de avaliar todas as linhas de defesa e fechar as portas que possam servir de entrada para ameaças.
A Plataforma de Segurança da Varonis é um componente chave para criar camadas de segurança dentro de um sistema. Camadas criam redundância e redundância melhora a segurança. Hackers vão encontrar e explorar qualquer brecha que encontrarem, é nossa responsabilidade proteger os dados sensíveis.
Utilizando as ferramentas certas para segurança de dados, é mais fácil conseguir deixar o trabalho dos cibercriminosos mais difícil e limitar o impacto dos ataques.