Analisar é o processo de agregar, correlacionar e aplicar outras técnicas mais avançadas a dados de eventos brutos para produzir um resultado de segurança acionável. Essas ideias foram emprestadas do sábio de segurança da Gartner, Anton Chuvakin.
As limitações das ferramentas de segurança
De acordo com Chuvakin, esses são os fatores-chaves para que um projeto de análise de segurança seja bem-sucedido:
Esse é o último ponto que faz com que muitas equipes de segurança se desviem do caminho. Claro, é possível comprar ferramentas individuais para resolver determinados problemas. Mas, essas ferramentas são ótimas para responder a perguntas específicas, como “qual aplicativo está abrindo uma conexão com um endereço IP desconhecido?”.
A inevitável “pegadinha” com ferramentas de análise de segurança especializadas é que os gerentes de TI que analisam os resultados levantam questões que não podem ser respondidas unicamente por essas ferramentas.
O fato é: analistas de segurança podem encontrar-se em posição de que não dispor dos recursos técnicos ou do tempo necessário para realizar um acompanhamento mais abrangente. No caso acima, os administradores podem simplesmente restringir o acesso apenas aos administradores do grupo de segurança e, talvez, outra pessoa possa examinar as atividades do funcionário envolvido para saber o motivo dele estar fazendo login em um servidor que não está associado a ele.
Isso pode ser satisfatório. Mas pode ser que o gerenciamento de TI queira mais respostas. Nesse caso, a equipe de segurança precisará de outra ferramenta para estuda os movimentos laterais das contas de usuários. E, para um próximo incidente, a equipe de segurança poderia agrupar o código para acessar o log de eventos do Windows e checar contas não administrativas que iniciam o script de software que se conecta a endereços IP restritos em qualquer lugar do sistema.
O objetivo de uma plataforma é que ela permita que diferentes funções de segurança compartilhem de um “backplane” comum – funções trabalhando juntas em um único aplicativo e usando as mesmas estruturas de dados subjacentes. A plataforma pode então ser aplicada a muitos casos de uso diferentes.
Com uma plataforma de análise de segurança, os fornecedores também estão entregando aos clientes novos coletores de eventos e bibliotecas de modelos ou modelos de ameaças à segurança comprovados. E a plataforma permite que os administradores de segurança personalizem os modelos de ameaças existentes ou criem novos a partir do zero para monitorar e interpretar os ataques, tudo por meio de uma interface consistente.
Para completar, as informações de segurança relevantes são exibidas visualmente de forma a ajudar a equipe de nível inferior, que não tem PhD em análise de dados, a entender o que é importante e capacitá-los a realizar as ações mais eficazes primeiro.
As plataformas de segurança também são escalonáveis.
Como Chuvakin, da Gartner afirma, a análise de segurança precisa levar a resultados úteis de segurança. Não é suficiente apenas coletar eventos de sistema e segurança e realizar algumas análises se as informações não fornecerem à equipe de Ti as informações de segurança relevantes para realizar seus trabalhos.
Em outras palavras, os algoritmos de análise devem ir além de um alerta que, por exemplo, diz que há “uma atividade estranha em um arquivo”. Muito mais útil é se a análise informar à equipe de resposta a incidentes que um ataque de ransomware está em andamento, já que os arquivos estão sendo rapidamente substituídos por versões criptografadas. Ou, para dar outro exemplo, que um usuário elevou seus privilégios roubando credenciais ou hashes despejados da memória LSSAS.
Para oferecer informações de segurança mais relevantes, os pesquisadores criaram a ideia de modelos de ameaças, que são uma visão de nível mais alto ou estruturada de todos os eventos de segurança subjacentes. Esses modelos não se baseiam em assinaturas legadas e outros indicadores de comprometimento (IOC), mas, em atividades e comportamentos gerais de sistemas e arquivos. Os modelos de ameaças fornecem informações muito mais significativas para os técnicos de segurança.
Claro que é possível fazer uma modelagem de ameaças própria para descobrir os detalhes que compõem os ataques do mundo real e existem ferramentas para ajudar na tarefa. Mas isso não é fácil. É aí que um fornecedor de plataforma pode ajudar: agrupar modelos de ameaças comprovadas para muitos ataques comuns na plataforma, para que os grupos de segurança de TI possam entrar em ação.
Para resumir, uma plataforma de análise de segurança tem os seguintes benefícios:
Com o Varonis Data Security Platform, os técnicos podem ver rapidamente o usuário, dispositivo e pastas envolvidos em uma ameaça relacionada a um comportamento incomum de acesso a arquivos atípicos. Conheça nossos serviços.