O alarmante incidente de hacking que teve como alvo uma instalação de tratamento de água na Flórida é uma das mais recentes provas do mundo real da necessidade de uma segurança cibernética mais meticulosa.
Ninguém está salvo de ciberataques. De empresas a instalações governamentais, hackers atacam sempre que veem uma vulnerabilidade ou oportunidade.
Os antivírus ou softwares de proteção contra malware de hoje se tornaram mais sofisticados com novos recursos e funções, como a capacidade de verificar links e anexos de e-mail, bloquear spyware e verificar se há pontos fracos do sistema que podem ser explorados por cibercriminosos.
Ainda assim, eles não são suficientes para fornecer proteção adequada. É por isso que as organizações implementam muitas outras soluções de segurança, incluindo firewalls, detecção e resposta de endpoint (EDR), gateway de segurança web, VPN e controle de acesso à rede (NAC), entre outros.
Executar várias ferramentas de segurança cibernética é inevitável e frequentemente necessário, uma vez que é difícil encontrar um único provedor de soluções de segurança que cubra de forma confiável todas as preocupações de segurança das organizações.
O problema com isso é que as muitas ferramentas implantadas podem não ser utilizadas em sua utilidade ideal se não forem unificadas.
É improvável que forneçam a visibilidade de segurança desejada, necessária para manter uma organização protegida contra as ameaças, vulnerabilidades e atividades de rede anômalas mais recentes.
Para isso, é útil usar uma plataforma que unifica e centraliza de forma eficiente e contínua todas as suas soluções de segurança cibernética.
O Cyrebro, um centro de operações de segurança gerenciado (SOC), aumenta significativamente a visibilidade da segurança cibernética em uma organização, unificando os vários produtos e plataformas de segurança usados.
Não é fácil acompanhar todos os alertas e notificações de várias soluções de segurança. Mais desafiador ainda é responder adequadamente os alertas de segurança específicos quando eles chegam aos milhares.
Um estudo da Forrester descobriu que uma equipe média de operações de segurança recebe mais de 11.000 alertas de segurança por dia.
Isso significa mais de 450 alertas por hora se as equipes de segurança trabalharem 24 horas por dia. Avaliar os alertas e decidir a melhor ação para lidar com eles não só será entediante, mas também estará sujeito a erros.
Não é surpresa que muitas organizações decidam ser menos cautelosas ao lidar com esses alertas de segurança. Alguns até recorrem à seleção automática de ações padrão ou até mesmo à decisão aleatória do que fazer com elas, resultando em ineficiências e enfraquecimento da postura de segurança.
O grande número de notificações ou sinais de ameaças à segurança recebidos por meio de várias soluções de segurança pode se tornar caótico. Eles podem criar um protocolo de segurança cibernética não otimizado.
Empresas com configurações organizacionais complexas empregam várias soluções de segurança cibernética. Aqueles que operam com sistemas híbridos usam diferentes ferramentas de software de segurança, incluindo corretores de segurança de acesso à nuvem (CASB), como Oracle CASB Cloud, Stratokey e FortiCASB.
Uma plataforma central para operações de segurança organiza todas as informações de eventos de segurança para facilitar a resposta imediata, a conexão de vulnerabilidades ou fraquezas e a responsabilidade em toda a rede de segurança.
Ele permite o monitoramento estratégico e caçar ameaças para otimizar as defesas cibernéticas de uma organização. Além disso, ele apoia uma investigação forense eficaz.
Integrando soluções de segurança
É possível reunir todos os dados de eventos de segurança coletados de várias soluções de segurança usadas em uma organização, integrando-os em uma plataforma. A integração ajuda a evitar silos de segurança cibernética ou a fragmentação de informações e funções.
Configurações fragmentadas ou descentralizadas são preferidas em algumas situações, mas não na segurança cibernética corporativa.
Como sugere um artigo do CMMI Institute, a descentralização tem seu lugar no ecossistema de segurança, mas a centralização é necessária para alcançar coerência, coordenação e visibilidade de segurança abrangente.
Inteligência e resposta aprimoradas contra ameaças
A integração permite inteligência e caça de ameaças mais poderosas. Como demonstra o painel de segurança centralizado do Cyrebro, as equipes de segurança têm uma visão melhor dos incidentes críticos nas operações de negócios e as soluções de segurança implantadas em diferentes departamentos ou até mesmo localizações geográficas.
Com a ajuda da inteligência artificial, em particular do aprendizado entre organizações, os eventos de segurança são analisados e classificados de acordo com sua gravidade.
Isso permite que as equipes de segurança vejam as questões de segurança mais críticas que precisam ser resolvidas o mais rápido possível.
Além disso, permite o monitoramento de soluções de segurança em execução para garantir a defesa cibernética de uma organização e o rastreamento de endpoints que se conectam à rede de uma organização.
Além disso, a centralização da inteligência de ameaças gera relatórios fáceis de entender quase que instantaneamente, permitindo que as equipes de segurança e outras partes envolvidas tenham acesso rápido às informações reais em momentos específicos de inspeção.
A centralização das soluções de segurança pode ainda permitir que as equipes de segurança tenham uma visão "global" do estado de segurança de uma organização.
Voltando ao exemplo do Cyrebro, este SOC centralizado vem com um recurso "Host Index and Maps", que fornece uma visão gráfica dos diferentes endpoints de uma organização em todo o mundo.
Ele coleta e apresenta dados de segurança de diferentes laptops, desktops, dispositivos móveis e servidores que se conectam à rede corporativa.
O ataque ao sistema de tratamento de água
A instalação de tratamento de água hackeada na Flórida tinha todos os controles básicos de segurança cibernética. Não foram relatados problemas de proteção contra malware com defeito e falta de atualizações de software.
A invasão aconteceu devido a uma vulnerabilidade de acesso remoto explorada pelos hackers e à fraqueza humana comum de ser arrogante quando se trata de senhas.
Tudo isso poderia ter sido detectado e resolvido se a equipe de TI tivesse visibilidade de segurança abrangente por meio de uma plataforma de centralização de segurança cibernética.
Independentemente do tamanho de uma organização, os defeitos ou fraquezas nos protocolos de segurança e medidas defensivas não podem ser completamente eliminados.
Portanto, é essencial ter uma visão expandida dos eventos e status de segurança em uma organização para que as equipes de segurança vejam as vulnerabilidades que outros podem perder em terminais específicos.
Essa abordagem centralizada e unificada capacita o monitoramento estratégico de ameaças e uma melhor postura de segurança em geral.
