Pistas no meio digital: conheça dois tipos de ferramentas utilizadas em investigações

0

por André Duarte

Todo mundo deixa pistas sobre sua vida: roupas, acessórios, objetos pessoais, recibos, etc. Um bom detetive sabe que a soma destes dados fala muito sobre uma pessoa. No mundo cibernético acontece a mesma coisa. Os equipamentos são preparados de forma a deixar rastros de eventos que aconteceram com eles por um longo período de tempo. Logo, é possível usá-los para investigações.

Com a grande quantidade de bytes que trafegam nas redes de computadores e servidores, torna-se cada vez mais difícil detectar abusos não óbvios. É necessário ter conhecimento e ferramentas para saber como gerar informações a partir destes dados que façam sentido e permitam detectar ameaças. Se pensarmos em automação, cada sistema gera registro de eventos de uma forma diferente e pode ser muito trabalhoso programar a leitura dessas diversas fontes possíveis. Felizmente, temos ferramentas prontas para isso, chamadas de SIEM.

No software do tipo SIEM programa-se a coleta de eventos (potenciais pistas) e cadastram-se regras sobre comportamentos específicos, o que ajudará a avaliar um desvio ou anomalia como, por exemplo: invasões, transmissões indevidas de dados, acessos não permitidos e outros cenários mais complexos. As ferramentas deste tipo costumam vir com algumas regras simples e é preciso especialistas em cibersegurança, com experiência em avaliação de ameaças, para manter atualizadas heurísticas que ajudarão na detecção de problemas.

Mas, e quanto aos casos em que ainda não se conhece o problema? É possível detectá-los com alguma automação? A resposta é: sim, com supervisão humana. Note que o SIEM pode ser um passo em busca de algo ainda maior. Com a coleta de eventos, um “ciberdetetive” pode criar um local central para os dados (datawarehouse) e aplicar técnicas (Business Intelligence) que o auxiliarão a obter insights ligados à cibersegurança.

Ao contrário dos detetives de filmes que normalmente trabalham sozinhos, os especialistas de cibersegurança que atuam com este tipo de pesquisa, graças à internet, podem compartilhar informações com o mundo, aumentando assim as chances de detecções de ameaças antes que elas se tornem realidade. Dessa forma, mesmo que em uma ciberbatalha tenha sucesso no ataque à um alvo, pode-se prevenir em outros. Isso tudo faz parte de um conceito atual chamado de Cyber Threat Intelligence (CTI).

O CTI diminui a chance de sucesso dos ofensores e traz outros benefícios, tais como:
· Contextualização e relevância para uma enorme quantidade de dados;
· Torna as organizações proativas em cibersegurança;
· Facilita a predição de eventos futuros;
· Auxilia nas tomadas de decisões sobre segurança da informação.

O que mais impressiona no Cyber Threat Intelligence é o poder de ajudar as pessoas e organizações a vencerem ciber ameaças. Há muita coisa acontecendo nos servidores e redes do mundo inteiro que nem fazemos ideia. Com o CTI, adotando os conceitos de aprender, evoluir e contribuir, chegamos a um novo patamar, agora global, de segurança da informação.

André Duarte é coordenador de Operações do Arcon Labs

Deixe uma Resposta
BLANK style is purely built for customization. This style supports text, images, shortcodes, HTML etc. Use Source button from Rich Text Editor toolbar & customize your Modal effectively.
Close