Segurança > Segurança de Dados

Empresas se consideram lentas na detecção e resposta de ciberataques

Organizações passam por violações em que os invasores são capazes de permanecer na rede por longos períodos antes de serem descobertos

08 de Março de 2016 - 12h17

A velocidade de detecção e resposta é uma questão fundamental quando o assunto é segurança da informação. Um estudo da RSA revela um cenário que pode ser encarado como preocupante. Segundo a provedora, 90% das organizações consideram que não são capazes de detectar ameaças rapidamente e 88% não conseguem investigá-las rapidamente.

“A incapacidade de detectar ameaças rapidamente é um fator essencial do motivo pelo qual as organizações estão passando por violações de dados em que os invasores são capazes de permanecer na rede por longos períodos antes de serem descobertos”, reforça a provedora.

Os participantes do estudo da divisão de segurança da EMC não consideraram nenhuma de suas tecnologias de detecção e investigação particularmente eficazes, dando a todas, uma classificação média de “algo eficaz.”

Além disso, as organizações continuam a demonstrar um excesso de confiança no SIEM (Security information and event management), que embora seja utilizado por mais de dois terços dos participantes, não é consistentemente somado com tecnologias como captura de pacote de rede, ferramentas avançadas de ponto de extremidade e antimalware que poderiam aprimorar de modo considerável os recursos de detecção e investigação de ameaças.

O levantamento aponta também que menos da metade das empresas coletam dados dos sistemas mais importantes quando se trata de proteger infraestruturas modernas de TI (gerenciamento de identidade, ponto de extremidade e pacote de rede).

Além disso, de acordo com a pesquisa, que reuniu a percepção de mais de 160 organizações do mundo todo, a maioria dos respondentes não consegue integrar os dados coletados, limitando a visibilidade dentro do escopo de ataques. “As organizações ainda privilegiam a prevenção em relação à detecção e não planejam alterar os investimentos nos próximos 12 meses”, estampa o relatório.

“Os dados que as organizações coletam atualmente não fornecem a visibilidade adequada. Menos da metade das organizações consultadas estão coletando dados de pacote de rede ou dados de fluxo de rede, que oferecem uma percepção confiável sobre ataques avançados, e apenas 59% coletam dados de pontos de extremidade que podem ser usados para encontrar pontos de comprometimento”, reforça.

Entretanto, as empresas que incorporaram essas fontes de dados em suas estratégias de detecção as consideram extremamente valiosas: as organizações que coletam dados de pacote de rede atribuíram 66% mais valor a esses dados para detectar e investigar ameaças que aquelas que não o fazem, e as que coletam dados de pontos de extremidade atribuíram 57% mais valor a esses dados que aquelas que não o fazem.

A integração de dados também é um problema. Um quarto dos participantes não integram nenhum tipo de dado, e somente 21% faz com que todos seus dados possam ser acessados em uma só fonte. A prevalência de dados isolados impede a correlação entre fontes, retarda as investigações e limita a visibilidade do escopo completo de um ataque. Apenas 10% dos participantes sentem que podem conectar “muito bem” a atividade de invasores entre todas as fontes de dados que coletam.

Finalmente, uma descoberta motivadora foi o aumento da importância de dados de identidade para auxiliar a detecção e investigação. Embora apenas pouco mais da metade das organizações colete dados de identidade e sistemas de acesso atualmente, aquelas que o fazem atribuíram 77% mais valor a esses dados para a detecção que aquelas que não o fazem.

Além disso, a lógica analítica comportamental, que pode ajudar as organizações a simplificar a detecção com base na identificação de padrões anormais de atividade é o investimento planejado em tecnologia mais comum, e 33% dos participantes planejam adotar essa tecnologia dentro dos próximos 12 meses.