Pesquisa da Intel revela comportamentos dos profissionais de TI a ciberataques

Por Redação | 18.05.2015 às 16:54

Um novo relatório da Intel Security divulgado nesta segunda-feira (18) identificou como as empresas e profissionais de TI e de segurança em organizações de médio e grande porte lidam com questões de segurança, incluindo análises de cibertaques, desafios e necessidades de resposta a possíveis incidentes.

O estudo mostrou que os profissionais de segurança realizaram, em média, 78 investigações de incidentes por organização no ano passado — sendo que 28% desses incidentes envolveram ataques direcionados, uma das formas mais perigosas e potencialmente prejudiciais de ciberataques. A maioria das investigações (49%) foi realizada devido a ataques de malwares genéticos (woms e vírus), enquanto 29% foram associados a ataques direcionados.

De acordo com os profissionais de TI e de segurança entrevistados, melhores ferramentas de detecção e ferramentas de análise e mais treinamento sobre como lidar com problemas de resposta a incidentes são as melhores práticas e maneiras de aprimorar a eficiência e a eficácia da equipe de segurança. "Quando se fala em detecção e resposta a incidentes, o tempo possui uma correlação de risco com danos em potencial", afirma Jon Oltsik, analista sênior na ESG.

Segundo a pesquisa, quase 80% dos entrevistados acreditam que a falta de integração e comunicação entre as ferramentas de segurança criam afunilamentos e interferem em sua capacidade de detectar e responder a ameaças de segurança. Além disso, 37% exigiram uma integração mais acirrada entre a inteligência da segurança e as ferramentas de operações de TI, pois acreditam que tempo real e visibilidade ampla são especialmente importantes para uma resposta rápida para ataques direcionados.

"Quanto mais tempo uma organização levar para identificar, investigar e responder a um ciberataque, mais provável será que suas ações não serão suficientes para impedir uma violação onerosa de dados críticos. Com isso em mente, os profissionais de segurança da informação devem se lembrar de que a coleta e o processamento de dados de um ataque são um meio para a ação de aprimorar a eficiência e eficácia na detecção e resposta a ameaças", completou Oltsik.

O estudo mostra também que as tarefas que mais consomem tempo envolvem o escopo e a tomada de ação para minimizar o impacto de um ataque, atividades que podem ser aceleradas pela integração de ferramentas. Essas respostas sugerem que as arquiteturas de retalhos mais comuns de dezenas de produtos de segurança individual criaram inúmeros tipos de processos e relatórios que provaram ser muito demorados para uso. Essas arquiteturas estão criando volumes cada vez maiores de dados que suprimem os indicadores de ataque realmente relevantes.

Mais cobertura e melhor treinamento

Os profissionais entrevistados pela pesquisa alegaram que a visibilidade da segurança em tempo real sofre pelo entendimento limitado do comportamento do usuário, da rede, do aplicativo e do comportamento do host. Isso porque 84% dos entrevistados dizem ter alguma ou muita dificuldade com a detecção e a resposta a incidentes devido à falta de integração e comunicação entre as suas tecnologias de segurança.

Enquanto os quatro principais tipos de dados coletados estão relacionados à rede e 30% apenas coletam dados de atividade de usuário, é claro que a captura de dados não é suficiente. Os usuários precisam de mais ajuda para contextualizar os dados para entender qual comportamento é preocupante. Essa lacuna pode explicar por que 47% das organizações afirmam que determinar o impacto ou escopo de um incidente de segurança é particularmente demorado.

Para melhor detectar e avaliar os incidentes, 58% dos entrevistados afirmam que precisam de melhores ferramentas de detecção, (como programas de análise estática e dinâmica, com inteligência baseada em nuvem para analisar os arquivos), e 53% disseram ser necessárias melhores ferramentas de análise para transformar dados de segurança em inteligência acionável. Outros 33% destacam a importância de melhores recursos para que as equipes possam detectar as variações com maior rapidez.

Só que nem sempre as empresas oferecem treinamento específico para o estudo dessas ameaças, ou muitos profissionais admitem ter falta de conhecimento desse cenário e de habilidades de investigação de segurança. Apenas 45% dos entrevistados se consideram muito bem informados sobre as técnicas de ofuscação de malwares, e 40% querem mais treinamento para aprimorar o conhecimento e as habilidades para cibersegurança.

O volume de investigações, recursos e habilidades limitadas contribuiu para um forte desejo entre os entrevistados por ajuda na detecção e resposta a incidentes. Para 42% das pessoas, a tomada de ação para minimizar o impacto de um ataque foi uma das tarefas mais demoradas; enquanto 27% prefeririam uma melhor análise automatizada das ferramentas de inteligência de segurança para acelerar a abrangência em tempo real; e 15% preferem a automação de processos para liberar a equipe para tarefas mais importantes.

No Brasil

Os profissionais brasileiros acreditam que os ataques são bem sucedidos devido principalmente à falta de conhecimento do usuário sobre os riscos de segurança cibernética (46%); pelas sofisticadas táticas de engenharia social (32%); pelo uso de serviços pessoais via web pelos usuários (30%); e pelas políticas de uso de dispositivos pessoais no ambiente de trabalho (30%).

Em média, uma equipe de segurança demora 6 dias entre a descoberta e a remediação de um ataque direcionado avançado. Em caso de ataque as empresas brasileiras demoram, em média, 26 horas para identificar um vetor de ataque e fornecer algum nível de garantia de que ele não volte a ocorrer; 17 horas para a recuperação dos serviços; e 14 horas para estabelecer a causa raiz do ataque e realizar ações a fim de minimizar danos para a rede.

Para os profissionais

Arquivos protegidos

Segundo especialistas da Intel, os profissionais de segurança da informação devem substituir as ferramentas de ponto de segurança individual por uma arquitetura de segurança integrada. Esta estratégia funciona para aprimorar o compartilhamento das informações de ataque e a visibilidade entre empresas em comportamento de usuário, de endpoint e de rede, sem mencionar respostas mais efetivas e coordenadas.

Também é necessário que os profissionais se empenhem para obter mais automação, como análise de malware avançada, algoritmos de inteligência, aprendizagem de máquinas e o consumo de inteligência de ameaças para comparar o comportamento interno com os incidentes de comprometimento (IoCs), além de táticas, técnicas e procedimentos (TTPs) usados pelos adversários cibernéticos. Além disso, os funcionários devem exigir formação cibernética permanente para suas equipes de segurança, incluindo cursos anuais de aprofundamento no conhecimento de ameaças e melhores práticas para resposta a incidentes mais eficientes e eficazes.

Já as estratégias de cibersegurança devem ser baseadas em análises de segurança sólidas. Isso significa coletar, processar e analisar quantidades maciças de dados internos (logs, fluxos, pacotes, perícia de endpoint, análise estática/ dinâmica de malware, inteligência organizacional (comportamento do usuário, comportamento empresarial)) e externos (inteligência da ameaça, notificações de vulnerabilidade, entre outros).

Metodologia

A Intel Security entrevistou 700 profissionais de TI e de segurança em organizações de médio e grande porte localizadas na Ásia, América do Norte, América do Sul, Europa, Oriente Médio e África. Os entrevistados vieram de vários setores, principalmente da área de tecnologia da informação (19%), indústria (13%), e serviços financeiros (9%).

No Brasil, foram entrevistados 100 profissionais, sendo 23% de empresas de médio porte, 35% de grande porte e 42% de empresas com mais de 5 mil funcionários. Os entrevistados atuam nos setores de tecnologia (20%), governo (17%), educação (9%), varejo (9%), finanças (9%), transporte (8%), indústria (8%), saúde (4%) e outros.