McAfee revela impacto do tempo nos custos de quebra de sigilo de dados

Encomendado pela McAfee, o Aberdeen Group conduziu um estudo usando dados fornecidos pela Verizon para quantificar o custo do tempo em dois tipos de incidentes: quebra de sigilo de dados e interrupção sustentada na disponibilidade dos serviços.

Os resultados fazem parte do relatório “Cybersecurity: For Defenders, it's about time”, mostrando a urgência que os especialistas de segurança virtual têm para minimizar a detecção e o tempo de contenção dessas ameaças. De acordo com o estudo, o impacto de uma quebra de sigilo de dados é maior no início da exploração, quando esses registros são comprometidos.

No entanto, a maioria dos agentes de segurança acaba agindo após o ataque, em um momento em que a maior parte de danos já foi feita. Por outro lado, o impacto nos negócios de uma interrupção continuada na disponibilidade continua crescendo entre o momento do comprometimento, e o momento da correção. Segundo o estudo, o dobro de melhoria no seu tempo de detectar e reagir a um ataque é igual a um impacto de cerca de 70% menor nos negócios.

O estudo mostrou, ainda, que em mais de 1.300 quebras de sigilo de dados, investigadas entre 2014 e 2016, metade das detecções levou até 38 dias para serem realizadas, com uma média de 210 dias, sendo que alguns incidentes levaram até quatro anos para serem detectados. Sendo assim, a companhia revela a necessidade urgente de os agentes de segurança melhorarem suas capacidades de proteger o valor comercial da empresa ao implementar estratégias que priorizem mais rapidez tanto na detecção, quanto na investigação e resposta aos incidentes.

Com isso em mente, o Aberdeen Group apresentou quatro passos para possivelmente solucionar o problema:

- Identificação: à medida em que os atacantes têm se tornado cada vez mais hábeis em disfarçar seus rastros, os agentes de segurança precisam aprender a identificá-los mais rapidamente, como, por exemplo, por meio de reputação, heurística e aprendizado de máquina. A análise de pré-execução avançada dos recursos do código, em combinação com a análise em tempo real dos comportamentos do código, vem sendo usada na identificação de malwares antes desconhecidos sem o uso de assinaturas, antes que eles tenham a oportunidade de executar.

- Contenção: depois de identificar a ameaça, o segundo passo é contê-la, como, por exemplo, por meio de aplicativos dinâmicos e inteligência agregada em campanhas ativas contra ameaças. Recursos avançados de defesa de endpoints já permitem que códigos potencialmente maliciosos sejam carregados para a memória, mas impedindo-os de alterar o sistema, ou se espelhar para outros sistemas.

- Usar patches virtuais: esses patches, que também são conhecidos como patches externos ou blindagem de vulnerabilidade, estabelecem uma política que é externa aos recursos sendo protegidos, identificando e interceptando explorações de vulnerabilidade. Com esses patches, não é necessário realizar mudanças diretas nos recursos que estão sendo protegidos.

- Usar pontos de imposição estratégicos: a recomendação aqui é proteger usando menos pontos de imposição de política, ou seja, usá-los em alguns pontos da rede empresarial, em vez de aplicar patches em todo o sistema.