Modificando o monitoramento de Cyber Segurança para suportar o trabalho remoto

Webcast Cibersegurança
Modificando o monitoramento de Cyber Segurança para suportar o trabalho remoto

Tendo encarado um mês inteiro ou mais de trabalho remoto, as organizações continuam trabalhando de forma diligente para manter as forças de trabalho seguras e produtivas durante este período sem precedentes. Processos de detecção e monitoramento padrão foram ajustados para dar conta do “novo normal”. Nesta publicação de blog, falamos sobre algumas das muitas maneiras em que as organizações podem fazer o ajuste com segurança. 

O que aprendemos: 

  • A cada semana que passa, torna-se cada vez mais importante que as organizações modifiquem a forma de monitorar e detectar atividades mal-intencionadas ou não autorizadas. 
  • As organizações precisam ser capazes de identificar e mitigar, com eficácia e rapidez, ameaças e riscos que mudam sem parar.
  • A utilização de análise com base em usuários e entidades auxiliará na identificação e na detecção de atividades possivelmente mal-intencionadas.Ajustar as referências para levar em conta o “novo normal” é importante por causa da mudança nos locais de trabalho, acessibilidade de dados corporativos e comportamentos do usuário. 
  • Garantir que os recursos de detecção de endpoint estejam operacionais e eficazes protege os usuários de possíveis comportamentos indesejados por parte de agentes com más intenções. 

Embora as empresas tenham adaptado rapidamente a forma de operar, descobrimos que uma das áreas passíveis de ser ignoradas é a detecção. O mundo mudou significativamente em decorrência da COVID-19. Invasores mal-intencionados cresceram em volume e modificaram os métodos de ataque. As invasões e os comprometimentos estão aumentando e são grandes preocupações para muitas organizações. Isso significa que as organizações precisam ajustar a forma de monitorar e proteger a força de trabalho móvel de ataques mal-intencionados. 

Estabeleça novas referências analíticas para usuários e sistemas 

No início da década de 2000, foi introduzida a análise com base em usuários e entidades (que se tornaria, respectivamente, Análise de Comportamento do Usuário e Análise de Comportamento do Usuário e da Entidade). Os provedores de Gerenciamento de Eventos e Informações de Segurança (Security Information and Event Management, ou SIEM) começaram a ver a tecnologia como uma forma de detecção de eventos para determinar as atividades “fora da norma”. Hoje, é comum o uso de UBA/UEBA nas práticas de detecção diárias dos Centros de Operações de Segurança (Security Operation Centers, ou SOC). Entretanto, alguns ajustes devem ser feitos para auxiliar na detecção de atividades mal-intencionadas no novo local de trabalho. Geralmente, a UBA/UEBA utiliza uma referência de atividades de usuários aprovadas e atividades com base na entidade. Essa referência é estabelecida para ajudar na detecção de atividades não autorizadas que poderiam ser mal-intencionadas ou não autorizadas. Com funcionários trabalhando em locais remotos, a referência inicial não é mais válida, pois a atividade que o usuário ou o sistema realiza será unicamente diferente daquela que seria realizada dentro do local de trabalho. Alguns exemplos de mudanças nas atividades estão listados abaixo e devem ser considerados: 

  • O local em que o usuário está se conectando  
  • Maneiras em que os usuários acessam e-mail, aplicativos corporativos e documentos compartilhados 
  • Atividades pessoais realizadas em sistemas e aplicativos de propriedade da empresa  
  • Horários em que um usuário acessa a rede
  • A maneira em que dados são trocados dentro e fora da organização
  • As pessoas com as quais as informações estão sendo compartilhadas, tanto dentro quanto fora da organização. 

Ajustar a referência para levar em conta e monitorar essas ações é fundamental. Isso ajuda drasticamente o Centro de Operações de Segurança (SOC) na detecção e resposta a atividades mal-intencionadas e não autorizadas. 

Como garantir que os recursos de detecção de endpoint estejam habilitados, protegendo os usuários de possíveis comportamentos indesejados por parte de agentes com más intenções 

Uma força de trabalho remota também significa que mais laptops e estações de trabalho de funcionários estão se conectando à rede interna das organizações vindos de fora. Para muitas empresas, essa mudança pode causar dificuldade em aplicar e manter controles de segurança de endpoint e rede adequados para esses dispositivos. Além de habilitar uma solução antivírus tradicional, utilizar conexões de VPN com autenticação multifatorial ao acessar ativos corporativos, corrigir endpoints de modo regular e a utilização de uma solução de proteção avançada de endpoint (advanced endpoint protection, ou AEP) são requisitos para garantir a detecção em tempo real e a remediação remota de ataques avançados. Essas soluções oferecem visibilidade e proteção de endpoint dentro e fora da rede. No entanto, não existe uma “bala de prata” na segurança de endpoint. Ações adicionais devem ser realizadas para garantir que os recursos de detecção de endpoint estejam totalmente maximizados e eficazes. Veja sete medidas que devem ser adotadas, em conjunto com a ferramenta de AEP, para proteger usuários remotos de agentes mal-intencionados: 

  1. Garantir que todos os funcionários saibam qual comportamento do usuário é aceitável ao usar ativos corporativos ou acessar dados corporativos
  2. Testar os agentes de proteção dos endpoints para garantir que estejam operacionais e visíveis para os administradores da rede, para que possam se comunicar e responder a eventos de segurança, independentemente da localização do endpoint 
  3. Rever e atualizar as políticas de prevenção para impedir que as unidades de negócios remotas sejam impactadas
  4. Ajustar as políticas para reduzir os alertas de falsos positivos
  5. Habilitar a tecnologia de AEP para criação de logs na sua ferramenta de SIEM corporativa
  6. Criar regras de correlação mais robustas
  7. Rever e atualizar os manuais e procedimentos de monitoramento de segurança  

É essencial que as organizações adotem e utilizem a proteção avançada de endpoint. As soluções de proteção avançada de endpoint evoluíram imensamente em relação à tecnologia antivírus e oferecem um nível elevado de detecção e proteção. Porém, nenhuma tecnologia é perfeita. Para realmente proteger os usuários remotos de agentes com más intenções, é fundamental uma estratégia de defesa aprofundada, que inclua habilitar a tecnologia de detecção de endpoint, aprimoramento dos procedimentos atuais e detecção e resposta de eventos de segurança 24 horas por dia, sete dias por semana, assim como um SOC de UBA/UEBA integrado. 

Como estamos vivendo e trabalhando em um período sem precedentes, incentivamos todos os clientes a adotar as medidas adequadas para garantir que seus funcionários e a própria organização estejam suficientemente protegidos. Caso contrário, é muito fácil para um invasor burlar os controles mínimos de segurança que a maioria das organizações utiliza. Ninguém deseja estar do lado errado de uma violação de segurança. Para ajudar as organizações a lidar com esse novo ambiente, desenvolvemos uma visão geral das práticas de cibersegurança no trabalho remoto.   

A Protiviti oferece uma grande variedade de soluções de segurança e privacidade, adaptadas para atender às necessidades exclusivas de cada organização. Com nossa capacidade de funcionar nos níveis estratégico e tático, combinamos uma profunda competência em segurança técnica com comunicação e gerenciamento em nível executivo. Nossa abordagem completa começa entendendo o que é mais importante para as organizações. Depois, estruturamos e apoiamos programas para que a empresa se prepare para crescer de forma segura.  

Para saber mais sobre as soluções de segurança e privacidade da Protiviti, entre em contato conosco.

Clique here para acessar todas as séries