Os especialistas em segurança sugerem o uso de IOBs para passar da reação a um ataque cibernético à prevenção do incidente.
A maioria dos profissionais de segurança cibernética foi treinada para usar Indicadores de Compromisso (IOC) ao reagir a um ataque cibernético e não estão satisfeitos com a natureza posterior do fato dessa abordagem. A mudança para um modelo de trabalho em casa é outra limitação significativa que os profissionais de segurança cibernética estão enfrentando. Ele remove o perímetro bem definido a que estavam acostumados.
Acreditamos que os usuários são o novo perímetro, não a rede; e a gravidade dos dados mudou de data centers centralizados operados pela empresa para aplicativos SaaS e cargas de trabalho em nuvem, e isso representa novos desafios, especialmente em termos de conectividade e proteção de dados", disse Nicolas Fischbach, CTO global e vice-presidente da SASE Engineering na Forcepoint, em Shifting Gears de IOCs para IOBs .
O que são indicadores de comportamento?
Fischbach e Alan Ross, arquiteto-chefe do X-Labs da Forcepoint, defendem uma solução diferente: Indicadores de comportamento (IOB). “IOBs são comportamentos que são monitorados para entender o risco dentro de uma organização”, disse Ross em seu artigo Indicadores de Comportamento (IOBs) - Com a Visão 2020 . "Sempre que um documento é criado, salvo, alterado, enviado por correio, compartilhado, carregado, baixado ou excluído, essas ações são analisadas como uma série para determinar o contexto e a intenção."
OBs são modificações inesperadas e não autorizadas na linha de base operacional normal. Alguns exemplos podem ser:
Criação ou modificação de tarefas agendadas
Instalando novos aplicativos ou serviços
Criação de novas contas de usuário
Enviar e-mail e anexos para um domínio pessoal
Criação de novas instâncias de computação
Acessando informações armazenadas
Executar consultas e exportar os resultados
Ross disse que o uso de ferramentas de colaboração e atividades do site, como mensagens, envio de anexos, upload de informações ou o aproveitamento de novas ferramentas ou sites, devem ser considerados IOBs.
Qual é a diferença entre IOCs e IOBs?
Pode parecer que há muito pouca diferença entre os dois, mas é uma diferença importante. Ross disse que os IOBs são mais do que monitoramento de atividades, acrescentando que a indústria precisa realmente entender cada parte da sequência. Por exemplo, em vez de apenas saber que os dados estão sendo roubados, Ross deseja saber as etapas individuais que tornam o roubo possível, dividindo o processo em IOBs.
Examinar os IOBs aumenta a compreensão de quais riscos estão sendo assumidos. "Existem centenas de Indicadores de Comportamento que podemos observar e coletar", disse Ross. "Depois de coletarmos os IOBs, podemos colocá-los juntos para definir comportamentos, personas e resultados de negócios específicos que podem se manifestar a partir desses comportamentos."
Um resultado positivo do uso de IOBs, disse Ross, é a capacidade de prever o que acontecerá se uma organização fizer uma mudança no processo de segurança (por exemplo, desabilitar o USB para dispositivos de armazenamento externos).
Alguns exemplos do que ele consideraria IOBs:
Os usuários criam um endereço de encaminhamento de e-mail para um canal do Slack.
Os usuários mudam da rede corporativa para o ponto de acesso telefônico e vice-versa.
Os usuários carregam o código em um repositório Git ou em um domínio desconhecido.
Os usuários baixam informações para um dispositivo de armazenamento removível.
Os usuários instalam um aplicativo de nuvem pessoal em seus laptops.
A capacidade de modificar comportamentos
Essa abordagem permite a proteção de ativos tomando ações que dependem do nível de risco e do contexto da situação do usuário. "Podemos alertar o usuário e permitir que ele pare ou prossiga e, se necessário, podemos tomar medidas para proteger os dados, bloquear atividades ou até mesmo desabilitar o acesso à conta do usuário e ao dispositivo", disse Ross.
Aproveitar IOBs para formular detecções comportamentais reduzirá drasticamente a quantidade de ruído e falsos positivos que uma organização precisa perseguir", disse ele. "Estamos muito cientes da 'fadiga de alerta' dos analistas e acreditamos que existe uma maneira muito melhor de coletar e apresentar as informações mais relevantes ao usuário final."
Por que usar IOBs?
A vantagem de usar IOBs é entender o histórico e o comportamento dos usuários, o que permite um julgamento sobre se o comportamento deve continuar ou ser alterado.
Um exemplo pode ser o de um vendedor fazendo uma apresentação em uma conferência importante. O organizador precisa de uma cópia da apresentação. O vendedor salva a apresentação em uma unidade flash e fornece a unidade ao organizador. Saber que é provável que esse comportamento aconteça com esse usuário em particular evita um alerta para o uso de pen drives e permite que o vendedor cumpra uma obrigação. Ross concluiu: "Os IOBs apresentam a melhor oportunidade para fornecer confiança adaptativa ao parar o que é ruim e permitir o que é bom."
Sem comentários:
Enviar um comentário