A cibersegurança mistura abordagens reativas e proativas. No passado, as empresas geralmente se limitavam à uma abordagem mais reativa. Com o aumento das estratégias de conformidade e segurança, a abordagem proativa também está ganhando destaque.
Ao comparar com outros setores, a cibersegurança é muito dinâmica, e as equipes de de TI estão adotando todas novas tecnologias que podem ajudá-las a otimizar seu trabalho.
Um dos principais motivos para isso aconteça é que os invasores estão constantemente atualizando suas estratégias e os ataques cibernéticos estão em constante evolução. Para acompanhar o ritmo dos invasores e detectar ameaças cibernéticas sofisticadas, as equipes precisam das tecnologias mais recentes.
Como a detecção e a resposta a ameaças continuam sendo uma prioridade para qualquer organização, é essencial entender a estrutura TDIR (Threat Detection and Incident Response – Detecção de ameaças e resposta a incidentes). Neste artigo vamos discutir a evolução dessa estrutura, seus diferentes conceitos e suas características.
Evolução da estrutura TDRI
A TDIR sempre foi uma das principais prioridades das equipes de TI quando falamos de segurança. Antigamente, os sintetizadores de logs e as ferramentas de gerenciamento de logs eram amplamente utilizados para detectar ameaças à segurança. No entanto, à medida que o volume de dados processados aumenta e as ameaças evoluem, as soluções existentes já não eram tão eficazes em ingerir, analisar, armazenar e pesquisar dados de logs.
Além disso, com a adoção generalizada da computação em nuvem, a infraestrutura de TI das empresas mudou radicalmente, resultando na necessidade de uma solução de segurança abrangente para detectar e se defender contra ataques.
Essa tendência fez com que as empresas desenvolvessem soluções internas para atender às suas necessidades específicas de segurança. Porém, essas soluções internas consomem muitos recursos e têm suas próprias limitações em termos de detecção e correção de ameaças.
Com o tempo, abriu-se um novo espaço no mercado e começaram a surgir soluções mais robustas de detecção de ameaças e resposta a incidentes.
Qual é a função do EDR (Detecção e resposta de endpoint), XDR (Detecção e respostas estendidas) e do NDR (Detecção e resposta de rede) na TDRI?
Os mecanismos de detecção e mitigação de ameaças de uma organização variam de acordo com seu setor de atividade, tamanho e escopo. Por exemplo, uma pequena organização financeira pode não precisar de um mecanismo de cibersegurança complexo. O mesmo não se aplica a um banco.
As equipes de TI precisam adotar a tecnologia certa para sua organização com base em suas necessidades. Atualmente, há várias ferramentas diferentes que se enquadram na categoria de detecção e resposta a ameaças. Vamos entender cada uma delas e como elas diferem umas das outras.
Detecção e resposta de endpoints (EDR)
As soluções de EDR ajudam as empresas a monitorar seus endpoints contra ameaças cibernéticas. Em comparação com os sistemas tradicionais de detecção de ameaças, as soluções de EDR se concentram mais na identificação e na atenuação de ameaças como ransomware, vulnerabilidades de dia zero, malware sem arquivo e ataques ativos que visam especificamente as soluções de endpoint.
Devido à constante evolução das ameaças cibernéticas e à adoção do trabalho remoto pelas empresas – com funcionários trabalhando de qualquer lugar, geralmente em configurações BYOD – as soluções EDR estão se tornando cada vez mais importantes no espaço cibernético.
Vale mencionar a ferramenta de endpoints da ManageEngine, o Endpoint Central, que conta com um recurso anti-ransomware. Então além de gerenciar endpoints você também consegue defender sua organização de ataques cibernéticos. Clique aqui para saber mais sobre o Endpoint Central.
No nosso canal no Youtube, tem um vídeo que mostra como esse recurso funciona na prática, confira
target=”_blank” rel=”noopener”>aqui.
Detecção e resposta estendidas (XDR)
A maioria das empresas usa uma variedade de ferramentas para detectar e responder a ameaças em sua rede. Entretanto, o gerenciamento de várias soluções pode ser entediante e pode fazer com que alertas vitais sejam ignorados. É aí que entra uma solução de detecção e resposta estendida (XDR).
As soluções XDR são vistas como uma solução única que ajuda as organizações a detectar e responder a ameaças na rede, agregando dados de ameaças das várias ferramentas de segurança usadas na organização. Essas soluções facilitam a detecção e a resposta a ameaças, fornecendo uma visão centralizada dos dados de ameaças e automatizando o mecanismo de resposta.
Detecção e resposta de rede (NDR)
De acordo com o Gartner, ferramentas de detecção e resposta de rede (NDR) detectam comportamentos anômalos do sistema aplicando análise comportamental aos dados de tráfego da rede. Essas soluções monitoram continuamente o tráfego da rede e identificam ameaças contínuas.
Além disso, elas usam técnicas não baseadas em assinaturas para detectar atividades anômalas na rede. Assim como uma solução de Análise de Comportamento e Entidade do Usuário (UEBA – User Entity and Behavior Analytics), as soluções NDR identificam desvios de comportamento em relação a uma linha de base previamente estabelecida.
“Todas as soluções acima se enquadram na categoria TDIR. A grande questão agora é – Onde o SIEM (Security Information and Event Management) se encaixa entre todas essas soluções.”
A relevância do SIEM
À medida que EDR, XDR e NDR continuarem a se desenvolver, o SIEM continuará a desempenhar um papel fundamental na estratégia de segurança de rede de uma organização. E isso se deve ao escopo do SIEM.
Embora as soluções de detecção de ameaças e resposta a incidentes ajudem a analisar os dados para detecção e resposta a ameaças, elas nem sempre são capazes de coletar e analisar todos os eventos em uma rede diferente. Vale ressaltar que o recurso de análise de segurança (correlação, análise) do SIEM é essencial para que as organizações realizem investigações de ameaças e análises forenses.
Em comparação com as soluções de detecção de ameaças e resposta a incidentes, as soluções SIEM são altamente personalizáveis, o que significa que as organizações podem otimizar a solução para atender aos requisitos de segurança específicos.
Assim como o UEBA, qualquer solução de detecção de ameaças e resposta a incidentes precisa do suporte de uma solução SIEM para funcionar de maneira ideal. Sem uma solução SIEM, seria difícil monitorar continuamente os incidentes e eventos em uma rede.
A integração dessas soluções com uma solução SIEM pode ajudar a melhorar o mecanismo de detecção, investigação e resposta a ameaças de uma organização. Além disso, o crescimento do SIEM baseado em nuvem parece promissor e pode ajudar a monitorar e proteger as redes híbridas.
Conclusão
Embora a detecção e a mitigação de ameaças continuem sendo uma prioridade das organizações, é importante observar que o gerenciamento de logs e a análise de segurança devem formar a base de sua estratégia.
O monitoramento contínuo da rede é essencial para que as organizações compreendam sua postura de segurança atual e façam os ajustes necessários em seus sistemas para atender às mudanças nos requisitos de segurança. Para isso, é importante ter uma solução flexível e personalizável.
Soluções SIEM são essenciais para qualquer organização que queira manter o controle de sua rede. E o ManageEngine Log360 é a ferramenta SIEM unificada e robusta que vai notificar, combater e atenuar as ameaças cibernéticas.
O Log360 tem recursos como DLP e CASB integrados, nossa solução detecta anomalias baseadas em machine learning para identificar ataques de todos os tipos, inclusive aqueles mais sofisticados, além de fornecer visibilidade de segurança holística com seus recursos super intuitivos de análise e monitoramento de segurança.
Quer saber mais? Fale com nossos especialistas clicando aqui e solicite uma demonstração. Visite também nosso site para ver a variedade de soluções voltadas para o gerenciamento de infraestrutura de TI.
Artigo original: https://blogs.manageengine.com/fr/2023/06/20/detection-des-menaces-et-reponse-aux-incidents-conception-evolution-et-categorisation.html
Traduzido por: Flávia Augusto
