Os ciberataques modernos tornaram-se fortemente automatizados. Se as empresas tentarem defender-se contra esses ataques manualmente, a luta torna-se homem contra máquina, com probabilidades altamente desfavoráveis para a empresa. Para se proteger com sucesso contra ataques automatizados, é essencial combater o fogo com fogo - ou, nesse caso, máquina com máquina - incorporando a automação aos esforços de segurança cibernética.
A automação equilibra o campo de atuação, reduz o volume de ameaças e permite a prevenção mais rápida de ameaças novas e anteriormente desconhecidas.
Muitos fornecedores de segurança olham para a automação como uma forma de se tornarem mais eficientes e como um meio de economizar em mão-de-obra ou número de funcionários. Embora verdadeira, a automação também deve ser vista como uma ferramenta que pode e deve ser usada para melhor antecipar comportamentos e executar proteções mais rapidamente. Se implementada adequadamente e com as ferramentas certas, a automação pode ajudar na prevenção de ataques de ciberataques bem-sucedidos.
A seguir, são apresentadas quatro formas em que a automação deve ser usada:
1. Correlacionar Dados
Muitos fornecedores de segurança recolhem quantidades substanciais de dados sobre ameaças. No entanto, os dados fornecem pouco valor, a menos que sejam organizados em etapas seguintes acionáveis. Para fazer isso de forma eficaz, as empresas devem primeiro recolher dados de ameaças em todos os vetores de ataque e a partir de tecnologias de segurança dentro da sua própria infraestrutura, bem como inteligência global contra ameaças fora da sua infraestrutura.
Em seguida, eles têm que identificar grupos de ameaças que se comportam de forma semelhante dentro das enormes quantidades de dados e usar isso para prever a próxima etapa do atacante. Ao usar essa abordagem, o maior número de dados recolhidos resulta em resultados mais precisos e reduz a probabilidade de que os grupos tenham identificado apenas uma anomalia. Consequentemente, a análise também deve ter poder de computação suficiente para escalar o volume de ameaças de hoje - algo que é impossível fazer manualmente. A machine learning e a automação permitem que o sequenciamento de dados aconteça de forma mais rápida, mais eficaz e mais precisa. Finalmente, a combinação dessa abordagem com a análise dinâmica de ameaças é a única maneira de detectar ameaças sofisticadas e nunca antes vistas.
2. Gerar proteções mais rapidamente do que a propagação de ataques
Assim que uma ameaça é identificada, as proteções devem ser criadas e distribuídas mais rapidamente do que a propagação de um ataque pelas redes, endpoints ou cloud da organização. Devido à penalidade de tempo que a análise acrescenta, o melhor lugar para interromper o ataque recém-descoberto não é no local onde ele foi descoberto, mas na próxima etapa prevista do ataque. Criar manualmente um conjunto completo de proteções para as diferentes tecnologias de segurança e pontos de fiscalização capazes de combater comportamentos futuros é um processo demorado que não se move apenas lentamente, mas também é extremamente difícil ao correlacionar diferentes fornecedores de segurança no seu ambiente e não ter o controlo e os recursos corretos. A automação pode agilizar o processo de criação de proteções sem sobrecarregar os recursos, acompanhando o ritmo do ataque.
3. Implementar proteções mais depressa do que a progressão dos ataques
Uma vez criadas as proteções, elas devem ser implementadas para evitar que o ataque progrida ainda mais durante o seu ciclo de vida. As proteções devem ser aplicadas não apenas no local em que a ameaça foi identificada, mas também em todas as tecnologias da organização para fornecer proteção consistente contra os comportamentos atuais e futuros do ataque. A utilização da automação na distribuição de proteções é a única maneira de se mover mais rápido do que um ataque automatizado e bem coordenado e detê-lo. Com o sequenciamento automatizado de ataques de big data e a produção e distribuição automatizadas de proteções, poderá prever com mais precisão a próxima etapa de um ataque desconhecido e agir com rapidez suficiente para evitar que ele ocorra.
4. Detectar infecções já na sua rede
No momento em que uma ameaça entra na rede, inicia-se a contagem regressiva até se tornar uma violação. Para interromper um ataque antes que os dados saiam da rede, terá de se mover mais rapidamente do que o próprio ataque. Para identificar um host infectado ou comportamentos suspeitos, tem de ser capaz de analisar os dados do seu ambiente para trás e para frente no tempo, procurando uma combinação de comportamentos que indicam que um host no seu ambiente foi infectado. Semelhante à análise de ameaças desconhecidas que tentam entrar na rede, correlacionar e analisar manualmente os dados em toda a rede, terminais e clouds é difícil de escalar. A automação permite uma análise mais rápida e, caso um host na sua rede seja comprometido, uma detecção e intervenção mais rápidas.
Saiba mais sobre a plataforma de segurança de última geração da Palo Alto Networks e como prevenir ataques avançados aqui.
Fonte: Palo Alto Networks