Centro de operações de segurança com IA reduz falsos alertas de ameaças em até 70%

Redação, Infra News Telecom

  Serviços gerenciados de segurança digital, por meio dos SOC – Security Operations Center munidos de ferramentas com inteligência artificial, podem diminuir os alertas de falsos incidentes em até 70%, aponta levantamento da CyberSec, unidade de negócios de cibersegurança da Tivit, multinacional brasileira e one stop shop de tecnologia.

  Em amostra estudada pelo SOC da área de CyberSec para um determinado cliente do setor financeiro, a expertise da equipe técnica e soluções de correlacionamento inteligente reduziram de 1055 para 327 os incidentes a serem investigados mais profundamente em um período de três meses, tratando-se de uma redução significativa de eventos de falso positivo. Os falsos positivos são alertas de eventos, comportamentos, ações ou arquivos ilícitos – considerados suspeitos sem que eles de fato sejam, por conta de limitações de configurações ou calibração de métricas das ferramentas de monitoramento.

  “Esses incidentes não podem ser ignorados e demandam uma investigação para validação do risco, além de eventual ação para mitigá-lo. A inteligência artificial atua nesse processo para realizar a triagem de forma automática, aumentando a produtividade e a eficiência da equipe dedicada”, diz Eduardo Goncales, Ciso – Chief Information Security Officer da Tivit.

  O SOC é um centro de operações de segurança com acesso a mais de 140 fontes, utilizando ferramentas SIEM – gerenciamento de eventos de segurança, que monitora e correlaciona cada chamado destas fontes para identificar riscos e determinar ações que mitiguem a materialização destes riscos.

  De acordo com a empresa, o SOC é um dos principais serviços da CyberSec, criada no segundo semestre de 2020 e que deve receber investimentos de R$ 50 milhões até 2025.

Levantamento aponta 10 tendências de cibersegurança na AL para 2022

Redação, Infra News Telecom

  Em conjunto com executivos de cibersegurança da América Latina, a Lumu Technologies, especializada no monitoramento de ameaças em tempo real, levantou e listou dez previsões para a região neste ano. A empresa entrevistou diretores de segurança tecnológica de diferentes organizações do continente. De acordo com o levantamento, as previsões são:

1 – As empresas devem romper com o SIEM: O sistema de gerenciamento de informações e eventos de segurança tem sido um elemento permanente de segurança cibernética por mais de duas décadas, mas, com as novas tecnologias que facilitam o trabalho do SOC – Security Operations Center, os profissionais começarão a se perguntar se esse sistema deve continuar sendo a parte principal de suas operações.

2 – Modelos de trabalho híbridos tornarão a segurança cibernética um desafio ainda maior: o trabalho remoto exige que os profissionais de segurança monitorem uma esfera ainda mais ampla e dinâmica de ameaças, bem como um número maior de ferramentas que introduzem vulnerabilidades adicionais. Portanto, a visibilidade dos riscos será mais necessária do que nunca.

  “A transformação digital nos levou a implementar diferentes níveis de terceirização dentro das organizações para atender a uma nova estrutura de trabalho colaborativo. Hoje, a utilização de produtos, serviços e gerenciamento de dados com parceiros se expandiu”, disse Carolina Olarte, CISO do Lulo Bank Colômbia.

3 – A guerra de talentos em segurança cibernética se aproxima: as empresas competirão por talentos especializados em segurança cibernética, elevando os padrões e reduzindo ainda mais os orçamentos. Ferramentas que tornam as equipes do SOC mais eficientes, com curvas de aprendizado rápidas, podem ser a chave para ajudar as empresas a lidar com isso.

  “Os CISOs têm o desafio de promover a necessidade de formação e conscientização de todos que possuem acesso à organização. O aumento da adoção de ferramentas de proteção torna-se inútil se funcionários compartilham seus logins e senhas”, comentou Armando Castillo, gerente corporativo de segurança da informação e cibersegurança do grupo Pichincha.

4 – Organizações de pequeno e grande portes adotarão sistemas automatizados de resposta a ameaças: uma maneira de ser mais eficiente é automatizar tarefas rotineiras e demoradas de segurança cibernética. Para isso, ferramentas integradas e de coordenação entre pessoas e tecnologia se tornarão cada vez mais importantes para grandes e pequenas empresas.

5 – Seguro cibernético será inevitável: embora alguns governos estejam forçando as organizações a adquirir seguro cibernético, as seguradoras serão mais seletivas em termos de condições de cobertura. As empresas terão que demonstrar uma prática de segurança cibernética robusta para evitar taxas de cobertura mais altas ou não terão a cobertura esperada.

6 – O crime formará novas alianças: os cibercriminosos buscam cada vez mais parcerias com aqueles que podem facilitar o acesso à rede. A participação de funcionários aumentará à medida que os criminosos concordarem em partilhar os lucros.

  “De modo geral, diante de um ataque, as organizações fecham as lacunas, mas também devemos encontrar uma maneira de integrar estruturas colaborativas entre pares, organizações e instituições governamentais. As quadrilhas melhoraram sua capacidade de agir e agora devem se aproveitar do cidadão comum e sua falta de capacitação para acessar empresas”, disse Víctor Morales, CISO do Banco Azteca México.

7 – Ataques de ransomware menores e em grande escala: os métodos de sequestro de dados mais tradicionais visarão alvos menores, como desktops, com pagamentos mais baixos, mas em uma escala maior. O aumento da disponibilidade de acesso inicial, malware como um serviço e cadeias de ransomware trará novos players para o ramo do crime cibernético.

8 – Quadrilhas de ransomware farão ataques furtivos: após alguns ataques de grande repercussão em 2021, quadrilhas especializadas em sequestro de dados, como Darkside e Revil, desapareceram, em grande parte porque as respostas das agências governamentais se intensificaram. Grandes ataques farão uso de zero dias e tentarão se infiltrar secretamente e, silenciosamente, serem pagos.

  “A velocidade e a frequência desses ataques aumentaram e devemos reconhecer que  não é possível travar um ciberataque a uma empresa, mas que devemos estar preparados para recebê-lo e responder com eficácia, como qualquer outro tipo de contingência dentro da organização” , disse Pedro Adamovic, CISO do Banco Galicia Argentina.

9 – Cadeias de abastecimento e pessoal interno serão os elos mais fracos: as cadeias de abastecimento ocidentais demonstraram não ser particularmente resilientes, o que permite que criminosos acessem um grande número de vítimas e contornem as defesas.

10 – A visibilidade será a chave das operações de segurança cibernética: conforme os sistemas de segurança cibernética maduros evoluem para reduzir o tempo de permanência dos invasores, a visibilidade da rede se tornará crucial não apenas para detectar rapidamente as vulnerabilidades, mas também para obter as informações necessárias para erradicar as ameaças com velocidade e precisão.

  “As empresas devem ser capazes de tornar as ameaças visíveis e isolar as instâncias comprometidas. Os CISOs precisam saber onde sua organização tem o menor desempenho tecnológico e quais oportunidades a indústria oferece para ser mais eficiente. Hoje, as ameaças são uma realidade e as consequências já estão sendo vividas nos países da região”, finaliza Germán Patiño, vice-presidente de vendas para a América Latina da Lumu Technologies.

Monitoramento de segurança e de rede

Eduardo Meirelles, diretor comercial da Everest Ridge

  O mundo vem sofrendo uma revolução tecnológica. Com isso, as empresas tiveram a necessidade de se atualizar diante de mudanças ocorridas em vários setores. Uma das principais delas está relacionada à segurança da informação, que engloba o monitoramento de segurança.

  Entenda mais sobre a segurança da informação

  A segurança da informação é baseada em três aspectos:

• Disponibilidade. É a garantia de que todos os dados estejam disponíveis quando o usuário precisa deles.

• Integridade. É a manutenção de todas as informações armazenadas no seu formato original.

• Confidencialidade. É a garantia de restrição de acesso às informações e do sigilo destas.

  Todo plano de segurança da informação deve conter esses fundamentos e ser monitorado durante 24 horas. Quem deseja adquirir o monitoramento da segurança por meio de serviços terceirizados precisa procurar uma empresa especializada com certificações internacionais e nacionais.

Mas, afinal, para que serve o monitoramento?

 

  A revolução tecnológica e a transformação digital pelas quais as empresas estão passando promoveram uma troca dos sistemas de segurança internos para que elas se mantivessem competitivas. Os novos sistemas têm base na virtualização das informações e dos dados, assim como na automação.

  As empresas que contam com banco de dados com diversas informações sobre seus clientes precisam realizar o monitoramento de segurança para evitar falhas no sistema e hackeamento.

  O monitoramento de segurança é responsável por detectar, analisar e responder a incidentes de segurança cibernética usando uma combinação de soluções de tecnologia e um forte conjunto de processos.

 

A importância do monitoramento de segurança

 

  O principal objetivo da segurança da informação é proteger e monitorar os dados armazenados e implementar ferramentas e mecanismos que anulem as vulnerabilidades, falhas e ameaças que podem aparecer em decorrência das novas tecnologias.

  Por conta disso, as empresas precisam realizar o monitoramento de segurança durante 24 horas. Elas podem implantar um SOC – Security Operations Center e um NOC – Network Operations Center, plataformas que monitoram a rede e sua disponibilidade e se mostram capazes de detectar quaisquer incidentes relacionados à segurança dos dados.

  Além de defender de possíveis ataques ou falhas, a segurança da informação contribui para o gerenciamento dos ativos do negócio, o aumento do ROI (retorno dos investimentos) e a redução dos riscos.

  As principais vantagens do monitoramento de segurança são:

• Aumento da produtividade. A redução da quantidade de manutenções e reparos proporciona maior produtividade por parte dos colaboradores.

• Controle de acesso. É a habilidade de permitir ou negar o uso do sistema e dos dados aos colaboradores. Por meio desse monitoramento, o tempo de uso indevido na internet será reduzido drasticamente, com o consequente aumento da produtividade dos funcionários e da segurança da empresa contra malwares, vírus e intrusão.

• Credibilidade da empresa. Nos negócios, segurança é sinônimo de confiança. Quando os dados são monitorados, tanto companhias parceiras quanto clientes se sentem mais seguros em fazer negócios com a empresa. Se ocorre uma falha no sistema e dados sigilosos são expostos, a reputação da empresa pode ficar manchada para sempre.

• Proteção de dados. As informações sobre os clientes devem ser protegidas sob qualquer circunstância. Com a instalação de um sistema adequado, é possível desenvolver as melhores estratégias preventivas e assim evitar prejuízos de grande porte.

  Independentemente do tamanho e do setor da empresa, é de extrema importância que haja um monitoramento de segurança eficiente. Isso garante uma reputação positiva e o sucesso da empresa em relação à concorrência.

SOC – Monitoramento de redes

 

  Enquanto o NOC é voltado para o desempenho e a gestão de rede, o que garante a disponibilidade para os processos, o SOC (Security Operations Center – Centro de Operações de Segurança) é focado na segurança dos dados e da estrutura da empresa.

  As operações do NOC e do SOC apresentam algumas diferenças entre si e se complementam mutuamente. O NOC identifica eventos ou problemas que afetam a disponibilidade e o desempenho das redes. Já o SOC atua no monitoramento de segurança e na identificação de ataques que a base de dados pode sofrer em sua estrutura.

 

O que é o SOC

 

  A Internet e a tecnologia promoveram uma reestruturação nos ambientes de trabalho, tornando-os cada vez mais remotos e virtuais. Com esse avanço e essa nova dinâmica, a preocupação com a segurança de dados e com as informações cresceu consideravelmente.

  De acordo com um estudo da Hewlett Packard Enterprise – HPE, milhares de empresas em todo o mundo são vulneráveis aos riscos dos ataques cibernéticos. Uma
das opções que garantem a detecção, preservação e proteção dos dados, assim como a resposta rápida às ameaças, é a adoção do SOC.

  O SOC é uma ferramenta que centraliza todos os serviços referentes à segurança da informação, combinando processos, projetos, tecnologias adotadas, recursos humanos, etc. para formar uma estrutura que gerencia a segurança da informação.

 

Atividades

 

  O principal objetivo do SOC é aumentar a segurança dos dados e garantir sua integridade. As atividades que envolvem o SOC são:

• Prevenção. É realizada com o uso de práticas capazes de prevenir incidentes, por meio
de atualizações de hardwares, softwares, rastreadores, antivírus e outras tecnologias relacionadas à segurança.

• Detecção. Identifica falhas, problemas e ameaças de segurança nos processos.

• Resposta. Soluciona os incidentes de segurança encontrados, agindo de maneira eficaz e rápida. O SOC pode bloquear ataques, corrigir falhas e reduzir quaisquer efeitos negativos causados por esses incidentes.

• Avaliação. Analisa e monitora todos os processos de vulnerabilidade, de acordo com os riscos que a empresa pode enfrentar.

 

Aplicações do SOC

 

  A estrutura do SOC atua no monitoramento de todos os recursos de segurança, como UTMs, antivírus, anti-DDoS, IPs e firewalls. Ele cruza dados sobre os eventos, detecta tentativas de ameaças ou invasões e proporciona uma solução chamada Security Information and Event Management – Siem.

  O SOC recebe alertas emitidos de forma automática. Caso as configurações e os processos não consigam deter a invasão, equipes de suporte são acionadas para conter as ameaças.

  Além de melhorar o monitoramento de segurança, o SOC apresenta vários benefícios para a empresa. A seguir, os principais:

• Recuperação de informações e dados.

• Melhora nos processos de auditoria.

• Maior precisão e velocidade na resposta contra as invasões.

• Monitoramento mais preciso e contínuo.

• Melhora na análise de processos e dados.

• Otimização de tempo.

• Agilidade e eficiência na tomada das decisões.

• Centralização dos processos e recursos.

  As empresas sujeitas às regras de proteção às informações precisam do SOC. De acordo com a Resolução no 4658/2018 do Banco Central, todas as instituições financeiras e bancos devem implantar o SOC para responder aos incidentes cibernéticos. A lista de instituições que devem aplicá-lo ao SOC inclui:

• Bancos privados.

• Banco Central do Brasil.

• Corretoras de valores.

• Instituições financeiras.

• Operadoras de cartões de crédito.

• PCI-DSS – Payment Card Industry Data Security Standards.

• CVM – Comissão de Valores Mobiliários.

O SOC não só garante uma maior proteção às informações como fornece dados e relatórios que comprovem isso. Dessa forma, a empresa permanece em conformidade com os órgãos reguladores e
melhora sua confiabilidade diante dos clientes e da sociedade

 

Problemas que um SOC pode evitar

 

  Atualmente, as informações e dados são fundamentais para que qualquer negócio sobreviva e são alvo da ação de cibercriminosos.

  Muitas vezes, as empresas nem percebem as ameaças e os ataques, e só sentem o impacto quando há discrepâncias no setor financeiro ou quando são divulgadas as informações. O SOC pode ajudar a resolver esse tipo de problema, assim como outros.

  Uma de suas principais funções é a centralização das operações de segurança (softwares, protocolos, ferramentas) em um único lugar, tornando mais eficiente o monitoramento de segurança.

   Os principais problemas que um SOC pode prevenir na sua empresa são:

• Bloqueio das informações em relação a ataques do tipo ransomware, que costuma exigir alguma forma de pagamento de resgate destas.

• Prevenção, detecção e reação frente às ameaças cibernéticas proporcionadas pelo monitoramento contínuo.

• Proteção à autenticação de dados e dispositivos em nível executivo que evitam penalidades por negligência, omissão etc.

• Revisão periódica eficiente dos riscos e gaps identificados, de modo a evitar que novas ameaças surjam ou até mesmo que ocorram falhas no processo de coleta dos dados.

  É obrigação de todas as empresas manter a segurança de dados que os clientes disponibilizam para elas. É o principal pilar de confiança na relação entre cliente e empresa. Pensando nisso, um sistema centralizado como o SOC é imprescindível para o monitoramento e a detecção de ameaças ou falhas que podem causar prejuízos à sua empresa.

 

A terceirização do NOC e do SOC

 

  A terceirização do NOC e do SOC é viável e rentável para as empresas, sem prejudicar a produtividade. A empresa que deseja implementar essas estruturas precisa investir bastante em softwares, equipamentos e profissionais específicos.

  Graças a essa terceirização, elas ficam protegidas com menos alocação dos recursos, otimizando a produtividade.

Serpro inaugura centro de operações de segurança

Redação, Infra News Telecom

  O Serpro – Serviço Federal de Processamento de Dados inaugurou, em Brasília, DF, um SOC – Centro de Operações de Segurança. O ambiente segue a tendência mundial para tratar incidentes de segurança de forma proativa e foi colocado no ar após três meses de planejamento e logística. “Criar uma célula voltada para a segurança de dados é um passo importante para atingirmos a nossa meta de evoluir de uma empresa de processamento de dados para uma empresa de inteligência. Segurança de dados é nome do jogo no futuro e faz parte da nossa história”, enfatiza Caio Mario Paes de Andrade, presidente da instituição.

  Segundo o diretor de operações do Serpro, Antonino dos Santos Guerra Neto, a equipe do SOC está apta para tratar os ataques antes e depois que eles acontecem, além de incidentes de vazamento de dados pessoais. “Isso está alinhado com a iniciativa da empresa em ser referência de mercado na LGPD”, completa.

  Tiago Iahn, do departamento de gestão de segurança cibernética, ainda destaca que o SOC foi pensando nas etapas de um teste de invasão. “Sempre que um ataque é planejado, uma série de atividades é realizada anteriormente. Normalmente, é feito um scan, uma enumeração do que está no ar, uso de exploits para exploração e possivelmente a invasão propriamente dita. Como tínhamos que montar um SOC em um curto espaço de tempo, focamos na questão de como um hacker faria na prática. E assim criamos alertas e monitorações que focam em cada etapa: antes do hacker realizar o acesso (inteligência)”, explica.

  As principais atividades desenvolvidas pelo SOC são: proteger, tratar e alertar os gestores de negócio a respeito de vazamento de dados pessoais; proteger e monitorar os diretores e superintendentes na camada mais profunda da Internet; responder, de forma rápida, aos incidentes de segurança dos sistemas do Serpro e clientes; e correlacionar eventos de segurança, gerando alertas antes dos incidentes acontecerem.

Boas práticas de segurança digital para ISPs

Os ISPs precisam de uma estrutura tanto nas redes, quanto em seus data centers para proteger os dados da empresa e de seus clientes. Além disso, com o aumento dos ataques DDoS, é fundamental uma boa prática de segurança digital para evitar problemas.

Eduardo Meirelles, diretor comercial da Everest Ridge

  Os ISPs – provedores de Internet são elementos importantes na inovação e melhoria do acesso à tecnologia e informação no Brasil. Porém, existem muitos desafios. Neste sentido, as práticas de segurança digital são temas recorrentes e que exigem a atenção de gestores e equipes.

  Naturalmente, há diferentes demandas. Um ISP precisa de uma estrutura tanto nas redes, quanto em seus data centers para proteger os dados da empresa e de seus clientes. Além disso, com o aumento dos ataques DDoS (ataque distribuído de negação de serviço), é fundamental que o ISP tenha uma boa prática de segurança digital para evitar problemas.

   É preciso compreender que a segurança digital se dá por um contexto maior, que vai desde a engenharia de tráfego, até os firewalls e softwares de proteção. Mas ela deve contar com os seguintes elementos:

Como aplicar estas soluções?

 

  É muito importante ter uma visão mais ampla e estratégica. O processo de segurança deve ser integrado e envolver diversas inteligências digitais e não apenas soluções “amontoadas”. Sem um processo integrado, que inclua desde questões como infraestrutura até os softwares e monitoramento, pode-se perder dados importantes. Afinal, segurança digital também se dá pela captação e análise de dados.
É preciso saber em que pontos há mais tentativas de ataques, de onde eles chegam e de que forma é mais fácil e rápido neutralizá-los. Isso só é possível com uma coleta constante, segura e automática dos dados de monitoramento. Somando monitoramento, análise de dados e melhorias constantes, chegamos a uma solução de SOC.

  Hoje, qualquer sistema, software ou solução precisa de integração. Sabemos que muitos ISPs possuem redes complexas e que integrar novas soluções nem sempre é simples. Há equipes especializadas que podem encurtar caminhos e, principalmente, implementar com mais economia e eficiência os processos de segurança digital para ISPs.

  Além disso, questões como políticas de segurança atualizadas e consultorias com empresas da área ajudam, e muito, nesses processos.

Segurança da informação como estratégia de negócios nas empresas

Redação, Infra News Telecom

  Com ataques cada vez mais sofisticados e complexos, empresas de diferentes setores e tamanhos enfrentam dificuldades para proteger as suas informações. Nesse cenário, é fundamental que a segurança da informação deixe de ser uma questão meramente técnica e passe a fazer parte da estratégia de negócios.

  “Combater os crimes digitais depende de ações adequadas de gestão baseadas em pessoas, processos e tecnologias. Com essa tríade, as organizações terão mais agilidade para detectar e mitigar ataques”, diz Longinus Timochenco, diretor de cyber defense Latam, da Stefanini Rafael, uma joint-venture para soluções de cibersegurança, inteligência e segurança pública entre a Stefanini e a Rafael.

  Com um SOC – Security Operations Center, em São Paulo, a Stefanini Rafael oferece uma série de serviços customizados de inteligência de cibersegurança para empresas de pequeno, médio e grande portes. Entre seus clientes estão bancos e indústrias. “Identificamos os riscos ou possíveis incidentes de segurança e alertamos o cliente. Podemos indicar as ações que precisam ser tomadas para a área de TI ou implementá-las. Temos uma equipe especializada que pode trabalhar dentro do ambiente do cliente ou a partir do nosso SOC”, completa Timochenco.

  Um dos focos da empresa é a automação industrial, com a sua solução Scada Dome Defense, capaz de proteger todos os níveis de uma rede industrial. Basicamente, o sistema mapeia informações, identifica possíveis ameaças e reúne os resultados obtidos, fornecendo dados necessários para que as equipes de monitoramento e resolução de eventos tratem e solucionem possíveis invasões. Além disso, a plataforma oferece monitoramento em tempo real, gerando alarmes quando houver reconhecimento de anomalias. “Funciona como um escudo para combater ataques em redes SCADA. Esse é um setor cada vez mais vulnerável, por conta, principalmente dos movimentos da indústria 4.0. Há duas grandes combinações de ataques de ransomware para 2019: dispositivos IoT, que atingem grandes massas, e automação industrial ”, completa o executivo.

  Outra aposta é a governança corporativa. A companhia oferece um portfólio de serviços que inclui desde o controle de ativos a capacitação de pessoas e políticas de privacidade. “A segurança é o primeiro passo para iniciar um processo de governança numa companhia. Nossa oferta é bastante ampla e abrange infraestrutura e governança processual para que as empresas possam atuar de forma preditiva”, completa Timochenco.

  A Stefanini é uma multinacional brasileira de serviços de tecnologia da informação, incluindo consultoria, integração, desenvolvimento de soluções e outsourcing para aplicativos e infraestrutura. Com atuação em mais de 40 países e 25 mil funcionários, a empresa atende mercados como financeiro, telecom e governo. Já a Rafael é uma companhia israelense especializada em sistemas de defesa para segmentos naval, terrestre, aéreo e cibersegurança. A empresa é responsável pela defesa das Forças Armadas de Israel.