Graças ao comércio eletrônico, dispositivos IoT, mídia social e muito mais, as organizações estão coletando volumes de dados maiores do que nunca. Mas muitas vezes isso ocorre porque eles coletam tudo e decidem o que fazer com isso mais tarde. Uma abordagem que os expõe ao risco de que os dados possam ser mal utilizados.
Falamos com a empresa de detecção e resposta aberta Corelight’s CISO Bernard Brantley, que acredita que as organizações podem implementar uma estratégia de dados completa, permitindo que trabalhem de trás para frente do risco para os logs brutos e criem uma cadeia de suprimentos que gere informações críticas para atividades de redução de risco.
BN: Como as organizações precisam reavaliar sua estratégia de dados?
BB: Há cinco etapas críticas para o desenvolvimento de uma estratégia de dados completa que permite que uma organização gere informações críticas para atividades de redução de riscos:
Reunir dados relevantes–Aproveite as atividades de avaliação de risco, como modelagem de ameaças, para determinar quais tipos e atributos de log fornecem nossa equipe o mais valor. Tente começar com um caso de uso para maximizar as informações de logs já coletados antes de integrar logs de valor inferior. Faça o trabalho antecipadamente–esqueça as consultas ad hoc ineficientes e, em vez disso, categorize e classifique as atividades nos logs. Com suporte a fluxos de trabalho analíticos, os defensores podem criar exibições semelhantes a painéis de atividades relevantes, detectar tendências de curto e longo prazo e identificar pontos cegos na cobertura. Ouça as partes interessadas–Se a empresa não conseguir traduzir as saídas de segurança em ação, não há valor. A incorporação da lógica de negócios à maneira como as equipes de segurança elaboram as saídas pode fornecer valor analítico adicional por meio dos logs coletados. Reavaliar consistentemente–A capacidade de aprender, desaprender e reaprender é essencial para reunir contexto adicional por meio da coleta de tipos de log adicionais ou da fusão de dados anteriormente díspares. Adições irrestritas–Adicionar tipos de log adicionais, processos de transformação ou gerar novas saídas deve ser ilimitado. Sua estratégia de dados e a arquitetura da cadeia de suprimentos devem permitir uma implementação oportuna e sem atritos para que as equipes possam desenvolver novos casos de uso.
BN: Uma plataforma de gerenciamento de eventos e informações de segurança (SIEM) é suficiente?
BB: À medida que as equipes de caça a ameaças avançam em direção à resiliência e à segurança baseada em dados, elas precisam de dados dando visibilidade a tudo que está acontecendo na rede, não apenas dados de eventos como alertas. Mais dados significa mais volume, levando o SIEM ao seu limite. Por isso, um número crescente de defensores está realmente usando duas plataformas SIEM, com o objetivo de uma pesquisa mais rápida e um caminho para análises personalizadas a um custo razoável.
Dito isso, ter duas não é necessariamente o ideal. Grandes instituições podem pagar e ter poder pessoal, mas ainda é um custo proibitivo para 95% das outras organizações que não têm uma equipe dedicada ou a capacidade de implantar e manter um data lake de segurança.
Organizações muitas vezes implementam uma estratégia de coleta de dados por medo de perder alguma coisa. Eu desafio a suposição de que devemos coletar tudo e determinar seu uso no ponto do incidente.
BN: Como uma estratégia de dados refinada pode influenciar as atividades de avaliação de risco de uma organização?
BB: Quando as equipes estabelecem parâmetros sobre o que procurar, o que armazenar para análise contínua e futura e garantem que seja um processo iterativo, não precisam mais ferver o oceano para obter os resultados de que precisam. O benfeitor de longo prazo aqui é a avaliação de risco, que pode então ser conduzida de maneira eficiente, altamente colaborativa e comunicativa, permitindo que as equipes entendam e cheguem à verdade mais cedo.
BN: O que é o valor da evidência em uma estratégia completa de dados?
BB: As equipes de segurança precisam de fatos para construir um caso de inocência ou culpa. Eles valorizam as evidências, mas isso não significa que estejam executando uma estratégia baseada em evidências. É imperativo que vejamos nossas evidências como matéria-prima na cadeia de suprimentos de inteligência e busquemos oportunidades para extrair o máximo valor. Isso pode ganhar tempo para as equipes por meio de mudanças estruturais proativas e ajudar a evitar impactos desnecessários de adversários.
Os defensores podem usar evidências de forma proativa para identificar e proteger riscos estruturais dentro de sua zona de controle. As evidências também podem ser usadas de forma reativa, apoiando atividades de detecção (re)engenharia, resposta e recuperação. É impossível evitar um evento de segurança, mas de que lado passamos a maior parte de nossos ciclos depende de nossa estratégia geral de dados e de como nutrimos nossas evidências.
BN: Olhando para o futuro, quais são quais são os dois maiores riscos enfrentados pelas equipes de segurança das organizações no ano novo se não ajustarem sua estratégia de dados?
BB: Existe realmente um único risco com dois níveis separados de impacto. Sem ajustar sua estratégia de dados, os defensores não conseguirão descobrir e explorar relacionamentos dentro dos dados de maneira durável. Como resultado, as oportunidades de colaboração dentro ou entre as equipes para desenvolver um programa de segurança inclusivo permanecerão um ponto cego. Os dados que mantemos hoje contêm mais do que contexto para dados de nível de evento a evento. Cada fonte de dados representa a soma das operações para uma determinada equipe em direção a um resultado. Os vínculos contextuais entre as fontes de dados representam interações conhecidas e desconhecidas entre essas equipes; pontos de envolvimento que podem levar a operações mais eficientes e completas.
Também será difícil aproveitar a automação em torno dos fluxos de trabalho de detecção e resposta a incidentes que ajudam na explicação; as histórias que podemos contar sobre nossos dados. Narrativas fortes são a principal ferramenta na conversão de informações de domínio específico (segurança, negócios, etc.) em conhecimento institucional. Sem eles, continuaremos perdendo oportunidades de afetar mudanças que impactam a cultura e as equipes de segurança terão dificuldade para socializar seu verdadeiro valor além da organização de segurança.
Crédito da imagem: ml12nan/depositphotos.com