Destiny Bertucci, Head Geek da SolarWinds
Não é segredo que os ataques cibernéticos podem ser devastadores tanto para os datacenters quanto para as empresas que recebem suporte deles. A própria ideia de violação é suficiente para fazer com que os analistas de segurança comecem a suar frio, e por um bom motivo. Na verdade, as violações de dados nos Estados Unidos aumentaram 40% no ano passado, destacando que essa epidemia é tão disseminada quanto grave.
No entanto, igualmente problemático, é o fato de que mais de dois terços das empresas são notificados sobre esses ataques por terceiros. Isso significa que as empresas não estão detectando as violações do datacenter por conta própria e, em vez disso, dependem de terceiros para saber que seus dados foram comprometidos.
É desnecessário dizer que essa abordagem significa mais tempo decorrido durante uma violação, deixando a empresa vulnerável por mais tempo, o que torna difícil compreender os custos e, mais ainda, estimá-los.
Controle de danos
A chave para lidar com as violações de datacenter é perceber que a prevenção ou a resposta ao incidente não é uma estratégia de segurança suficiente. Não há dúvidas de que a quantidade de violações de dados aumentará novamente, pois o volume de dados confidenciais que estão sendo coletados também está aumentando. O valor de uma violação significa que os ataques não estão apenas se tornando mais regulares, como também mais sofisticados.
Então, como operadores inteligentes de datacenter podem lidar com esse problema? Bem, citando o conhecido ditado: o ataque é a melhor defesa. Ser proativo, detectar ameaças, aprimorar os tempos de detecção e resposta são atitudes vitais para o combate contínuo das violações de dados. A estratégia ideal é uma combinação de prevenção e resposta.
Para garantir isso, os responsáveis pelos datacenters devem recorrer a um especialista — um profissional que possa pensar como um criminoso, mas use esse insight o para o bem, e não para o mal. Essa é uma função informalmente conhecida como "caçador de ameaças". Isso é algo que deverá ser considerado, se você quiser realmente proteger seu datacenter e de seu valioso conteúdo.
Pegando os criminosos
Caçador de ameaças é mais do que um um título legal (embora realmente seja legal): trata-se do profissional que busca brechas exploráveis na proteção de um datacenter. Ao pensar de fato como criminosos e adotarem uma "mentalidade de invasor", os caçadores de ameaças podem identificar os pontos fracos da proteção e chegar a uma conclusão lógica a partir deles.
Outra maneira de descrever um caçador de ameaças é um testador interno e dedicado de invasões, e não um terceiro ou testador externo de invasões. Essa proatividade ajuda você a ficar um passo à frente do criminoso cibernético, com a identificação pelo caçador de ameaças de qualquer problema potencial antes que um criminoso possa aproveitá-lo.
Cada vez mais as empresas estão investindo recursos para ter um caçador de ameaças ao seu lado. Embora a função do caçador de ameaças ainda não seja realmente disseminada, acredito que estamos começando a ver essa mudança à medida que as violações de dados se tornam cada vez mais desenfreadas, e as empresas são forçadas a optar por uma estratégia que ajude a lidar com o problema antes de ter que arcar com seu custo potencial de milhões de dólares.
Em 2014, uma pesquisa de confiança na segurança conduzida pela SolarWinds revelou que 84% dos entrevistados relataram que suas organizações sofreram um ataque, dos quais 35% informaram que foi necessário ao menos um mês para que essa violação fosse descoberta. Isso ilustra a importância de uma estratégia robusta de segurança para o datacenter e o motivo pelo qual o caçador de ameaças desempenhará um papel ainda maior em seu datacenter.
Encontrando seu caçador de ameaças
O que você deve procurar em um caçador de ameaças? Você precisa de uma pessoa com vasta experiência. Quanto mais essa pessoa souber sobre aplicativos, servidores, funcionários do datacenter, redes e metodologias de segurança, proteção de ponto de extremidade, prevenção contra violação de dados, firewalls, informações de segurança e gerenciamento de eventos (SIEM), gerenciamento de patches etc., melhor. Se essa pessoa não conhece cada um dos vários componentes envolvidos em um ataque, então ela não é o caçador de ameaças que você está procurando.
Isso significa que procurar um caçador de ameaças pode ser um verdadeiro desafio para as organizações, pois encontrar a pessoa certa, com o vasto conjunto de habilidades necessário para realizar o trabalho, não é fácil. O caçador de ameaças também não é uma opção viável para PMEs, cujos orçamentos limitados não comportam esse recurso avançado.
Por outro lado, as grandes organizações certamente considerariam que esse recrutamento vale a pena, pois quando a pessoa certa para o trabalho é encontrada, os benefícios são enormes.
Conclusão
Se uma empresa consegue identificar os vetores do ataque contra o datacenter antes de eles serem usados pelos criminosos cibernéticos, em vez de depois de um ataque, isso pode evitar danos reais e oferecer melhor preparação para ataques futuros. Embora se trate de uma decisão que varia de empresa para empresa, um caçador de ameaças dedicado, combinado com uma estratégia de segurança de defesa profunda mais tradicional, pode ser algo a ser levado em consideração para ajudar a garantir a segurança do datacenter.
