maio 04, 2015

[Segurança] Respondendo a incidentes

Será que aas empresas estão preparadas para responder a incidentes de segurança de forma rápida e efetiva?

Uma pesquisa recente da RSA, realizada com 170 empresas em 30 países e chamada de "Breach Readiness", mostra um cenário pessimista, aonde a maioria das empresas não tem um plano formal de resposta a incidentes.

Segundo a pesquisa, a maioria das organizações falham na adoção de práticas e de tecnologias necessárias para identificar e reagir a um ataque e melhorar a sua disponibilidade, tais como o monitoramento do ambiente, gerenciamento de vulnerabilidades e um planejamento de resposta a incidentes. Falando em números...
  • 30% das empresas, em geral, não tem um plano formal de resposta a incidentes, que detalha o que deve ser feito por quem;
    • Dentre as poucas empresas que tem um plano de resposta a incidentes, 57% delas raramente ou nunca revisam este plano;
  • 55% (mais de metade!) dos entrevistados ainda não têm boa visibilidade das ameaças, ou seja, não tem capacidade para reunir os dados de seu ambiente e proporcionar o alerta centralizado de atividadse suspeitas;
  • 50% dos entrevistados têm capacidade de identificar e ignorar falsos positivos;
  • 42% dos participantes da pesquisa têm capacidades para investigação forense de rede mais complexa, incluindo a captura de pacotes e análise de fluxo de dados;
  • 40% das empresas não tem um programa de gerenciamento de vulnerabilidades.

O blog da RSA sobre esta pesquisa destaca a importância de identificar e descartar alertas correspondentes a falso positivos, uma vez que estes falsos positivos facilmente se tornam uma praga mesmo para empresas que tenham uma estrutura de monitoramento. O excesso de "alarmes falsos" pode causar o que o artigo chama de "Fadiga de alertas" nos analistas, que ficam sobrecarregados tratando casos desnecessários e podem não ter disponibilidade de identificar e focar nos casos mais importantes.

Frequentemente, as análises post-mortem de ataques que tiveram sucesso identifica que os alertas do ataque foram ignorados pelo time de segurança, o que mostra claramente a importância de ter as tecnologias e processos corretos para identificar, priorizar e tratar tais alertas. Isso aconteceu no grande vazamento de dados sofrido pela Target em 2013, por exemplo.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.