Correlação de Eventos – parte 2: A violação de dados

No meu post anterior , vimos como a correlação de eventos pode ser usada para lidar com ameaças persistentes avançadas (APTs). O problema é que um APT é apenas uma face feia de uma epidemia muito maior: a violação de dados. Neste post, examinamos esse problema maior e o papel da correlação de eventos na proteção de dados confidenciais.

Os hackers estão constantemente à procura de dados confidenciais. De nomes e endereços de e-mail a informações financeiras e clínicas, todos os tipos de dados são valiosos para os invasores. Isso ocorre porque os dados roubados podem atender a uma ampla variedade de finalidades, como roubo de identidade, fraude financeira ou campanhas de spear phishing. A proteção de dados deve ser a maior prioridade para qualquer empresa.

Obtenha o kit de recursos de correlação de eventos agora

Notáveis ​​violações de dados de 2018

A melhor maneira de avaliar a necessidade de segurança de dados é dar uma olhada em algumas das maiores violações de dados descobertas este ano:

Facebook 
Quais dados foram comprometidos? Informações de perfil público, informações de localização, gostos de página e, em alguns casos, informações de linhas de tempo dos usuários e mensagens privadas.
Quantos registros de dados foram afetados? Mais de 87 milhões.
Possivelmente, o escândalo de violação de dados do ano, o Facebook ficou sob fogo quando foi revelado que a empresa de consultoria política Cambridge Analytica foi capaz de colher os dados pessoais de milhões de usuários sem consentimento através de um aplicativo do Facebook. O Cambridge Analytica também usou os dados coletados para outros fins que não aqueles apresentados aos usuários que consentiram.

Exactis 
Que dados foram comprometidos? Informações pessoais, como nomes, endereços e números de telefone, bem como preferências pessoais, como interesses e hábitos.
Quantos registros de dados foram afetados? Mais de 340 milhões.
A empresa de pesquisa de mercado e agregação de dados Exactis ficou sob os holofotes quando um pesquisador de segurança, Vinny Troia, descobriu que a empresa estava mantendo todas as informações coletadas sobre cidadãos americanos em um servidor desprotegido e acessível ao público. Este é mais um caso de exposição de dados do que uma violação, pois não ficou claro se os dados foram acessados ​​ou usados ​​para fins maliciosos. No entanto, ainda causou muitos protestos públicos e questões legais para a empresa.

Cathay Pacific 
Que dados foram comprometidos? Informações pessoais dos passageiros, incluindo nomes, endereços, números e nacionalidades. Os dados que vazaram também incluíram 860.000 números de passaporte e 403 números de cartão de crédito expirados.
Quantos registros de dados foram afetados? Mais de 9,4 milhões.
A violação de dados enfrentada pela companhia aérea chinesa Cathay Pacific é uma das piores do setor aéreo até hoje. A resposta da empresa à violação ficou seriamente questionada porque levou sete meses para anunciar a violação do pós-descoberta pública. A Cathay Pacific está atualmente sob investigação de 27 reguladores em 15 jurisdições para determinar se a empresa infringiu alguma lei em sua resposta à violação.

Outras organizações que sofreram grandes violações de dados incluem:
Under Armour: Mais de 150 milhões de nomes de usuários, endereços de e-mail e senhas com hash foram comprometidos pelo aplicativo de nutrição e fitness da empresa, MyFitnessPal.
MyHeritage: Mais de 92 milhões de nomes, endereços de e-mail e senhas em hash foram roubados da plataforma de genealogia on-line MyHeritage.

Considerações importantes para segurança de dados

Embora a lista acima não seja exaustiva, a diversidade de setores e tipos de dados afetados certamente mostra a necessidade de medidas de segurança rigorosas em torno dos dados. Em vista disso, aqui estão algumas considerações importantes no planejamento de políticas de segurança de dados:

  • As violações de dados também podem ser causadas por pessoas de dentro: embora a maioria das organizações tenha a tendência de se concentrar na proteção de seus dados contra partes externas não autorizadas, é importante reconhecer a ameaça representada por pessoas de dentro também. Não é apenas uma questão de confiança; violações que ocorrem devido a funcionários descuidados ou desavisados ​​também são consideradas violações internas. De fato, de acordo com o Relatório de Investigação de Violação de Dados da Verizon de 2018, as empresas do setor de saúde enfrentam um risco maior de ameaças internas.
  • A segurança dos dados não está localizada na segurança do banco de dados ou dos servidores de arquivos: a auditoria regular do banco de dados e o monitoramento da integridade dos arquivos são essenciais para garantir que seus dados permaneçam seguros. No entanto, é importante ter uma visão mais abrangente da segurança. Servidores da Web, aplicativos que fazem interface com seus bancos de dados e outros sistemas que se conectam aos servidores de dados em sua rede são alvos igualmente prováveis ​​para aqueles que desejam obter seus dados. Uma vulnerabilidade de um único aplicativo pode permitir que um hacker acesse grandes quantidades de informações sem autorização.
  • Melhorar a precisão dos alertas pode reduzir bastante o tempo de detecção de ataques: As organizações tendem a protegê-las, verificando todos os possíveis cenários de violação de dados. Mas todo login com falha ou arquivo excluído não é necessariamente um sinal de ataque. Os administradores de segurança que se deparam com um mar de alertas podem desperdiçar tempo precioso excluindo falsos positivos antes de descobrir os ataques reais.

Por que a correlação de eventos é sua melhor amiga para garantir a segurança dos dados

A correlação de eventos é uma técnica que analisa logs de todos os dispositivos em sua rede e alerta você sobre quaisquer anomalias. Ao monitorar tudo, de firewalls a estações de trabalho, a correlação de eventos ajuda a proteger todos os pontos de acesso aos dados e pode verificar violações externas e internas. A correlação de eventos também gera alertas altamente precisos, pois valida padrões suspeitos de atividade antes de notificá-lo.

Alguns casos de uso de correlação relevantes incluem a detecção de:

  • Atividade de backup de SQL não autorizada.
  • Deleção de massa anômala de dados.
  • Tentativas de SQL injection direcionadas.
  • Alterações suspeitas em permissões de dados ou políticas de auditoria de objetos.

O Log360, a solução abrangente de SIEM, vem equipado com um módulo de correlação forte, que inclui regras predefinidas para ajudá-lo a detectar todos os itens acima e muito mais. Você pode até personalizar regras ou criar novas adequadas ao seu ambiente de rede.

Venha realizar os testes do Log360 agora mesmo, contando sempre com a equipe ACSoftware sua revendedora ManageEngine no Brasil.

Deixe um comentário