Os profissionais de segurança cibernética devem mudar de indicadores de comprometimento para indicadores de comportamento

Especialistas em segurança sugerem o uso de IOBs para passar da reação a um ataque cibernético para a prevenção do incidente.

A maioria dos profissionais de segurança cibernética foi treinada para usar Indicadores de Comprometimento (IOC) ao reagir a um ataque cibernético e não estão satisfeitos com a natureza posterior dessa abordagem. A mudança para um modelo de trabalho em casa é outra limitação significativa que os profissionais de segurança cibernética estão enfrentando. Ele remove o perímetro bem definido que eles estavam acostumados.

VEJO: Como gerenciar senhas: práticas recomendadas e dicas de segurança (PDF grátis) (TechRepublic)

“Acreditamos que os usuários são o novo perímetro, não a rede; e a gravidade dos dados mudou de data centers centralizados operados pela empresa para aplicativos SaaS e cargas de trabalho em nuvem, e isso apresenta novos desafios, especialmente em termos de conectividade e proteção de dados”, disse Nicolas Fischbach, CTO global e vice-presidente de SASE Engineering da Forcepoint , em Mudança de marchas de IOCs para IOBs.

O que são Indicadores de Comportamento?

Fischbach e Alan Ross, arquiteto-chefe da Forcepoint’s X-Labs, defendem uma solução diferente: Indicadores de Comportamento (IOB). “IOBs são comportamentos que são monitorados para entender o risco dentro de uma organização”, disse Ross em seu artigo Indicators of Behavior (IOBs)–With 2020 Vision. “Sempre que um documento é criado, salvo, alterado, enviado por correio, compartilhado, carregado, baixado ou excluído, essas ações são analisadas como uma série para determinar o contexto e a intenção.”

VEJO: A engenharia de caos de segurança ajuda você a encontrar elos fracos em suas defesas cibernéticas antes que os invasores o façam (TechRepublic)

IOBs são modificações inesperadas e não autorizadas na linha de base operacional normal. Alguns exemplos podem ser:

• Criando ou modificando tarefas agendadas
• Instalando novos aplicativos ou serviços
• Criando novas contas de usuário
• Envio de e-mail e anexos para um domínio pessoal
• Como criar novas instâncias de computação
• Acessando informações armazenadas
• Executando consultas e exportando os resultados

Ross disse que o uso de ferramentas de colaboração e atividades do site, como mensagens, envio de anexos, upload de informações ou alavancagem de novas ferramentas ou sites, devem ser considerados IOBs.

Qual é a diferença entre IOCs e IOBs?

Pode parecer que há muito pouca diferença entre os dois, mas é uma diferença importante. Ross disse que os IOBs são mais do que monitoramento de atividades, acrescentando que a indústria precisa entender verdadeiramente cada parte da sequência. Por exemplo, em vez de apenas saber que os dados estão sendo roubados, Ross quer conhecer as etapas individuais que tornam o roubo possível dividindo o processo em IOBs.

VEJO: Não cometa esses erros de resiliência cibernética (TechRepublic)

O exame dos IOBs aumenta a compreensão de quais riscos estão sendo assumidos. “Existem centenas de indicadores de comportamento que podemos observar e coletar”, disse Ross. “Uma vez que coletamos os IOBs, podemos juntá-los para definir comportamentos, personas e resultados de negócios específicos que podem se manifestar a partir desses comportamentos.”

Um resultado positivo do uso de IOBs, disse Ross, é a capacidade de prever o que acontecerá se uma organização fizer uma mudança no processo de segurança (por exemplo, desabilitar o USB para dispositivos de armazenamento externos).

Alguns exemplos do que ele consideraria IOBs:

• Os usuários criam um endereço de encaminhamento de e-mail para um canal do Slack.
• Os usuários mudam da rede corporativa para o ponto de acesso do telefone e vice-versa.
• Os usuários carregam o código em um repositório Git ou em um domínio desconhecido.
• Os usuários baixam informações para um dispositivo de armazenamento removível.
• Os usuários instalam um aplicativo de nuvem pessoal em seus laptops.

A capacidade de modificar comportamentos

Essa abordagem permite a proteção de ativos tomando ações de acordo com o nível de risco e o contexto da situação do usuário. “Podemos avisar o usuário e permitir que ele pare ou prossiga e, se necessário, podemos tomar medidas para proteger os dados, bloquear atividades ou até mesmo desabilitar o acesso da conta e do dispositivo do usuário”, disse Ross.

VEJO: Como mostrar um ROI em gastos com segurança cibernética (TechRepublic)

“Aproveitar IOBs para formular detecções comportamentais reduzirá drasticamente a quantidade de ruído e falsos positivos que uma organização precisa perseguir”, disse ele. “Estamos muito cientes da ‘fadiga de alerta’ do analista e acreditamos que há uma maneira muito melhor de coletar e apresentar as informações mais relevantes ao usuário final.”

Por que usar IOBs?

A vantagem de usar IOBs é entender o histórico e o comportamento dos usuários, o que permite um julgamento sobre se o comportamento deve continuar ou ser alterado.

Um exemplo pode ser o de um vendedor fazendo uma apresentação em uma conferência importante. O organizador precisa de uma cópia da apresentação. O vendedor salva a apresentação em uma unidade flash e fornece a unidade ao organizador. Saber que esse comportamento provavelmente acontecerá para esse usuário específico evita um alerta de uso de pen drives e permite que o vendedor cumpra uma obrigação. Ross concluiu: “Os IOBs apresentam a melhor oportunidade de fornecer confiança adaptativa, interrompendo o mal e permitindo o bem”.