Detectar, conter e investigar: regras de proteção em TI

A Tecnologia da Informação é um dos setores que mais tem recebido investimentos no Brasil, em meio ao cenário desafiador em termos econômicos que o país enfrenta. O segmento mostra-se fundamental não apenas por fornecer recursos básicos para que as empresas operem, mas também ferramentas estratégicas para a captação e gestão de negócios.

Ao mesmo tempo em que a TI se torna cada vez mais peça essencial nas empresas, a preocupação com a segurança dos dados cresce e tem virado a principal dor de cabeça para os administradores das redes. Para os invasores, crackers, hackers e ameaças em geral, não há nenhum tipo de crise que esteja impactando no desenvolvimento de novas ameaças e ataques direcionados a empresas, independentemente do segmento de mercado em que atua o seu porte. O mundo entende que o coração das empresas está em suas informações e, por isso, hackers estão cada vez mais empenhados em invadir sistemas para obter informações sigilosas que possam fornecer algum tipo de vantagem para eles.

As ameaças estão além de “simples” malwares, usualmente passíveis de detecção por parte de um antivírus.  Elas estão evoluindo e, atualmente, é essencial que as empresas atualizem seus métodos e tecnologias de detecção e resposta a incidentes. E, sobretudo, é preciso pensar e agir de forma rápida e certeira. Três estratégias surgem como essenciais para equipes de TI no trabalho incessante contra ciberataques.

Detecção: primeiramente é preciso contar com tecnologias que trabalhem pró-ativamente na detecção de ameaças. Firewalls tradicionais, por exemplo, não têm capacidade de inspecionar pacotes criptografados (https) e hoje existem diversas ameaças e técnicas de ataque que são baseadas neste protocolo. Por isso, é necessária a atenção para a implementação de sistemas integrados, como IPS/IDS, firewalls inteligentes para realização da inspeção de todo tráfego de rede e soluções como SIEM, que são focadas na coleta de logs de equipamentos/aplicações com foco na correlação de informações para identificação rápida de incidentes capazes de permanecer meses camuflados dentro do ambiente.

Contenção: uma vez que um incidente é detectado, o mesmo precisa ser classificado e, a partir disso, serem tomadas ações rápidas para conter possíveis disseminações, interceptações e vazamentos. É de extrema importância que, além de tecnologias, existam também processos estabelecidos para que as ações de contenção sejam tomadas.

Investigação/Erradicação: um dos principais erros das empresas é parar na fase de contenção de um incidente e não investir tempo na investigação. O fato impede que a empresa saiba qual a origem da possível exploração e entenda todos impactos e riscos sobre negócios e infraestrutura. Deve ser essencial que os incidentes sejam investigados e mapeados, para que seja possível estimar quais serão os esforços necessários para erradicação de um novo incidente desta classe, seja por meio de redefinições de regras em soluções, educação de usuários, novas políticas de segurança ou até mesmo possíveis investimentos em novas soluções de segurança da informação.

Os avanços da Tecnologia da Informação são uma realidade, sendo já consenso que a segurança dos dados é uma das principais preocupações das empresas. A invasão a uma rede e o vazamento de informações podem causar prejuízos incalculáveis. A indústria de TI tem desenvolvido ferramentas de prevenção. Entretando, o papel das empresas nesse processo é essencial, sobretudo ao adotar soluções eficazes, levar em conta as três importantes estratégias do processo da segurança da informação e preparar os usuários para que não se tornem fontes possíveis de abertura das portas virtuais das empresas.

Por Guilherme Bezerra, Especialista de Soluções da Brasoftware.