O que é uma avaliação de comprometimento?
Avaliações de comprometimento são investigações de alto nível em que equipes capacitadas utilizam ferramentas avançadas para mergulhar mais fundo em seu ambiente e identificar atividades de invasores, sejam prévias ou em andamento, além de identificar pontos fracos existentes em controles e práticas. O intuito dessa avaliação abrangente é responder à pergunta crítica: "Minha organização foi atacada?".
Alguns setores são obrigados pelas normas regulatórias a conduzir avaliações de comprometimento, e a Cybersecurity & Infrastructure Security Agency (CISA) recomenda essa prática a todas as organizações.
Benefícios de uma avaliação de comprometimento
Apesar dos avanços nas tecnologias de cibersegurança e do reforço dos orçamentos de segurança, na maior parte dos casos, os tempos médios de permanência não têm se alterado ao longo dos anos. Tempo de permanência é o tempo decorrido entre a entrada de um invasor na rede e a expulsão dele. Reduzir esse intervalo é importante porque quanto mais tempo um ator de ameaças consegue agir dentro da rede sem ser detectado, mais tempo ele terá para encontrar o caminho até os ativos mais valiosos, aprender a derrotar defesas, instalar back doors e exfiltrar dados. Essas ameaças persistentes avançadas (APTs) são danosas e custam caro, mas podem ser expostas por uma avaliação de comprometimento.
A profundidade e o alcance de uma avaliação de comprometimento permitem que a organização identifique a presença de atores de ameaças ou se sofreram alguma invasão. Os insights trazidos por essa análise abrangente reduzem o risco de invasores roubarem ativos financeiros, dados de clientes ou propriedade intelectual.
A postura de segurança é aprimorada pela identificação proativa de práticas de segurança ineficazes, como erros de configuração e conflitos entre políticas, que podem deixar lacunas e submeter as organizações a um risco maior. A avaliação de comprometimento vai expor esses pontos fracos e indicar um caminho para a remediação deles. As organizações conseguirão responder à pergunta: "Houve um ataque?". A avaliação também dá sugestões de melhorias que podem orientar decisões futuras sobre orçamento e recursos. Por fim, determinadas regulamentações exigem a realização de avaliações de comprometimento. No entanto, até mesmo as organizações que não são obrigadas a cumprir esses padrões específicos podem causar uma boa impressão nos auditores ao apresentar uma avaliação de comprometimento.
Etapas de uma avaliação de comprometimento
Etapa 1: Avaliar
Uma avaliação de comprometimento começa com a coleta de dados forenses, em busca de sinais de possível comprometimento de endpoints, de tráfego de rede e de logs.
Etapa 2: Analisar
As equipes de avaliação de comprometimento podem usar os dados coletados para identificar se ocorreu um ataque. Caso o ataque tenha ocorrido, os comprometimentos são validados, e a equipe analisa quem está por trás dele; por que o invasor está atacando a organização; qual é o objetivo do invasor; e como a estratégia foi executada. Esse conhecimento pode ser usado para prever e bloquear os próximos passos do adversário.
Etapa 3: Prestar assistência
Os analistas podem usar as descobertas da avaliação de comprometimento para responder e remediar as ameaças descobertas.
Etapa 4: Orientar
A avaliação de comprometimento é concluída quando a organização entende como aprimorar suas capacidades internas de resposta e a postura de segurança geral, com o objetivo de prever ou sanar futuros incidentes.
Avaliação de comprometimento x investigação de ameaças
A investigação de ameaças é a busca proativa de ciberameaças que já estão dentro da infraestrutura. O time de threat hunters desenvolve hipóteses com base nas informações coletadas sobre novas ameaças e combina esses dados com o conhecimento sobre a estratégia do adversário. A equipe usa a inteligência de ameaças para expor atividades em andamento ou em potencial de invasores e aplicar análise avançada com a finalidade de detectar comportamentos suspeitos no imenso volume de informações captadas pelos sistemas de segurança. A investigação de ameaças é um processo contínuo.
Por sua vez, a avaliação de comprometimento em geral é realizada periodicamente. Ela costuma ter frequência mensal ou trimestral e é adotada em análises pontuais ou no cumprimento de normas regulatórias, em alguns casos. O escopo de uma avaliação de comprometimento também é significativamente mais amplo do que o alcance da investigação de ameaças. A avaliação de comprometimento busca não apenas indicadores de comprometimento e de ataque, mas também os motivos dessas ocorrências, quais são os próximos passos e quais medidas podem ser adotadas para reforçar a postura de segurança geral da organização.
O CrowdStrike Falcon Forensics capacita as equipes a realizar avaliações de comprometimento periódicas
O CrowdStrike Falcon Forensics automatiza a coleta de dados forenses históricos e em tempo real para fins de triagem, o que possibilita que as equipes realizem periodicamente avaliações de comprometimento eficazes e eficientes. O Falcon Forensics é uma solução unificada destinada à análise de grandes quantidades de dados, tanto históricos quanto em tempo real, e elimina a necessidade de ferramentas dispersas ou métodos de ingestão de dados, simplificando assim os fluxos de trabalho de analistas. Painéis predefinidos personalizáveis, como o painel de ganhos rápidos, foram desenvolvidos em conjunto com a equipe de Serviços CrowdStrike para oferecer os mais altos coeficientes sinal-ruído.
Com o Falcon Forensics, as equipes conseguem implementar rapidamente em grande escala e têm suporte à coleta de dezenas a centenas de milhares de endpoints. Um executável dissolvível realiza a coleta e em seguida é removido dos sistemas. Dessa forma, os analistas não precisam cuidar da manutenção nem gerenciar mais um agente em seus sistemas, o que reduz a complexidade do trabalho deles.
Para as organizações que desejam receber a avaliação mais abrangente do setor, a avaliação de comprometimento dos Serviços CrowdStrike® beneficia-se dos anos de experiência que a equipe de Serviços acumulou respondendo às intrusões operadas pelos invasores mais avançados. Com a poderosa plataforma CrowdStrike Falcon®, a melhor inteligência de ciberameaças do setor e investigação de ameaças ativa 24 horas por dia, 7 dias por semana, as organizações são capazes de responder à pergunta crítica: "Houve um ataque?".
Anne Aarness é Gerente Sênior de Marketing de Produtos na CrowdStrike, lotada em Sunnyvale, Califórnia.
