Com o cenário de ameaças em constante mudança, o setor de segurança aproveitou dados e pesquisas de Inteligência de Ameaças para enriquecer a telemetria coletada por diversos sensores. Tomamos a iniciativa de aprender sobre o adversário e entender suas táticas, técnicas e procedimentos, em um esforço para fornecer mecanismos de precisão, detecção e alerta.
Nos últimos anos, temos visto a evolução da Inteligência de Ameaças desde os dias de relatórios sobre agentes de ameaças com listas de indicadores de comprometimento até o enriquecimento direto de dados (“inteligência de ameaças acionável”) em SIEMs ou plataformas SOAR para “detecção de ameaças em tempo real”.
E para que serve tudo isso… Em última análise, para poder proteger sistemas que contêm dados confidenciais.
Como setor, erramos o alvo e estamos significativamente atrasados na compreensão dos nossos dados. É fundamental entendermos as informações que possuímos, quem tem acesso a elas e quais sistemas as armazenam. Os avanços nas tecnologias de segurança nos deram a capacidade de identificar malware, configurações incorretas e vulnerabilidades, ao mesmo tempo em que sobrepomos informações úteis sobre ameaças e correlacionamos todos esses pontos de telemetria para priorização de alertas.
Mas você pode realmente priorizar alertas de sistemas se não estiver ciente de quais sistemas possuem dados críticos ou sensíveis? Foi aí que nasceu o conceito de Enriquecimento de Inteligência de Dados. Descobrir todos os dados críticos ou sensíveis em seu ambiente e integrar essas informações às suas ferramentas de segurança para uma priorização de alertas de validade ainda maior.
Como começar com o enriquecimento de inteligência de dados
Da detecção de ameaças à resposta a incidentes, aqui estão 5 etapas para começar sua jornada:
-
- Desenvolva sua estratégia de segurança para mitigar vetores de ataque que podem persistir em seu ambiente
- Dependendo do vetor de ataque que você está resolvendo, certifique-se de que sua ferramenta de detecção (neste caso, nos referiremos à ferramenta Cloud Security Posture Management) tenha a capacidade de ingerir dados de telemetria de soluções de descoberta de dados (BigID ou SmallID)
- Utilizando BigID descobrir e classificar todos os dados em seu ambiente
- Utilizando Integração(ões) BigID com a gravidade do alerta CSPM será calculada automaticamente devido aos dados contidos no sistema que está sendo alertado, e a priorização será ajustada de acordo
- Sua equipe de segurança, Centro de Operações de Segurança (SOC) ou Detecção e Resposta Gerenciadas (MDR) poderão responder aos alertas que são cruciais para reduzir o risco para o seu negócio
Você pode finalmente se destacar do ruído, reduzir a fadiga de alertas e equipar sua equipe de segurança para se tornar melhor, mais rápida e mais forte — tudo isso enquanto se mantém um passo à frente do cenário de ameaças em evolução. Obtenha um Demonstração 1:1 hoje.
Autor
