Como a computação em tempo real pode soar o alarme da cadeia de morte

30

Grandes ataques e incidentes de ransomware como SolarWinds, Colonial Pipeline ou JBS destacam o papel crítico da segurança cibernética na proteção da infraestrutura e da economia. Atrasos na resposta a incidentes podem afetar diretamente milhares de pessoas devido a dados pessoais vazados, danos à infraestrutura, interrupções nos negócios e muito mais.

Com o crescente número de ataques em larga escala, as organizações de todos os setores, e especialmente aquelas que atendem às necessidades críticas, devem se preparar melhor.

As soluções atuais de gerenciamento de informações de segurança e eventos(SIEM)são tipicamente projetadas para registrar atividades e aplicar um conjunto de regras a esses logs criados por profissionais de segurança para extrair informações que devem ser alertadas dentro de uma organização.

A análise de log tenta identificar a cadeia de atividade de um invasor (uma “cadeia de mortes“) que pode levar à injeção de malware ou outras ações maliciosas. O software SIEM geralmente inclui dashboards que mostram aos gerentes telemetria bruta por região ou eventos registrados ao longo do tempo.

O desafio para as soluções do SIEM é superar o atraso necessário para realizar a análise forense de troncos e extrair padrões de grandes volumes de telemetria agregada. Esse atraso dificulta a ção dos profissionais de segurança e a mitigação das cadeias de mortes emergentes. Embora essas soluções façam um bom trabalho de monitoramento de vetores de ataque, elas ficam aquém na identificação de ameaças emergentes em tempo real.

Publicações Relacionadas

Uma técnica de software chamada computação na memória pode ser apenas a resposta para este problema. Muitas soluções SIEM mantêm agentes para nódulos (como estações de trabalho, servidores, roteadores e switches) dentro da infraestrutura de TI de uma organização para relatar eventos suspeitos que poderiam sinalizar uma ameaça.

Em vez de apenas exibir esses eventos em um painel e adicioná-los a um log para análise offline, a tecnologia de computação na memória pode rastrear eventos recebidos com informações contextuais e reagir dentro de milissegundos a ameaças potenciais. Isso acelera a detecção de cadeias de mortes cibernéticas e oferece o potencial de interrompê-las em tempo real.

Usando a computação na memória, o software SIEM pode criar uma construção de software chamada RTDT (Digital Twin) em tempo real para cada agente que envia mensagens de evento para relatar possíveis invasões dentro de uma infraestrutura de rede. Cada gêmeo digital pode incorporar informações em evolução sobre o estado do nó de rede associado para ajudar a analisar as mensagens recebidas e atualizar esses dados do estado ao longo do tempo. Cada RTDT pode executar continuamente um algoritmo de aprendizagem de máquina para classificar as atividades detectadas e alertas de sinal para os gerentes quando uma ameaça é prevista.

Como eles mantêm informações estaduais sobre os nódulos de rede, os RTDTs mudam o foco do aplicativo de rastrear fluxos de dados recebidos para rastrear o estado dinâmico da própria rede. O efeito líquido é que os profissionais de cibersegurança podem desenvolver uma compreensão significativamente mais profunda de uma potencial ameaça cibernética, e eles podem tomar medidas mais rápidas e eficazes quando necessário.

Os RTDTs também podem ajudar a detectar cadeias de morte à medida que emergem. Se um RTDT detectar uma ameaça potencial em uma conexão de saída para outro nó na rede, ele pode enviar uma mensagem para o RTDT desse nó para ajudar na detecção de uma cadeia de morte. Ao enviar mensagens entre RTDTs, eles podem rastrear a progressão de um intruso dentro de uma rede, construir um mapa em tempo real de potenciais cadeias de morte e possivelmente se adiantar a um intruso para bloquear ameaças.

As técnicas atuais do SIEM que exigem análise de log para detectar problemas cibernéticos após o ocorrido não podem responder rápido o suficiente para interromper um ataque em andamento, e as consequências da ação atrasada podem ser severas. Novas tecnologias, como a computação na memória com gêmeos digitais em tempo real, oferecem uma nova ferramenta para detectar e parar ataques cibernéticos, bem como mitigar seus efeitos.

você pode gostar também