6 casos de uso de segurança de rede

Estatísticas de segurança de rede revelam que ataques cibernéticos afetaram mais de 350 milhões de pessoas nos EUA. Neste artigo, exploramos casos de uso e exemplos reais de segurança de rede, desde a detecção de ameaças internas até o gerenciamento de acesso privilegiado.

Para mais informações sobre segurança de rede:

• Saiba quais tecnologias eles poderiam usar para prevenir vetores de ataques cibernéticos .
• Avalie o software de segurança de rede com base em casos de uso realistas.

1. Detecção e prevenção automatizadas de ameaças internas

As soluções de detecção e prevenção de ameaças internas identificam quem tem acesso legítimo à rede e quem o utiliza para prejudicar a organização.

Desafios empresariais

• Identificando agentes internos maliciosos: Agentes internos maliciosos são responsáveis por cerca de 40% de todos os incidentes de segurança relatados. ¹ É difícil para os sistemas de segurança distinguir entre atividades legítimas e maliciosas, uma vez que esses agentes maliciosos já possuem acesso interno aos sistemas e dados da organização.
• Comportamento dinâmico do usuário : O comportamento do usuário pode mudar frequentemente com base em tarefas de trabalho, projetos ou fatores pessoais, o que dificulta a detecção de anomalias. Organizações com centenas de fluxos de trabalho podem não exibir as atividades do usuário enquanto respondem a incidentes de segurança.

Como a detecção e prevenção automatizadas de ameaças internas ajudam

Sistemas de detecção de ameaças internas (como ferramentas IPS ) podem identificar alterações nos dados do usuário e enviar alertas ou exibir informações gráficas para as equipes de segurança, permitindo que as organizações estejam cientes da atividade em sua rede.

Leia mais: Segurança de redes com IA .

Estudo de caso: Netskope

A Netskope é uma empresa global de cibersegurança que atende a mais de 2.000 clientes.

Desafios

A Netskope tinha como objetivo obter informações precisas sobre as atividades dos usuários que pudessem indicar ameaças internas de alto risco.

• Falta de automação na resposta a ameaças internas: a Netskope utilizava uma técnica manual que exigia pelo menos cinco funcionários, 10 ferramentas e 90 minutos de trabalho para responder a cada consulta de segurança.
• Falta de informações sobre o comportamento do usuário: A Netskope precisava de informações precisas e em tempo real sobre as ações do usuário (por exemplo, clicar em um link, criar uma conta) que pudessem indicar ameaças internas.

Soluções e resultados

A Netskope implementou um sistema de gerenciamento de informações e eventos de segurança (SIEM) para análise de dados em tempo real, proporcionando visibilidade do comportamento de ameaças internas.

• Detecção de ameaças internas: A Netskope detectou vazamentos de dados internos precocemente, automatizando mais de 200 operações diárias de fluxo de trabalho.
• Maior visibilidade da rede : A implementação do SIEM ajudou a Netskope a avaliar dados históricos de informações internas e rastrear a atividade do usuário durante investigações de ameaças internas.
• Monitoramento de dados: A Netskope aproveitou o recurso de gerenciamento de conteúdo do SIEM em nuvem para identificar downloads de dados. Isso permite que a Netskope visualize tentativas maliciosas de troca de dados com funcionários ou concorrentes. ²

2. Gerenciamento centralizado de logs

O gerenciamento de logs é crucial em diversas funções de TI e de negócios, fornecendo informações valiosas e possibilitando vários casos de uso, incluindo detecção de ameaças, inteligência de negócios e monitoramento de rede.

Desafios empresariais

• Volume: Grandes sistemas de TI geram uma grande quantidade de dados de registro, o que dificulta sua manutenção e avaliação manual.
• Complexidade: Os registros são criados a partir de muitas fontes e formatos, o que torna difícil agregá-los e analisá-los.
• Segurança: Os registros incluem informações importantes, como senhas de usuários e arquitetura de rede, portanto, precisam ser protegidos contra uso não autorizado.

Como o gerenciamento centralizado de logs ajuda

O gerenciamento de logs permite análises simplificadas e correlação de segurança. Centralizar seus logs pode ajudar a melhorar o tempo médio de detecção (MTTD) e o tempo médio de resolução (MTTR) para bugs de aplicativos e violações de segurança.

Estudo de caso: LaBella Associates

A LaBella Associates é uma empresa de engenharia de serviço completo com sede em Nova York, com mais de 1.500 arquitetos e funcionários atuando em 30 localidades.

Desafios

• Falta de visibilidade dos dados: A LaBella precisava de um sistema de gerenciamento de logs para monitorar seus servidores de arquivos sensíveis, gerar relatórios de histórico de acesso e dar suporte a investigações forenses em casos de violação de dados.
• Falta de visibilidade dos registros: O gerente da LaBella Associates afirmou que eles precisavam de uma solução que mantivesse registros da atividade do sistema de arquivos e monitorasse as atividades de login e logout do usuário para detectar anomalias.
  
• Pesquisas manuais de atividades de login: O gerente da LaBella Associates afirmou que, para monitorar o sistema de arquivos ou as atividades de login, eles precisavam visitar cada servidor de arquivos e verificar manualmente os registros, o que consumia muito tempo.

Soluções e resultados

A LaBella Associates implementou uma solução de gerenciamento de informações e eventos de segurança (SIEM) com recursos de gerenciamento de logs para controlar os registros em todos os domínios.

• Gerenciamento robusto de logs: a equipe de segurança de TI da LaBella Associates conseguiu obter informações sobre quem registrou logs em servidores de arquivos críticos para realizar análises forenses de logs quando ocorreu uma violação de segurança.
  
• Gestão eficaz de acessos: A LaBella Associates poderia expor modificações ilícitas nas políticas de grupo feitas por funcionários e contratados com acesso à rede interna. Leia mais: Gestão de políticas de segurança de rede .
• Segurança de domínio aprimorada: A empresa identificou registros editados ou adulterados no controlador de domínio.
  
• Simplificação das investigações de registros: A LaBella Associates eliminou o procedimento trabalhoso de identificar e determinar quem realizou alterações na composição do grupo. ³

3. Detecção de acesso anormal do usuário

A detecção de acessos anômalos de usuários, também conhecida como detecção de acessos atípicos, consiste na identificação de pontos de dados de acesso que se desviam do padrão normal ou esperado, tornando-os inconsistentes com o restante do conjunto de dados. Estatísticas de segurança de rede revelam que cerca de 70% dos ataques cibernéticos contra empresas começam com credenciais comprometidas. Portanto, avaliar o comportamento do usuário é crucial.

Desafios empresariais

• Alto volume e variedade de dados : Grandes volumes de dados provenientes de diversas fontes (logs da web, logs de aplicativos, tráfego de rede, etc.) precisam ser processados e analisados.
  
• Fluxos de dados em tempo real : Detectar anomalias ou padrões em tempo real exige alta capacidade de processamento e algoritmos eficientes. Organizações que não possuem automação podem ignorar pontos de dados de acesso atípicos em seus fluxos de trabalho.
  
• Interações complexas do usuário : Os usuários interagem com os sistemas de maneiras complexas, difíceis de modelar e prever. Isso torna as anomalias incomuns e difíceis de detectar.

Como a detecção de acesso anormal do usuário ajuda

As ferramentas de resposta a incidentes podem identificar possíveis violações de segurança por parte dos usuários, analisando tentativas de login malsucedidas.

Figura 1: Detecção de acesso anormal de usuários em um conjunto de dados

Fonte: Splunk ⁴

Estudo de caso: Uma empresa líder no setor de mídia

Uma importante empresa de mídia busca detectar anomalias para proteger informações sensíveis dos vetores de ataque cibernético mais comuns em conjuntos de dados de diversas empresas.

Desafios

• Alto risco de terceiros: A dependência da empresa em fornecedores terceirizados para serviços aumenta as vulnerabilidades de segurança.
  
• Ameaças internas : A empresa enfrentou desafios únicos relacionados a ameaças internas devido aos funcionários da área de mídia que precisavam acessar informações e tecnologias sensíveis.

Soluções e resultados

A empresa de mídia implementou um software de análise de comportamento de usuários e entidades (UEBA) para detectar anomalias, comparando o comportamento atual com os padrões de referência estabelecidos.

• Análise de comportamento de usuários e entidades (UEBA): A empresa utilizou a UEBA para detectar atividades suspeitas em tempo real e identificar anomalias no comportamento do usuário que possam indicar riscos de segurança.
  
• Visibilidade de rede aprimorada : A empresa obteve uma melhor compreensão de sua postura de segurança por meio do monitoramento e análise do comportamento do usuário, do tráfego de rede e das atividades do sistema.
  
• Prevenção avançada de ameaças: A equipe de segurança da empresa monitorava comportamentos incomuns e anomalias, detectando e alertando sobre ataques direcionados e identificando ameaças sofisticadas, como malware . ⁵

4. Gestão de identidade baseada na nuvem

A segurança de aplicações baseadas na nuvem é uma abordagem para proteger aplicações hospedadas em ambientes de nuvem contra potenciais ameaças e vulnerabilidades de segurança.

Desafios empresariais

• Falta de visibilidade: Organizações com Diversos serviços em nuvem são acessíveis fora das redes corporativas e por meio de terceiros, o que pode levar à perda de controle sobre quem tem acesso aos seus dados.
  
• Multilocação: Empresas com múltiplas infraestruturas de clientes armazenadas em ambientes de nuvem pública são mais vulneráveis a ataques maliciosos, uma vez que as infraestruturas dos clientes podem infectar seus serviços hospedados como um dano secundário.
  
• Gestão de acesso e TI paralela: Organizações que permitem acesso irrestrito a serviços em nuvem a partir de qualquer dispositivo ou local podem perder o controle sobre os pontos de acesso em ambientes de nuvem. Por exemplo, organizações com sistemas de TI implantados por terceiros terão pouco controle sobre o gerenciamento de acesso aos dispositivos. Isso aumentará a TI paralela e poderá permitir que invasores contornem as limitações da rede.
  
• Conformidade: Organizações que não monitoram e registram ativamente a segurança na nuvem enfrentam riscos consideráveis de governança e conformidade ao lidar com dados de clientes.

Como o gerenciamento de identidade baseado em nuvem ajuda

• Configurações de segurança flexíveis : As plataformas em nuvem permitem configurações de segurança flexíveis que podem ser ajustadas rapidamente conforme as necessidades mudam. Por exemplo, as equipes de segurança podem ajustar dinamicamente as regras do firewall com base em informações sobre ameaças em tempo real. Saiba mais: Plataformas de inteligência contra ameaças .
• Atualizações de segurança regulares : Os provedores de segurança em nuvem (CSPs) atualizam regularmente a infraestrutura organizacional para proteger contra as ameaças mais recentes. Por exemplo, os CSPs podem executar a aplicação automática de patches na infraestrutura de nuvem para mitigar vulnerabilidades conhecidas.
  
• Recursos avançados de segurança : Os provedores de serviços em nuvem (CSPs) oferecem recursos avançados de segurança, como criptografia, gerenciamento de identidade e acesso (IAM) e detecção de ameaças, que podem ser difíceis de implementar em infraestruturas locais. Isso pode ajudar as organizações a usar serviços de criptografia integrados para proteger dados em repouso e em trânsito. Por exemplo, as equipes de segurança podem usar o IAM para simplificar o acesso do usuário, permitindo que um único conjunto de credenciais acesse vários aplicativos (funcionários usando suas credenciais de login corporativas para acessar e-mail, sistemas de RH e ferramentas de gerenciamento de projetos, etc.).
• Redução de despesas de capital : Ao aproveitar os serviços em nuvem, as organizações podem reduzir as despesas de capital associadas à compra e manutenção de hardware de segurança local. Por exemplo, as organizações podem usar firewalls e gateways de segurança baseados em nuvem em vez de investir em hardware físico caro.

Estudo de caso: B. Braun

A B. Braun é uma empresa de saúde com sede na Alemanha e mais de 60.000 funcionários. A empresa tinha como objetivo aprimorar a segurança, garantir a conformidade e gerenciar o acesso a dados confiáveis em um ambiente de TI híbrido.

Desafios

• A alta rotatividade de funcionários causa uma gestão de acesso complexa: o cenário de funcionários da B. Brauons está em constante mudança devido a alterações de função, rotatividade e novas contratações.
  
• Manipulação manual de dados: Os processos manuais da B. Braun tornavam a criação e exclusão de contas de usuário mais lentas. Isso aumentava o risco de acesso não autorizado aos dados e de descumprimento das normas de segurança de dados .
  
• Transformação digital: A B. Braun buscava um sistema de gerenciamento de identidade para promover a transformação digital. Assim, a empresa precisava de uma solução que se comunicasse com a infraestrutura local e com serviços em nuvem, como o Office 365.

Soluções e resultados

Na Alemanha, a B. Braun automatizou a identificação e o gerenciamento de acesso para melhorar a segurança.

• Garantia de acesso adequado para as pessoas certas: A B. Braund utilizou a criação e o encerramento automatizados de contas. Por exemplo, imagine o departamento de RH inserindo informações de novos funcionários (nome, cargo, departamento, data de início). A solução IAM ajudou a empresa a criar automaticamente contas de usuário para os novos funcionários em diversos sistemas, como Active Directory (AD), sistema de e-mail e armazenamento de arquivos.
  
• Controle de acesso aprimorado: A implementação melhorou a conformidade com as regras de segurança de dados, reduzindo o risco de uso não autorizado. Por exemplo, o sistema IAM atribuiu ao usuário uma função com base em sua área de atuação dentro do departamento financeiro:
  
  • Gerente financeiro : Acesso completo a todos os relatórios financeiros, transações e funções administrativas.
  • Contador : Acesso aos registros de transações diárias, mas não às configurações administrativas.
• Notificações digitais de acesso do usuário: A B. Braun conectou sua infraestrutura local com serviços em nuvem como o Office 365. Os funcionários passaram a compreender o status de acesso às suas solicitações. ⁶
  

5. Monitoramento e análise de tráfego de rede malicioso

A análise e o monitoramento do tráfego de rede malicioso podem ajudar as empresas a identificar atividades anormais ou suspeitas no tráfego de rede, que podem indicar uma ameaça ou ataque à segurança.

Desafios empresariais

• Complexidade e volume de dados : Os dados de tráfego de rede podem ser massivos, compreendendo milhões de pacotes e conexões por minuto. Analisar essa vasta quantidade de dados em tempo real ou quase em tempo real exige algoritmos de detecção e infraestrutura escaláveis e eficientes.
• Variabilidade nos padrões de tráfego : Os padrões legítimos de tráfego de rede podem variar bastante dependendo da hora do dia, do comportamento do usuário e do uso do aplicativo. Distinguir entre variações normais e padrões genuinamente maliciosos requer técnicas sofisticadas de detecção de anomalias.
• Criptografia e preocupações com a privacidade : O uso crescente de criptografia (por exemplo, HTTPS, TLS) nas comunicações de rede obscurece o conteúdo dos pacotes, dificultando a inspeção do tráfego em busca de cargas ou padrões maliciosos.

Como o monitoramento e a análise de tráfego de rede malicioso podem ajudar

Recursos de monitoramento e análise de tráfego de rede malicioso podem identificar rapidamente comportamentos anormais ou suspeitos no tráfego de rede. As organizações podem usar ferramentas de auditoria de segurança de rede ou ferramentas de monitoramento de rede que podem identificar picos no tráfego de rede ou de portas. Esses sistemas podem:

• Monitore a segurança da rede para detectar possíveis exfiltrações de dados.
• Analise as comunicações por procuração para identificar valores discrepantes.
• Detectar vetores de ataque, incluindo ataques de negação de serviço distribuídos (DDoS), atividades de botnets e malware.

Estudo de caso: Micron21

A Micron21 é uma distribuidora de equipamentos para data centers localizada em Melbourne.

Desafios

• Rede e largura de banda massivas: À medida que a rede da Micron21 crescia e a quantidade de largura de banda utilizada aumentava, tornava-se cada vez mais difícil avaliar e categorizar os padrões de tráfego.
• Fontes de dados fragmentadas : Os dados da Micron21 estão dispersos por vários sistemas, departamentos e plataformas, dificultando a obtenção de uma visão unificada.

Soluções e resultados

A Micron21 implementou uma solução de segurança de rede para monitorar sua rede.

• Análise de tráfego de rede: A Micron21 começou a analisar históricos de eventos, registros de tráfego e dados analíticos acessíveis.
• Monitoramento de rede baseado em grupos de IP: o Micron 21 permite que os clientes façam login e examinem o tráfego dentro de seu grupo de IP, fornecendo métricas de rede para o tráfego que passa pelo intervalo de IP do cliente. ⁷

6. Gestão de acesso privilegiado

O gerenciamento de acesso privilegiado (PAM, na sigla em inglês) refere-se às práticas e tecnologias utilizadas pelas organizações para proteger e controlar o acesso a contas privilegiadas, que possuem permissões e privilégios de acesso elevados dentro de sistemas e redes de TI.

Desafios empresariais

• Grande volume de contas: As organizações podem manter dezenas ou até mesmo centenas de contas privilegiadas para permitir que os administradores executem tarefas críticas. Essas credenciais privilegiadas representam um risco de segurança significativo, pois podem ser exploradas por seus proprietários ou sequestradas por invasores devido à falta de controle de acesso e visibilidade.
  • Controle de acesso : Garantir que apenas usuários autorizados tenham acesso a contas privilegiadas e que esses usuários possuam o nível mínimo de acesso necessário para suas funções.
  • Visibilidade : Manter o controle de todas as contas privilegiadas, incluindo aquelas criadas por padrão, manualmente ou por aplicativos.
• Provisionamento e desprovisionamento de acesso: Sem fluxos de trabalho automatizados ou uma solução de gerenciamento de acesso privilegiado (PAM), as organizações terão dificuldades em garantir o provisionamento e o desprovisionamento oportunos de contas privilegiadas para evitar acessos não autorizados.

Como a atribuição de avaliações de contas privilegiadas ajuda

A atribuição de permissões privilegiadas para usuários, processos de negócios e sistemas pode otimizar os controles de acesso. Isso garantirá o princípio do menor privilégio e limitará os direitos de acesso dos usuários ao mínimo absoluto, mitigando os danos causados por ameaças externas e internas.

Leia mais: Exemplos de RBAC .

Estudo de caso: Uma empresa regional de saúde

Uma empresa regional de assistência médica com mais de 8.000 funcionários na Califórnia.

Desafios

• Acúmulo e concessão excessiva de privilégios: À medida que os funcionários das empresas expandem suas funções, assumem novas responsabilidades e privilégios, mantendo o acesso aos anteriores. Isso causa um acúmulo excessivo de privilégios herdados.
• Informações inconsistentes e desatualizadas sobre usuários, contas, ativos e credenciais: A empresa possuía diversas portas de entrada para invasores, incluindo ex-funcionários que ainda têm acesso a contas corporativas.

Soluções e resultados

A organização implementou uma ferramenta de gerenciamento de acesso privilegiado (PAM) e auditou as conexões Secure Shell (SSH) entre ambientes UNIX e Linux para aprimorar os controles de acesso do usuário.

• Controles robustos de acesso privilegiado: A implementação simplificou a execução de mudanças complexas de funções, como desabilitar o acesso quando indivíduos com privilégios deixam a empresa.
• Regras baseadas em políticas: A empresa criou regras que permitiam o acesso a contas privilegiadas com base em políticas.
• Gerenciamento de sessões privilegiadas (PSM): A empresa verificava automaticamente as credenciais privilegiadas em um local seguro e auditava todas as sessões. ⁸

Software essencial de cibersegurança para manter processos de negócios seguros.

• Ferramentas de microsegmentação: Segmentam uma rede em formas granulares e aplicam políticas de segurança com base em cada zona da rede.
• Ferramentas de auditoria de segurança de rede : Identificam vulnerabilidades e comportamentos maliciosos para auxiliar empresas na mitigação de ataques cibernéticos.
• Fornecedores de DSPM : Permitem obter informações sobre a localização de dados sensíveis, níveis de acesso e uso em toda a nuvem.
• Soluções de gerenciamento de políticas de segurança de rede (NSPM): Desenvolver políticas e procedimentos para proteger a rede e os dados de uma organização contra acesso, uso, divulgação e interrupção ilegais.
• Software SDP : Oculta a infraestrutura conectada à Internet (servidores, roteadores, etc.) para que terceiros e invasores não possam vê-la, esteja ela hospedada localmente ou na nuvem.
• Software de auditoria de firewall : fornece visibilidade do acesso e das conexões atuais do seu firewall.
• Analisadores de tráfego de rede (NTA) : Coletam e analisam dados de fluxo de rede para fornecer informações sobre o volume de tráfego, o tipo de tráfego e o desempenho dos dispositivos de rede.

Links de referência

1.

Tessian is Now Proofpoint | Proofpoint US

Proofpoint

2.

Automatizando o monitoramento de ameaças internas

3.

LaBella leverages Log360 to enhance its security posture

4.

5.

Empresa Líder de Mídia

6.

7.

Securing Datacenter Using NetFlow Analyzer - A case study

8.

Cem Dilmegani

Analista Principal

Siga-nos

Cem é o analista principal da AIMultiple desde 2017. A AIMultiple fornece informações para centenas de milhares de empresas (segundo o SimilarWeb), incluindo 55% das empresas da Fortune 500, todos os meses. O trabalho de Cem foi citado por importantes publicações globais, como Business Insider, Forbes e Washington Post, além de empresas globais como Deloitte e HPE, ONGs como o Fórum Econômico Mundial e organizações supranacionais como a Comissão Europeia. Você pode ver mais empresas e recursos renomados que mencionaram a AIMultiple. Ao longo de sua carreira, Cem atuou como consultor de tecnologia, comprador de tecnologia e empreendedor na área. Ele assessorou empresas em suas decisões tecnológicas na McKinsey & Company e na Altman Solon por mais de uma década. Também publicou um relatório da McKinsey sobre digitalização. Liderou a estratégia de tecnologia e a área de compras de uma empresa de telecomunicações, reportando-se diretamente ao CEO. Além disso, liderou o crescimento comercial da empresa de tecnologia avançada Hypatos, que atingiu uma receita recorrente anual de sete dígitos e uma avaliação de nove dígitos, partindo de zero, em apenas dois anos. O trabalho de Cem no Hypatos foi noticiado por importantes publicações de tecnologia, como TechCrunch e Business Insider. Cem participa regularmente como palestrante em conferências internacionais de tecnologia. Ele se formou em engenharia da computação pela Universidade Bogazici e possui um MBA pela Columbia Business School.

Ver perfil completo

Seja o primeiro a comentar

Seu endereço de e-mail não será publicado. Todos os campos são obrigatórios.

Nome

Endereço de email

Comentário

0/450

Postar comentário