|

    NIST e CTI: A combinação perfeita para conseguir uma empresa ciber-resiliente

    Para estabelecer e manter normas sólidas de cibersegurança e proteção de dados sensíveis, o Quadro de Cibersegurança do NIST (NSF) tornou-se omnipresente. O NSF descreve cinco funções-chave para apoiar as organizações na compreensão, gestão e redução do risco de cibersegurança – Identificar, Proteger, Detetar, Responder e Recuperar.

    Neste artigo, vamos analisar mais detalhadamente cada uma das cinco funções e com a Cyber Threat Intelligence (CTI) , em linha com a estrutura do NIST, pode apoiar o cumprimento e a superação da conformidade regulamentar.

    Porque é que a CTI é importante para cumprir os requisitos do NIST?

    A inteligência contra ameaças cibernéticas estabeleceu-se como um elemento-chave da resiliência organizacional, apoiando as organizações no estabelecimento de defesas cibernéticas proactivas antes de uma ameaça, melhorando a gestão do risco, o planeamento e a resposta a incidentes, e aumentando a sensibilização dos funcionários para o cenário de risco.

    Quando se trata de garantir a conformidade regulamentar, a CTI é uma ferramenta poderosa. As plataformas de Threat Intelligence reúnem dados de diversas fontes, aumentando a capacidade de uma organização para responder rápida e eficazmente a incidentes. Esta capacidade suporta uma preparação abrangente, assegurando que as organizações podem reunir e atualizar rapidamente as suas estratégias de resposta a incidentes, conforme necessário. A CTI ajuda a manter um nível de preparação, o que é crucial para navegar sem problemas nas auditorias e garantir a conformidade com as normas regulamentares.

    Considerando cada função do NIST individualmente, eis como a CTI pode fazer toda a diferença.

    Identificar (ID)

    Qual é o risco de cibersegurança para os sistemas, pessoas, activos, dados e capacidades?

    Nesta etapa fundamental da estrutura do NIST, as organizações identificam todos os activos físicos e de software no seu ambiente, talvez estabelecendo um programa de gestão de activos ou criando políticas de cibersegurança para reger a sua utilização. É provável que utilizem esta visibilidade para criar uma estratégia de gestão de riscos para toda a organização.

    A verdade é que não se pode proteger o que não se pode ver, e a ignorância não é uma desculpa se não estiver a cumprir a conformidade regulamentar. Todas as organizações têm a responsabilidade de visualizar toda a sua infraestrutura e de saber o que está dentro de casa.

    O papel da CTI na melhoria das capacidades de identificação de ameaças

    Na sua forma moderna, uma plataforma de CTI é uma ferramenta sofisticada que aumenta a visibilidade de uma vasta gama de riscos empresariais. A CTI permite que as organizações actuem antecipadamente para descobrir potenciais ameaças antes que estas possam prejudicar o negócio. A CTI apoia as empresas com:

    • Descoberta da superfície de ataque: A CTI proporciona um mapeamento detalhado da superfície de ataque de uma organização a partir da perspetiva de potenciais atacantes. Isto inclui a identificação de pontos de entrada não seguros e não geridos e vulnerabilidades – oferecendo uma visão clara do que os atacantes vêem quando olham para a organização.
    • Inteligência de vulnerabilidade: A CTI fornece monitoramento e análise contínuos de ameaças e vulnerabilidades emergentes de diversas fontes, incluindo a superfície, profunda, privada e dark web. Essa inteligência é crucial para identificar vulnerabilidades antes que elas sejam exploradas.
    • Monitorização de riscos por terceiros: Através da recolha contínua de informações, a CTI avalia a postura de segurança de fornecedores terceiros e supply chains identificando ameaças indirectas que podem afetar a organização.
    • Inteligência sobre ameaças específicas: A CTI fornece informações detalhadas sobre agentes de ameaças e campanhas específicas que visam a organização ou o sector. Isto inclui a análise das suas tácticas, técnicas e procedimentos (TTPs), ajudando a prever e a mitigar ataques direccionados.
    • Inteligência Geopolítica: A CTI fornece contexto sobre eventos geopolíticos globais e regionais que podem influenciar os cenários de ciberameaças, ajudando as organizações a antecipar e a preparar-se para ameaças específicas da região.

    Proteger (PR)

    Até que ponto pode limitar ou conter o impacto de eventos de cibersegurança e implementar salvaguardas para serviços críticos?

    A fase seguinte do quadro centra-se no controlo do acesso e na resiliência da sua infraestrutura, para proteger o que foi descoberto na primeira fase. As organizações precisam de gerir os seus activos críticos para reduzir a probabilidade de um ataque passar pelas defesas e para garantir que os sistemas e activos podem permanecer em linha ou protegidos mesmo que ocorra um ataque. As equipas de segurança implementam frequentemente protecções de segurança dos dados para proteger a privacidade, a integridade e a disponibilidade.

    Um número crescente de regulamentos de privacidade, desde a CCPA ao GDPR e outros, exigem a proteção de informações de identificação pessoal (PII), e a pressão regulamentar só aumenta.

    O papel da CTI na melhoria das medidas de proteção

    A CTI aumenta a eficácia das medidas de proteção, fornecendo informações preditivas sobre potenciais ciberameaças e tácticas em evolução no ecossistema do cibercrime, incluindo técnicas como:

    • Gestão proactiva de vulnerabilidades: A CTI identifica vulnerabilidades exploráveis a curto prazo através da monitorização de discussões em fóruns clandestinos e mercados da dark web. Essa inteligência permite que as organizações corrijam ou atenuem as vulnerabilidades antes que elas sejam exploradas por invasores, mantendo-se um passo à frente de possíveis violações.
    • Monitorização do cibercrime como serviço: O aumento das plataformas de cibercrime como serviço tornou os ciberataques sofisticados acessíveis a uma gama mais ampla de actores. A CTI monitoriza estas plataformas, fornecendo alertas precoces sobre novos serviços e ferramentas que podem ser utilizados contra a organização. Este conhecimento permite que as equipas de segurança preparem defesas específicas contra estas ameaças emergentes.
    • Deteção avançada de ameaças: A CTI melhora as capacidades de deteção de ameaças através da integração de informações sobre novos vectores de ataque e TTPs (Tácticas, Técnicas e Procedimentos) utilizados por agentes de ameaças. Esta integração garante que as tecnologias de proteção, como os sistemas de deteção de intrusões (IDS) e os sistemas de gestão de informações e eventos de segurança (SIEM), estão perfeitamente adaptadas aos cenários de ameaças actuais.
    • Desenvolvimento de políticas estratégicas de segurança: Ao tirar partido da CTI, as organizações podem desenvolver políticas e protocolos de segurança mais eficazes e informados. Esta abordagem estratégica ao desenvolvimento de políticas ajuda a garantir que as medidas de segurança são abrangentes e direcionadas para as ameaças com maior probabilidade de afetar a organização.

    Detetar (DE)

    Consegue identificar rapidamente uma ameaça à cibersegurança?

    Quando ocorre um ataque, o tempo de permanência é uma métrica importante que está relacionada com o impacto comercial. Quanto mais rápido conseguir descobrir uma ameaça, melhor, pois o tempo de permanência tem um impacto direto na gravidade das consequências para a empresa. Esta fase da estrutura implica a implementação de sistemas de monitorização contínua, para que possa detetar anomalias e eventos de segurança logo que estes ocorram, avaliar o seu impacto em tempo real e verificar a eficácia das medidas de proteção.

    Os reguladores de conformidade reconhecem que nem todos os ataques podem ser impedidos antes de ocorrerem – e irão analisar a forma como reage quando o pior acontece. Pense em como vai identificar um ataque nas fases iniciais e consiga obter as informações necessárias para agir de forma adequada.

    O papel da CTI no reforço das capacidades de deteção

    A Cyber Threat Intelligence (CTI) melhora consideravelmente a capacidade de uma organização para detetar violações de forma rápida e precisa, muitas vezes antes de serem infligidos danos significativos. Eis como a CTI contribui para reforçar as capacidades de deteção:

    • Identificação precoce de fugas de dados: A CTI monitoriza vários canais, incluindo a dark web, onde dados roubados, como informações de identificação pessoal (PII) e propriedade intelectual (IP), são frequentemente comercializados. Ao detetar essas fugas precocemente, as organizações podem iniciar medidas de contenção rápidas para mitigar o impacto e iniciar o processo de gestão de violações.
    • Deteção de acesso não autorizado a activos: A CTI rastreia a venda e o uso de ferramentas de roubo de informações e outras ferramentas que facilitam o acesso não autorizado aos ativos da organização. Esta monitorização ajuda a detetar violações que envolvem activos e sistemas críticos, permitindo uma resposta imediata para evitar danos extensos.
    • Deteção de campanhas direccionadas: A CTI fornece informações sobre campanhas direccionadas contra os executivos da organização, como o Business Email Compromise (BEC) e outros ataques de phishing especificamente concebidos para manipular ou enganar a gestão de topo. A deteção precoce destas campanhas pode evitar perdas financeiras substanciais e proteger a integridade das comunicações dos executivos.
    • Conformidade regulamentar e notificação de violações: Com regulamentos rigorosos, como o GDPR, que exigem a notificação de certos tipos de violações de dados no prazo de 72 horas, o papel da CTI na deteção imediata de violações é fundamental. A CTI permite que as organizações não só identifiquem as violações precocemente, mas também reúnam os detalhes necessários para cumprir as leis de notificação de violações de forma eficaz e dentro dos prazos exigidos.

    Responder (RS)

    Como é que vai minimizar o impacto de uma ameaça à segurança?

    Durante um ciberataque, é fundamental uma resposta rápida e informada. Isto inclui aperfeiçoar os processos de gestão de incidentes, análise, comunicação, elaboração de relatórios e mitigação. Uma das melhores formas de se preparar antecipadamente para um incidente é realizar sessões de planeamento de resposta robustas, nas quais são codificados manuais e directrizes que podem ser postos em prática se ocorrer um ataque. De acordo com o NIST, a fase de resposta centra-se no desenvolvimento e na implementação de actividades adequadas que têm de ser realizadas quando um incidente é detectado. É onde estes planos de resposta são executados e também abrange a forma como as comunicações são geridas, tanto durante como após a ocorrência de um evento, tudo ao serviço da mitigação do risco ativo para a organização e da contenção do impacto de um ataque de cibersegurança. Após o ataque, ao analisar a eficácia da resposta a incidentes, as equipas de segurança podem reforçar as defesas e colmatar eventuais lacunas, bem como apoiar os seus requisitos de comunicação e ajudar a cumprir os mandatos de conformidade.

    Uma compreensão completa das circunstâncias que levaram a uma violação só pode ajudar a minimizar o seu impacto. A CTI ajuda a organização a identificar rapidamente a natureza de um ataque e onde e como ele se originou, oferecendo até mesmo valor agregado, como a remoção de quedas de banco de dados descobertas antes que um vazamento possa ocorrer ou a identificação de credenciais comprometidas para evitar o roubo de identidade.

    O papel da CTI no aprimoramento da resposta e correção de incidentes

    A CTI é parte integrante da fase de Resposta, onde as suas capacidades de inteligência em tempo real transformam a forma como as organizações lidam e recuperam de incidentes de segurança:

    • Planeamento da remediação: As plataformas CTI modernas fornecem planos de correção estruturados que descrevem os passos obrigatórios para lidar com as ameaças identificadas. Esses planos ajudam as organizações a entender a gravidade e as implicações da ameaça, garantindo que os esforços de resposta sejam rápidos e eficazes.
    • Tomada de decisões informada: A CTI ajuda a equipa de Resposta a Incidentes (IR) e outros profissionais de segurança, ao fornecer informações detalhadas sobre a natureza do ataque. Estas informações permitem que as equipas tomem decisões informadas, reduzindo o tempo de correção e ajudando a dar prioridade aos esforços com base em informações sobre as táticas, técnicas e procedimentos específicos utilizados pelos atacantes.
    • Definição do perfil do autor da ameaça: Ao analisar e traçar o perfil dos atacantes, a CTI fornece informações sobre o seu modus operandi, ajudando a antecipar riscos futuros e a ajustar as medidas de segurança em conformidade. Compreender o comportamento dos atacantes permite que as organizações reforcem a sua postura de segurança contra ataques futuros semelhantes e ajustem os seus mecanismos de defesa estratégica para melhor se protegerem contra o cenário de ameaças em evolução.

    Recuperar (RC)

    Consegue restaurar os serviços afectados e manter a resiliência no futuro?

    Quando há um ataque, é como estar numa corrida contra o tempo. É por isso que o planeamento de recuperação é um elemento tão importante da resiliência da cibersegurança. Quando esta fase da estrutura do NIST tiver sido implementada eficazmente, uma organização terá um planeamento e procedimentos de recuperação específicos para recuperar rapidamente antes de um ataque causar danos, e uma estratégia para reiterar os seus processos de segurança com base nas lições aprendidas.

    Acredite ou não, os ataques repetidos não são invulgares – acontecem na maioria dos casos. 67% das empresas que sofreram uma violação, sofreram outra no espaço de 12 meses. Atualizar a sua postura através da conformidade com directrizes como o NIST é uma forma de garantir que está entre os 33%.

    O papel da CTI na melhoria dos processos de recuperação

    A CTI desempenha um papel vital no processo de recuperação, fornecendo informações que apoiam uma restauração eficaz e processos organizacionais à prova de futuro…

    • Análise da “causa-raiz”: A CTI contribui com informações detalhadas sobre os métodos e ferramentas dos atacantes, o que ajuda a identificar a causa principal da violação. Compreender a causa raiz é essencial para uma correção eficaz e ajuda a evitar a recorrência de incidentes semelhantes.
    • Prevenção de ataques futuros: A informação pós-incidente recolhida pela CTI é crucial para prever potenciais vectores de ataque futuros e identificar ameaças residuais. Isto inclui a integração de novos Indicadores de Comprometimento (IOCs) nos sistemas de segurança, o que melhora as capacidades de deteção e ajuda a proteger os sistemas contra ameaças semelhantes ou em evolução.
    • Monitorização e verificação contínuas: Após a gestão de uma violação inicial, as ferramentas de CTI continuam a monitorizar os sistemas da organização para verificar se a violação foi totalmente contida. Esta monitorização ajuda a garantir que não existem riscos residuais e que são evitadas fugas futuras, mantendo a integridade dos activos da organização após o incidente.

    Uma oportunidade NIST: A inteligência sobre ameaças cibernéticas é a chave para a adoção da estrutura do NIST

    A implementação das melhores práticas através da estrutura de segurança cibernética da NIST é uma abordagem padronizada para proteger a infraestrutura crítica contra ataques, salvaguardar informações confidenciais e reduzir o risco de interrupção dos negócios no caso de uma ameaça ativa.

    Ao utilizar a Cyber Threat Intelligence no seu ambiente, pode abranger todas as fases da estrutura, descobrindo o risco antecipadamente com total visibilidade e inteligência profunda, evitando o impacto material nos seus dados e serviços críticos e corrigindo uma violação no seu ambiente no prazo mais rápido possível – e com o menor impacto na continuidade do negócio.

    Post original aqui.

    CALENDARIO DE EVENTOS

    ¿Necesitas más información?


      En cumplimiento del art. 13 del Reglamento (UE) 2016/679 General de Protección de Datos, le informamos de que INGECOM IGNITION tratará sus datos personales con la finalidad de gestionar su consulta. Puede ejercer sus derechos en materia de protección de datos mediante solicitud a nuestro DPO en gdpr@ingecom.net. Puede obtener información adicional sobre el tratamiento de sus datos en nuestra política de privacidad publicada en www.ingecom.net.

      Aviso Legal

      Política de privacidad

      Cookies

      ©2024 Ingecom