Escrito por: Kela
Para estabelecer e manter normas sólidas de cibersegurança e proteção de dados sensíveis, o Quadro de Cibersegurança do NIST (NSF) tornou-se omnipresente. O NSF descreve cinco funções-chave para apoiar as organizações na compreensão, gestão e redução do risco de cibersegurança - Identificar, Proteger, Detetar, Responder e Recuperar.
Neste artigo, vamos analisar mais detalhadamente cada uma das cinco funções e com a Cyber Threat Intelligence (CTI) , em linha com a estrutura do NIST, pode apoiar o cumprimento e a superação da conformidade regulamentar.
A inteligência contra ameaças cibernéticas estabeleceu-se como um elemento-chave da resiliência organizacional, apoiando as organizações no estabelecimento de defesas cibernéticas proactivas antes de uma ameaça, melhorando a gestão do risco, o planeamento e a resposta a incidentes, e aumentando a sensibilização dos funcionários para o cenário de risco.
Quando se trata de garantir a conformidade regulamentar, a CTI é uma ferramenta poderosa. As plataformas de Threat Intelligence reúnem dados de diversas fontes, aumentando a capacidade de uma organização para responder rápida e eficazmente a incidentes. Esta capacidade suporta uma preparação abrangente, assegurando que as organizações podem reunir e atualizar rapidamente as suas estratégias de resposta a incidentes, conforme necessário. A CTI ajuda a manter um nível de preparação, o que é crucial para navegar sem problemas nas auditorias e garantir a conformidade com as normas regulamentares.
Considerando cada função do NIST individualmente, eis como a CTI pode fazer toda a diferença.
Qual é o risco de cibersegurança para os sistemas, pessoas, activos, dados e capacidades?
Nesta etapa fundamental da estrutura do NIST, as organizações identificam todos os activos físicos e de software no seu ambiente, talvez estabelecendo um programa de gestão de activos ou criando políticas de cibersegurança para reger a sua utilização. É provável que utilizem esta visibilidade para criar uma estratégia de gestão de riscos para toda a organização.
A verdade é que não se pode proteger o que não se pode ver, e a ignorância não é uma desculpa se não estiver a cumprir a conformidade regulamentar. Todas as organizações têm a responsabilidade de visualizar toda a sua infraestrutura e de saber o que está dentro de casa.
O papel da CTI na melhoria das capacidades de identificação de ameaças
Na sua forma moderna, uma plataforma de CTI é uma ferramenta sofisticada que aumenta a visibilidade de uma vasta gama de riscos empresariais. A CTI permite que as organizações actuem antecipadamente para descobrir potenciais ameaças antes que estas possam prejudicar o negócio. A CTI apoia as empresas com:
Até que ponto pode limitar ou conter o impacto de eventos de cibersegurança e implementar salvaguardas para serviços críticos?
A fase seguinte do quadro centra-se no controlo do acesso e na resiliência da sua infraestrutura, para proteger o que foi descoberto na primeira fase. As organizações precisam de gerir os seus activos críticos para reduzir a probabilidade de um ataque passar pelas defesas e para garantir que os sistemas e activos podem permanecer em linha ou protegidos mesmo que ocorra um ataque. As equipas de segurança implementam frequentemente protecções de segurança dos dados para proteger a privacidade, a integridade e a disponibilidade.
Um número crescente de regulamentos de privacidade, desde a CCPA ao GDPR e outros, exigem a proteção de informações de identificação pessoal (PII), e a pressão regulamentar só aumenta.
O papel da CTI na melhoria das medidas de proteção
A CTI aumenta a eficácia das medidas de proteção, fornecendo informações preditivas sobre potenciais ciberameaças e tácticas em evolução no ecossistema do cibercrime, incluindo técnicas como:
Consegue identificar rapidamente uma ameaça à cibersegurança?
Quando ocorre um ataque, o tempo de permanência é uma métrica importante que está relacionada com o impacto comercial. Quanto mais rápido conseguir descobrir uma ameaça, melhor, pois o tempo de permanência tem um impacto direto na gravidade das consequências para a empresa. Esta fase da estrutura implica a implementação de sistemas de monitorização contínua, para que possa detetar anomalias e eventos de segurança logo que estes ocorram, avaliar o seu impacto em tempo real e verificar a eficácia das medidas de proteção.
Os reguladores de conformidade reconhecem que nem todos os ataques podem ser impedidos antes de ocorrerem - e irão analisar a forma como reage quando o pior acontece. Pense em como vai identificar um ataque nas fases iniciais e consiga obter as informações necessárias para agir de forma adequada.
O papel da CTI no reforço das capacidades de deteção
A Cyber Threat Intelligence (CTI) melhora consideravelmente a capacidade de uma organização para detetar violações de forma rápida e precisa, muitas vezes antes de serem infligidos danos significativos. Eis como a CTI contribui para reforçar as capacidades de deteção:
Como é que vai minimizar o impacto de uma ameaça à segurança?
Durante um ciberataque, é fundamental uma resposta rápida e informada. Isto inclui aperfeiçoar os processos de gestão de incidentes, análise, comunicação, elaboração de relatórios e mitigação. Uma das melhores formas de se preparar antecipadamente para um incidente é realizar sessões de planeamento de resposta robustas, nas quais são codificados manuais e directrizes que podem ser postos em prática se ocorrer um ataque. De acordo com o NIST, a fase de resposta centra-se no desenvolvimento e na implementação de actividades adequadas que têm de ser realizadas quando um incidente é detectado. É onde estes planos de resposta são executados e também abrange a forma como as comunicações são geridas, tanto durante como após a ocorrência de um evento, tudo ao serviço da mitigação do risco ativo para a organização e da contenção do impacto de um ataque de cibersegurança. Após o ataque, ao analisar a eficácia da resposta a incidentes, as equipas de segurança podem reforçar as defesas e colmatar eventuais lacunas, bem como apoiar os seus requisitos de comunicação e ajudar a cumprir os mandatos de conformidade.
Uma compreensão completa das circunstâncias que levaram a uma violação só pode ajudar a minimizar o seu impacto. A CTI ajuda a organização a identificar rapidamente a natureza de um ataque e onde e como ele se originou, oferecendo até mesmo valor agregado, como a remoção de quedas de banco de dados descobertas antes que um vazamento possa ocorrer ou a identificação de credenciais comprometidas para evitar o roubo de identidade.
O papel da CTI no aprimoramento da resposta e correção de incidentes
A CTI é parte integrante da fase de Resposta, onde as suas capacidades de inteligência em tempo real transformam a forma como as organizações lidam e recuperam de incidentes de segurança:
Consegue restaurar os serviços afectados e manter a resiliência no futuro?
Quando há um ataque, é como estar numa corrida contra o tempo. É por isso que o planeamento de recuperação é um elemento tão importante da resiliência da cibersegurança. Quando esta fase da estrutura do NIST tiver sido implementada eficazmente, uma organização terá um planeamento e procedimentos de recuperação específicos para recuperar rapidamente antes de um ataque causar danos, e uma estratégia para reiterar os seus processos de segurança com base nas lições aprendidas.
Acredite ou não, os ataques repetidos não são invulgares - acontecem na maioria dos casos. 67% das empresas que sofreram uma violação, sofreram outra no espaço de 12 meses. Atualizar a sua postura através da conformidade com directrizes como o NIST é uma forma de garantir que está entre os 33%.
O papel da CTI na melhoria dos processos de recuperação
A CTI desempenha um papel vital no processo de recuperação, fornecendo informações que apoiam uma restauração eficaz e processos organizacionais à prova de futuro...
A implementação das melhores práticas através da estrutura de segurança cibernética da NIST é uma abordagem padronizada para proteger a infraestrutura crítica contra ataques, salvaguardar informações confidenciais e reduzir o risco de interrupção dos negócios no caso de uma ameaça ativa.
Ao utilizar a Cyber Threat Intelligence no seu ambiente, pode abranger todas as fases da estrutura, descobrindo o risco antecipadamente com total visibilidade e inteligência profunda, evitando o impacto material nos seus dados e serviços críticos e corrigindo uma violação no seu ambiente no prazo mais rápido possível - e com o menor impacto na continuidade do negócio.
Post original aqui.