Segundo um estudo recente conduzido pela Clark School na Universidade de Maryland, computadores com conexão com a Internet são alvos de hackers em média a cada 39 segundos.
Em outro relatório, da Ponemon, cerca de 38% desses ataques maliciosos podem ser atribuídos a um funcionário ou contratado, enquanto o restante pode ser atribuído a ameaças externas iniciadas por hackers e cibercriminosos organizados.
Os invasores quase sempre são mais rápidos do que os defensores Em seguida, para superar as metas de tempo de resposta definidas pela maioria das organizações, os ataques são rápidos e podem fazer isso com intensidade e volume surpreendentes, devido aos investimentos e inovações contínuos feitos pelos agentes de ameaças.
Como resultado, o tempo médio que leva para um invasor violar um sistema e escalar privilégios atualmente é de pouco mais de 4 horas e meia, com algumas comunidades de hackers russos regularmente chegando a menos de 20 minutos.
Ao mesmo tempo, o objetivo de muitos defensores é remover uma violação dentro de 8 a computadores com conexão com a Internet são alvos de hackers em média a cada 39 segundos. o custo médio de uma violação de dados bem-sucedida em 2018 resultante de apenas um desses ataques foi de 1,24 milhão US$ no Brasil a 7,91 milhões US$ nos EUA. USD 12 horas.
No entanto, o tempo médio de contenção é na verdade mais próximo de cinco dias. E isso é depois da detecção. O tempo de detecção, segundo a IBM, é de mais 197 dias. Até mesmo os cibercriminosos independentes que não têm os mesmos recursos do crime organizado podem aproveitar o malware como serviço e o aprendizado de máquina para automatizar e acelerar suas campanhas de ameaças.
Muitas dessas soluções “como serviço” disponíveis na Dark Web por uma taxa são altamente adaptáveis e eficazes devido a coisas como polimorfismo baseado em máquina e o uso de explorações para contornar os controles de segurança atualizados. Juntamente com o fato de que os autores de malware adotaram o desenvolvimento Agile para criar malware de última geração com uma eficiência ainda maior, parece claro que a maioria das organizações esteja perdendo a corrida para as ameaças externas.
Embora usuários internos maliciosos geralmente tenham um conjunto diferente de motivações, eles podem ter um efeito devastador na organização semelhante ao de qualquer agente externo, com a vantagem de já ser um usuário confiável.
Enquanto um funcionário insidioso pode estar tentando roubar propriedade intelectual ou participar de negociações privilegiadas, um funcionário insatisfeito pode se contentar em simplesmente destruir ativos valiosos, o que certamente é mais rápido e muitas vezes mais fácil do que localizar e exfiltrar dados.
Aproveitamento da tecnologia de Deception para proteção contra violação A única coisa que esses diferentes agentes têm em comum é que a conquista dos seus objetivos pode ser medida em horas ou mesmo minutos, desde o comprometimento inicial até os objetivos finais de seu ataque, por exemplo, exfiltração de dados, destruição de dados etc.
A maior parte da segurança não foi projetada para abordar violações bem-sucedidas, é por isso que a maioria das organizações só percebe que foram violadas semanas ou meses após um evento.
Isso ocorre porque mesmo as organizações que possuem algum tipo de defesa de segurança dentro do perímetro não a configuraram corretamente.
As equipes de TI que adotaram ou planejam adotar uma infraestrutura de segurança para lidar com ameaças externas e internas geralmente acabam com duas soluções de segurança completamente diferentes implementadas.
Portanto, uma vez que uma violação é descoberta, geralmente é tarde demais para fazer algo a respeito, e muito provavelmente isso acontece porque essas soluções de segurança realmente não se comunicam. A descoberta real de ameaças costuma ser inadvertida ou devido à correlação manual de logs para descobrir eventos.
E, mesmo assim, corrigir totalmente o sistema para protegê-lo contra ameaças futuras pode consumir muito tempo e recursos e, portanto, é frequentemente negligenciado por conta da limitação de recursos. Para complicar ainda mais, existe uma escassez de força de trabalho de segurança da informação no mundo todo, o que cria um impedimento para gerenciar a reação a ameaças e a infraestrutura de segurança que aumenta exponencialmente o risco de violação. Usando o FortiDeceptor para preencher as lacunas de segurança para lidar com esse desafio, a Fortinet acabou de anunciar o lançamento da nova solução FortiDeceptor.
A Deception ajuda a lidar com a abordagem dupla para a proteção contra violações descrita acima, redirecionando as ameaças externas e internas para longe dos ativos críticos. A teoria por trás da tecnologia de Deception é simples: ela explora uma rede com armadilhas disfarçadas de ativos de dados que alertam uma organização quando são acessadas.
O Deception de próxima geração difere dos honeypots baseados em detecção porque também inclui ferramentas como análise de ameaças e integração com controles de segurança para bloquear ataques de forma proativa antes que qualquer dano real possa ocorrer. A verdade é que a maioria das implantações de segurança não foi realmente projetada para lidar com ameaças que conseguiram passar pelas defesas do perímetro. A descoberta real de ameaças costuma ser inadvertida ou devido à correlação manual de logs para descobrir eventos. A tecnologia de Deception atrai os criminosos para longe de dados realmente valiosos e expõe a presença deles, muitas vezes, sem que eles saibam.
Aproveitamento da tecnologia de Deception para proteção contra violação.
Assim como com a implantação de qualquer nova tecnologia, o sucesso da adoção de uma nova solução de Deception se baseia em três coisas: primeiro, facilidade de uso; segundo, eficácia; e terceiro, capacidade de implementar a automação devido à escassez atual da força de trabalho de segurança da informação.
O FortiDeceptor oferece essas funções junto com suporte completo para as três áreas principais que qualquer tecnologia de Deception eficaz precisa abranger.
Conclusão: Em um mundo onde as chances estão muito a favor dos seus adversários cibernéticos, o FortiDeceptor iguala as condições automatizando a criação de armadilhas dinâmicas que são espalhadas por todo o ambiente de TI. Como os invasores não conseguem determinar quais ativos são falsos e quais são reais, sua vantagem de tempo é reduzida ou totalmente eliminada.
Quando não conseguem fazer essa distinção, os cibercriminosos são forçados a perder tempo com ativos falsos e, sem querer, avisam um administrador de segurança sobre sua presença. Mesmo que tomem conhecimento da Deception, os invasores precisam ter cautela imediatamente ao procurar os mecanismos de disparo embutidos no ambiente falso. Isso os obriga a alterar suas táticas de forma a aumentar suas chances de serem detectados pela equipe de segurança. No final, os invasores ficarão presos pela ilusão criada pelo FortiDeceptor ou serão forçados a abandonar seus objetivos. Qualquer um desses resultados é uma vitória para uma equipe de segurança cibernética.