Por que toda VPN precisa de um SIEM forte ao seu lado?

Publicados: 2020-08-05

As redes privadas virtuais têm sido usadas por indivíduos e organizações por quase duas décadas. Uma VPN cria um túnel seguro que permite que informações criptografadas sejam transferidas de um ponto para outro. No mundo dos negócios, possibilita que os funcionários se conectem à rede de sua organização e enviem e recebam informações com segurança. As VPNs assumiram um papel maior considerando o trabalho do ambiente doméstico em que estamos.

Não está claro por quanto tempo as pessoas trabalharão em casa. Algumas organizações já demonstraram que mesmo após a pandemia passar, terão uma parcela de sua força de trabalho trabalhando remotamente. O fato de mais pessoas trabalharem em casa chamou a atenção dos cibercriminosos. Eles veem o trabalho do ambiente doméstico como criando vulnerabilidades que podem explorar.

Índice mostrar
  • Ataques cibernéticos direcionados a VPNs
  • São necessárias mais do que apenas medidas básicas de segurança
  • Como uma plataforma SIEM pode beneficiar sua organização?
  • Como o SIEM está ajudando a mitigar os riscos de segurança em um ambiente de trabalho remoto?
  • Usando o SIEM para detectar e mitigar os danos causados ​​pela fraude do CEO
  • Usando informações coletadas do SIEM para melhorar a segurança cibernética

Ataques cibernéticos direcionados a VPNs

cibersegurança-proteção-privacidade-criptografia-segurança-senha-firewall-acesso

Citando os especialistas, Will Ellis, da Privacy Australia, viu que uma das principais maneiras pelas quais os cibercriminosos estão perpetrando seus ataques é tentando penetrar em VPNs. Como ele mencionou, “Infelizmente, em muitos casos, eles tiveram sucesso nos últimos meses. Isso levou empresas e instituições governamentais a reforçar as medidas de segurança.”

Assim que os cibercriminosos invadem a VPN e obtêm acesso à rede de uma organização, eles são como crianças em uma loja de doces. Eles podem vasculhar a rede e os serviços. À vontade, eles podem procurar vulnerabilidades, configurações incorretas e fraquezas. Não há limite para os danos que os criminosos podem causar quando têm acesso para manipular dados, destruir sistemas ou interromper dados confidenciais em trânsito.

Recomendado para você: VPN vs Proxy: Quais são as diferenças? Qual é o melhor?

São necessárias mais do que apenas medidas básicas de segurança

segurança-segurança-internet-senha-bloqueio-SIEM

A maioria das organizações já está usando as etapas básicas recomendadas para melhorar a segurança da VPN. Isso inclui exigir senhas fortes que sejam complexas, exclusivas e alteradas periodicamente. Provisionamento ou acesso de controle baseado em função significa limitar recursos por grupos. A autenticação multifator também está sendo usada para usuários privilegiados ou para aqueles que precisam acessar dados e softwares confidenciais.

A importância dessas etapas não deve ser minimizada. Uma organização se enganaria se acreditasse que essas etapas básicas fossem tudo o que era necessário para se proteger contra ataques de segurança cibernética que estão constantemente crescendo em sofisticação.

Ataques sofisticados exigem uma solução sofisticada, como uma plataforma de Gerenciamento de Informações e Eventos de Segurança. Os SIEMs são ferramentas responsáveis ​​por coletar e correlacionar os dados das ferramentas de segurança que uma organização usa, incluindo sua VPN.

Os SIEMs permitem que as informações coletadas por ferramentas de segurança separadas sejam compiladas juntas para fornecer insights sobre ameaças de segurança que podem não ser fáceis de obter ao analisar os dados separadamente. Essas plataformas podem ajudar uma organização a identificar o que são realmente eventos de alto risco e separá-los do ruído.

Por exemplo, um funcionário pode se conectar a uma VPN da cidade de Nova York. Quarenta e cinco minutos depois, esse mesmo funcionário se conecta à VPN da organização de Minneapolis, MN. Uma plataforma SIEM deve ser capaz de dizer que isso é fisicamente impossível e sinalizar isso como comportamento suspeito que precisa ser investigado.

Como uma plataforma SIEM pode beneficiar sua organização?

perigo-segurança-ameaça-cibercrime-fraude-vírus-hack

As soluções SIEM oferecem detecção de ameaças em tempo real. Eles aumentam a eficiência, reduzem custos, minimizam ameaças potenciais, melhoram a geração de relatórios e a análise de logs e impulsionam a conformidade de TI. Como as soluções SIEM podem conectar logs de eventos de vários dispositivos e aplicativos, a equipe de TI pode identificar, responder e revisar possíveis violações de segurança rapidamente. Quanto mais rápido uma ameaça de segurança cibernética for identificada, menor será o impacto que ela poderá ter. Às vezes, o dano pode ser totalmente evitado.

As plataformas SIEM permitem que uma equipe de TI tenha uma visão geral de todas as ameaças das quais as ferramentas de segurança de uma organização a protegem. Um único alerta de um filtro de malware ou antivírus pode não ser um grande problema ou pode não acionar o alarme. No entanto, se houver um alerta do firewall, filtro antivírus e VPN simultaneamente, isso pode indicar que uma violação grave está em andamento. O SIEM coletará alertas de diferentes lugares e os exibirá em um console centralizado, maximizando os tempos de resposta.

Você pode gostar: VPN vs RDS vs VDI: O que escolher para um acesso remoto seguro?

Como o SIEM está ajudando a mitigar os riscos de segurança em um ambiente de trabalho remoto?

SIEM-Segurança-Informações-Gerenciamento de Eventos

A pandemia de coronavírus forçou as organizações a fazer a transição da equipe no local para uma força de trabalho totalmente remota mais rapidamente do que muitas organizações foram reparadas. Isso significava que eles precisavam encontrar um equilíbrio e possivelmente um compromisso entre fornecer um serviço consistente a seus clientes e manter um alto nível de segurança cibernética.

A configuração manual de regras e defesas que poderiam lidar com essa alteração com sucesso é demorada. As organizações que ainda não estavam usando plataformas SIEM jogaram um jogo frustrante, perigoso e caro de recuperar o atraso nas primeiras semanas de pedidos de permanência em casa.

As organizações que já usavam o SIEM poderiam fazer a transição mais facilmente. Como eles tinham um sistema abrangente que aproveitava a análise de comportamento e o aprendizado de máquina, eles podiam se adaptar automaticamente às mudanças no ambiente de trabalho. Isso tira muito estresse de suas equipes de TI.

Um dos principais benefícios da análise de comportamento é a capacidade de observar uma atividade normal de linha de base para uma organização e seus usuários e, em seguida, detectar e soar automaticamente o alarme quando houver desvios dessa atividade normal. Dessa forma, os controles de segurança de uma organização são flexíveis e podem mudar à medida que o ambiente de negócios muda. Eles se ajustam automaticamente à medida que coisas novas, como a forma como os funcionários que trabalham em casa se tornaram o novo normal.

Usando o SIEM para detectar e mitigar os danos causados ​​pela fraude do CEO

teclado-laptop-red-copy-hacking-cyber-security-data-SIEM

O ambiente de trabalho em casa tornou a comunicação por e-mail mais importante do que nunca. Isso ocorre porque a interação cara a cara que fazia parte do trabalho em um escritório se foi. Infelizmente, como uma enxurrada de e-mails está sendo enviada de um lado para o outro, existe a possibilidade de e-mails fraudulentos serem enviados em nome da gerência, diretores ou outros indivíduos responsáveis.

A fraude de CEOs é uma forma relativamente nova de cibercrime. Os ataques de engenharia social são usados ​​para enganar uma pessoa na organização para enviar dinheiro ou informações confidenciais ao indivíduo ou indivíduos que cometem a fraude.

A fraude do CEO existia antes do COVID-19. Estima-se que em apenas três anos poderia produzir mais de US$ 2,3 bilhões em perdas. Quando as pessoas trabalhavam em um ambiente de escritório onde tinham contato direto com a gerência, muitas organizações pensavam erroneamente que era fácil identificar fraudes por e-mail por conta própria.

No entanto, ao analisar os casos de fraude do CEO, fica claro que vários e-mails foram comunicados entre os fraudadores e a vítima sem que a vítima soubesse. A fraude do CEO é um tipo de fraude sofisticado e praticamente impossível de detectar sem as ferramentas adequadas. Se era difícil pegar no ambiente de escritório relativamente seguro, imagine pegá-lo agora com os funcionários sendo dispersos e a quantidade de contato pessoal reduzido.

A fraude do CEO se apresenta de duas maneiras. Uma é quando a conta de e-mail de um gerente sênior é hackeada. A outra é onde um e-mail é enviado de um domínio semelhante ao domínio comercial legítimo. Em primeira instância, os fraudadores comprometerão as contas de e-mail de funcionários seniores. No segundo caso, o typosquatting é usado para induzir os funcionários a acreditar que receberam informações de indivíduos em cargos de supervisão.

Uma solução SIEM pode ajudar. Ele permite que uma organização fique à frente dos riscos de credenciais comprometidas. Se um CEO, gerente ou outro indivíduo em uma posição de responsabilidade tiver sua conta de e-mail comprometida, as soluções SIEM podem ajudar a identificar e interromper a violação antes que ela aconteça. Isso ocorre porque as soluções SIEM estão monitorando dados em sua rede. Isso inclui serviços de diretório ativo, O365, firewalls, unidades de armazenamento, Salesforce e muito mais.

Depois que todas as informações forem postadas no SIEM, os dados serão coletados, correlacionados e examinados por análises avançadas. O objetivo é encontrar indicadores de comprometimento ou encontrar padrões que mostrem se um comportamento suspeito está acontecendo. Essas informações podem ser registradas e enviadas imediatamente para a equipe de segurança de uma organização.

Como isso acontece em tempo real, muitos ataques podem ser evitados antes que tenham um efeito prejudicial. O aprendizado de máquina avançado pode ser treinado para identificar ataques lentos que se infiltram na rede. Padrões incomuns de atividade podem ser detectados e podem mitigar as ameaças antes que elas aconteçam. Eles podem usar essas mesmas abordagens para identificar outros tipos de ameaças de e-mail, como golpes de spear phishing. Aqui, novamente, vemos o poder que uma solução SIEM tem de agregar valor não oferecido por uma VPN.

Você também pode gostar: NordVPN vs SiteLock VPN – Qual é o melhor para você?

Usando informações coletadas do SIEM para melhorar a segurança cibernética

cibersegurança-lock-internet-safety-hack-encryption

Quando anomalias são detectadas, as organizações podem implementar proteções para evitar comprometimentos futuros. Um passo pode ser educar os funcionários sobre as ameaças de segurança cibernética que estão enfrentando. Ao mostrar aos funcionários os diferentes ataques que foram tentados, os funcionários são incentivados a mitigar o comportamento de risco.

Algumas dicas de prevenção que podem parecer senso comum para uma equipe de TI podem passar despercebidas pelos funcionários. Por exemplo, os funcionários devem ser lembrados de ignorar e-mails não solicitados que exigem uma resposta imediata. Eles devem ser incentivados a verificar com frequência os endereços e domínios de e-mail do remetente e compará-los com endereços e domínios de e-mail genuínos. Os funcionários devem ser lembrados de não abrir anexos inesperados e de ter cuidado adicional quando e-mails são recebidos de remetentes não reconhecidos.

Uma coisa que é certa é que os cibercriminosos não vão parar de procurar por vulnerabilidades. As organizações precisam proteger a si mesmas, seus dados e seus funcionários usando recursos de segurança como VPNs, ferramentas antivírus e proteção contra malware e, em seguida, fazendo backup com plataformas SIEM.