Ameaças persistentes avançadas (APTs – advanced persistent threats) são uma realidade no Brasil e no mundo. É comum que essas ameaças operem despercebidas em uma rede durante longos períodos, coletando informações e exfiltrando dados confidenciais. Segundo o relatório Custo da violação de dados, do Instituto Ponemon/IBM, em 2022 o tempo médio para identificar e conter uma violação de dados foi de 347 dias. Um exemplo disso é o incidente da invasão dos sistemas da rede global de hotéis Marriot. Análises deste caso indicam que a violação aconteceu ao longo de quatro anos. Neste período, dados privados de cerca de 500 mil hóspedes foram roubados – trata-se de informações como nome, endereço de e-mail, telefone, número de passaporte e o número do programa de fidelidade Marriot da vítima. No final de 2020, a subsidiária do Marriot na Grã-Bretanha foi multada em quase 24 milhões de dólares pelos danos causados por esse ataque. Essa multa foi imposta pelo ICU, o equivalente britânico da brasileira Autoridade Nacional de Proteção de Dados (ANPD).
No contexto das APTs, as medidas tradicionais de segurança, como proteção baseada em assinaturas, não são mais suficientes para combater ameaças em evolução. É aí que entra em ação a estratégia de detecção e resposta de rede baseada em IA (NDR - AI-driven Network Detection and Response). Essa abordagem eleva a maturidade digital da organização.
Inteligência Artificial e Machine Learning unem forças
As soluções de NDR baseadas em IA se utilizam de algoritmos de aprendizado de máquina para monitorar continuamente o tráfego da rede e detectar anomalias. Estabelecendo uma base de padrões normais de tráfego, essas soluções são capazes de identificar desvios que poderão indicar potenciais ameaças. Essa capacidade avançada de detecção de ameaças é crucial para identificar e mitigar ações criminosas antes que elas possam causar danos significantes.
A visibilidade fornecida por soluções NDR baseadas em IA é outro componente crítico deste quadro. Essas plataformas oferecem uma profunda visibilidade por meio de painéis de controle de monitoramento abrangentes, exibindo em tempo real informações acerca de tendências de risco, eventos IOC e distribuição geográfica das ameaças. Essa visibilidade granular permite às equipes de segurança identificar e enfrentar com rapidez potenciais ameaças, mantendo uma forte postura de segurança. O monitoramento detalhado de tráfego de servidores, inteligência de ameaças, e vulnerabilidades assegura que os profissionais de segurança disponham das informações necessárias para tomar decisões conscientes.
Capacidades de análise são também um destaque das soluções NDR baseadas em IA. Essas soluções fornecem ricos dados para análise, incluindo informações detalhadas sobre ameaças, análise PCAP (Captura de Pacotes) e estratégias recomendadas para remediação de ameaças detectadas.
Esses dados são usados para compreender os vetores de ataque e identificar endpoints comprometidos – mesmo que o endpoint não conte com soluções de defesa implementadas no computador ou smartphone. Pelo mapeamento das ameaças para a estrutura MITRE ATT&CK, os analistas de segurança podem compreender melhor as técnicas utilizadas pelos invasores e deflagrar ações de mitigação adequadas.
Integração com outras plataformas de segurança
A integração com outras soluções de segurança, como firewalls Next-Gen e plataformas XDR, aprimora ainda mais a capacidade de resposta às ameaças. A meta é assegurar monitoramento e proteção contínuos dos ambientes digitais das empresas.
Neste modelo, algoritmos de aprendizado de máquina realizam a análise de enormes quantidades de dados. A meta é acelerar a identificação de padrões e anomalias que indiquem potenciais ameaças. Com monitoramento em tempo real e painéis de controle detalhados, o CISO consegue identificar e bloquear ameaças, protegendo os processos de negócios de sua organização.
*Gabriel Lima é Sales Engineer da Hillstone Brasil.