Por que toda VPN precisa de um SIEM forte ao seu lado?

Publicados: 2020-08-05

As redes privadas virtuais têm sido usadas por indivíduos e organizações por quase duas décadas. Uma VPN cria um túnel seguro que permite que informações criptografadas sejam transferidas de um ponto a outro. No mundo dos negócios, permite que os funcionários se conectem à rede de sua organização e enviem e recebam informações com segurança. As VPNs assumiram um papel maior considerando o trabalho no ambiente doméstico em que estamos.

Não está claro por quanto tempo as pessoas trabalharão em casa. Algumas organizações já demonstraram que, mesmo após a pandemia, terão parte de sua força de trabalho trabalhando remotamente. O fato de mais pessoas estarem trabalhando em casa chamou a atenção dos cibercriminosos. Eles veem o trabalho no ambiente doméstico como uma criação de vulnerabilidades que podem ser exploradas.

Índice mostra
  • Ataques cibernéticos direcionados a VPNs
  • Mais do que apenas medidas básicas de segurança são necessárias
  • Como uma plataforma SIEM pode beneficiar sua organização?
  • Como o SIEM está ajudando a reduzir os riscos de segurança em um ambiente de trabalho remoto?
  • Usando o SIEM para detectar e mitigar os danos causados ​​pela CEO Fraud
  • Usando informações obtidas do SIEM para melhorar a segurança cibernética

Ataques cibernéticos direcionados a VPNs

segurança cibernética-proteção-privacidade-criptografia-segurança-senha-firewall-acesso

Citando os especialistas, Will Ellis, da Privacy Australia, viu que uma das principais maneiras pelas quais os cibercriminosos perpetram seus ataques é tentando penetrar em VPNs. Como ele mencionou, “Infelizmente, em muitos casos, eles tiveram sucesso nos últimos meses. Isso levou empresas e instituições governamentais a reforçar as medidas de segurança.”

Assim que os cibercriminosos invadem a VPN e obtêm acesso à rede de uma organização, eles são como crianças em uma loja de doces. Eles podem vasculhar a rede e os serviços. No lazer, eles podem procurar vulnerabilidades, configurações incorretas e pontos fracos. Não há limite para os danos que os criminosos podem causar quando têm acesso para manipular dados, destruir sistemas ou interromper dados confidenciais em trânsito.

Recomendado para você: VPN vs Proxy: Quais são as diferenças? Qual é o melhor?

Mais do que apenas medidas básicas de segurança são necessárias

segurança-segurança-internet-senha-bloqueio-SIEM

A maioria das organizações já está usando as etapas básicas recomendadas para melhorar a segurança de sua VPN. Isso inclui exigir senhas fortes que sejam complexas, exclusivas e alteradas periodicamente. O provisionamento ou acesso de controle baseado em função significa limitar os recursos por grupos. A autenticação multifator também está sendo usada para usuários privilegiados ou aqueles que precisam acessar dados e software confidenciais.

A importância dessas etapas não deve ser minimizada. Uma organização se enganaria se acreditasse que essas etapas básicas são tudo o que é necessário para se proteger contra ataques de segurança cibernética que estão constantemente crescendo em sofisticação.

Ataques sofisticados requerem uma solução sofisticada, como uma plataforma de gerenciamento de eventos e informações de segurança. Os SIEMs são ferramentas responsáveis ​​por coletar e correlacionar os dados das ferramentas de segurança que uma organização usa, incluindo sua VPN.

Os SIEMs permitem que as informações coletadas por ferramentas de segurança separadas sejam compiladas juntas para fornecer informações sobre ameaças à segurança que podem não ser fáceis de obter ao analisar os dados separadamente. Essas plataformas podem ajudar uma organização a identificar quais são os eventos realmente de alto risco e separá-los do ruído.

Por exemplo, um funcionário pode se conectar a uma VPN da cidade de Nova York. Quarenta e cinco minutos depois, o mesmo funcionário se conecta à VPN da organização de Minneapolis, MN. Uma plataforma SIEM deve ser capaz de dizer que isso é fisicamente impossível e sinalizar isso como um comportamento suspeito que precisa ser investigado.

Como uma plataforma SIEM pode beneficiar sua organização?

perigo-segurança-ameaça-cibercrime-fraude-vírus-hack

As soluções SIEM oferecem detecção de ameaças em tempo real. Eles aumentam a eficiência, reduzem os custos, minimizam ameaças potenciais, melhoram os relatórios e a análise de logs e impulsionam a conformidade de TI. Como as soluções SIEM podem conectar logs de eventos de vários dispositivos e aplicativos, a equipe de TI pode identificar, responder e revisar possíveis violações de segurança rapidamente. Quanto mais rápido uma ameaça de segurança cibernética for identificada, menor será o impacto que ela poderá ter. Às vezes, o dano pode ser totalmente evitado.

As plataformas SIEM permitem que uma equipe de TI tenha uma visão geral de todas as ameaças contra as quais as ferramentas de segurança de uma organização a protegem. Um único alerta de um filtro de malware ou antivírus pode não ser tão importante ou pode não disparar o alarme. No entanto, se houver um alerta do firewall, filtro antivírus e VPN simultaneamente, isso pode indicar que uma violação grave está em andamento. O SIEM coletará alertas de diferentes locais e os exibirá em um console centralizado, maximizando os tempos de resposta.

Você pode gostar: VPN vs RDS vs VDI: O que escolher para um acesso remoto seguro?

Como o SIEM está ajudando a reduzir os riscos de segurança em um ambiente de trabalho remoto?

SIEM-Informações-Segurança-Gerenciamento de Eventos

A pandemia de coronavírus forçou as organizações a fazer a transição da equipe local para uma força de trabalho totalmente remota mais rapidamente do que muitas organizações foram consertadas. Isso significava que eles precisavam encontrar um equilíbrio e possivelmente um meio-termo entre fornecer um serviço consistente a seus clientes e manter um alto nível de segurança cibernética.

A configuração manual de regras e defesas que poderiam lidar com essa mudança com sucesso é demorada. As organizações que ainda não usavam plataformas SIEM jogaram um jogo frustrante, perigoso e caro para recuperar o atraso nas primeiras semanas de pedidos de permanência em casa.

As organizações que já estavam usando o SIEM poderiam fazer a transição mais facilmente. Como eles tinham um sistema abrangente que aproveitava a análise de comportamento e o aprendizado de máquina, eles podiam se adaptar automaticamente às mudanças no ambiente de trabalho. Isso tira muito estresse de suas equipes de TI.

Um dos principais benefícios da análise de comportamento é a capacidade de observar uma atividade normal de linha de base para uma organização e seus usuários e, em seguida, detectar e soar automaticamente o alarme quando houver desvios dessa atividade normal. Dessa forma, os controles de segurança de uma organização são flexíveis e podem mudar conforme o ambiente de negócios muda. Eles se ajustam automaticamente como coisas novas, como a forma como os funcionários que trabalham em casa se tornaram o novo normal.

Usando o SIEM para detectar e mitigar os danos causados ​​pela CEO Fraud

teclado-laptop-vermelho-cópia-hacking-ciber-segurança-dados-SIEM

O ambiente de trabalho em casa tornou a comunicação por e-mail mais importante do que nunca. Isso ocorre porque a interação face a face que fazia parte do trabalho em um escritório acabou. Infelizmente, como uma enxurrada de e-mails está sendo enviada e recebida, existe a possibilidade de e-mails fraudulentos serem enviados em nome da administração, diretores ou outros indivíduos responsáveis.

A fraude do CEO é uma forma relativamente nova de cibercrime. Os ataques de engenharia social são usados ​​para induzir uma pessoa na organização a enviar dinheiro ou informações confidenciais ao indivíduo ou indivíduos que perpetraram a fraude.

A fraude do CEO existia antes do COVID-19. Estima-se que em apenas três anos poderia produzir mais de US$ 2,3 bilhões em perdas. Quando as pessoas trabalhavam em um ambiente de escritório onde tinham contato individual com a gerência, muitas organizações pensavam erroneamente que era fácil para elas identificar fraudes por e-mail por conta própria.

No entanto, ao analisar os casos de fraude do CEO, fica claro que vários e-mails foram trocados entre os fraudadores e a vítima sem que a vítima soubesse. A fraude do CEO é um tipo de fraude sofisticado e praticamente impossível de detectar sem as ferramentas adequadas. Se era difícil pegar no ambiente de escritório relativamente seguro, imagine pegá-lo agora com os funcionários sendo dispersos e a quantidade de contato face a face reduzida.

A fraude do CEO se apresenta de duas maneiras. Uma delas é quando a conta de e-mail de um gerente sênior é invadida. A outra é quando um e-mail é enviado de um domínio semelhante ao domínio comercial legítimo. Em primeira instância, os fraudadores comprometerão as contas de e-mail dos funcionários seniores. No segundo caso, o typosquatting é usado para induzir os funcionários a acreditar que receberam informações de indivíduos em cargos de supervisão.

Uma solução SIEM pode ajudar. Ele permite que uma organização fique à frente dos riscos de credenciais comprometidas. Se um CEO, gerente ou outro indivíduo em posição de responsabilidade tiver sua conta de e-mail comprometida, as soluções SIEM podem ajudar a identificar e interromper a violação antes que ela aconteça. Isso ocorre porque as soluções SIEM estão monitorando dados em sua rede. Isso inclui serviços de diretório ativo, O365, firewalls, unidades de armazenamento, Salesforce e muito mais.

Depois que todas as informações forem postadas no SIEM, os dados serão coletados, correlacionados e examinados por análises avançadas. O objetivo é encontrar indicadores de comprometimento ou encontrar padrões que mostrem se um comportamento suspeito está acontecendo. Essas informações podem ser registradas e enviadas imediatamente para a equipe de segurança de uma organização.

Como isso acontece em tempo real, muitos ataques podem ser evitados antes que tenham um efeito prejudicial. O aprendizado de máquina avançado pode ser treinado para identificar ataques lentos que se infiltram na rede. Padrões incomuns de atividade podem ser detectados e podem mitigar as ameaças antes que elas aconteçam. Eles podem usar essas mesmas abordagens para identificar outros tipos de ameaças de e-mail, como golpes de spear phishing. Aqui, novamente, vemos o poder que uma solução SIEM tem de agregar valor não oferecido por uma VPN.

Você também pode gostar: NordVPN vs SiteLock VPN – Qual é o melhor para você?

Usando informações obtidas do SIEM para melhorar a segurança cibernética

ciber-segurança-bloqueio-internet-segurança-hack-criptografia

Quando anomalias são detectadas, as organizações podem implementar proteções para evitar futuros comprometimentos. Um passo pode ser educar os funcionários sobre as ameaças de segurança cibernética que estão enfrentando. Ao mostrar aos funcionários os diferentes ataques que foram tentados, os funcionários são incentivados a mitigar o comportamento de risco.

Algumas dicas de prevenção que podem parecer senso comum para uma equipe de TI podem passar despercebidas pelos funcionários. Por exemplo, os funcionários devem ser lembrados de ignorar e-mails não solicitados que exigem uma resposta imediata. Eles devem ser encorajados a verificar com frequência os endereços de e-mail e domínios do remetente e compará-los com endereços de e-mail e domínios genuínos. Os funcionários devem ser lembrados de não abrir anexos inesperados e de ter cuidado adicional ao receber e-mails de remetentes não reconhecidos.

Uma coisa é certa: os cibercriminosos não param de procurar vulnerabilidades. As organizações precisam proteger a si mesmas, seus dados e seus funcionários usando recursos de segurança como VPNs, ferramentas antivírus e proteção contra malware e, em seguida, fazendo backup deles com plataformas SIEM.