Introdução à análise de riscos de segurança

A Análise de Riscos de Segurança Cibernética também é conhecida como estrutura de Avaliação de Riscos de Segurança ou Segurança Cibernética. Uma avaliação de risco de segurança identifica, avalia e implementa os principais controles de segurança nos aplicativos. Também é utilizado na prevenção de sistemas, software e aplicativos que apresentam defeitos e vulnerabilidades de segurança. O processo de determinação dos controles de segurança geralmente é complexo, uma vez que os controles são adequados e econômicos. Em nosso artigo, seguiremos as diretrizes do Instituto Nacional de Padrões e Tecnologia (NIST), o NIST é uma agência dos EUA que é agregada ao departamento de comércio.

Por que precisamos de uma avaliação de riscos de segurança cibernética?

O principal objetivo da avaliação de riscos cibernéticos ou da análise de riscos de segurança é ajudar a informar os tomadores de decisão e apoiar as respostas apropriadas aos riscos. Há muitas razões pelas quais uma avaliação de risco é necessária:

  • Quando se trata de avaliação quantitativa de riscos, eles podem ajudar você a economizar custos que podem resultar de uma violação de segurança, criando um incidente de segurança. Eles também podem minimizar os custos qualitativos, como danos à reputação da organização.
  • Uma organização toma conhecimento dos riscos e ameaças e como enfrentá-los repetidamente e de como realizar a avaliação de riscos para descobrir ameaças e vulnerabilidades.
  • Pode ajudar uma organização a evitar qualquer comprometimento de ativos e violações de segurança.

Como executar uma avaliação de risco de segurança cibernética?

Existem algumas diretrizes do NIST que podem ser seguidas:

1. Atualize e atualize o software assim que o patch estiver disponível

A organização deve atualizar e corrigir os sistemas e o software assim que forem disponibilizados ou lançados no mercado. É uma boa prática automatizar o processo de atualização, pois o procedimento manual pode ser ignorado algumas vezes, mas quando se trata de automação, ele está programado para ser executado como parte do escopo. Os bandidos continuam olhando para os patches e possíveis explorações, e estes podem mais tarde se tornar ataques N-Day. As atualizações são sempre assinadas e comprovam sua integridade, sendo compartilhadas com segurança pelos links protegidos.

2. Controles e privilégios de acesso

Qualquer organização deve usar controles de acesso adequados e Gerenciamento de Acesso Privilegiado para gerenciar as contas de usuário e seus controles. Os usuários devem receber exatamente os controles de que precisam, nem menos nem mais. Se receber menos, afetará a produtividade e, se receber mais, poderá abrir um caminho para a exploração que pode ser desastroso. A conta elevada deve ser controlada e monitorada, pois possui altos privilégios e, se cair em mãos ruins, será o impacto de um compromisso. Toda a conta do usuário também deve ser protegida e monitorada.

3. Aplicar políticas de execução de software assinadas

O software que está sendo usado deve concordar com a integridade, ou seja, não deve ser alterado ou modificado de forma alguma, deve ser devidamente assinado. Isso pode ser verificado facilmente, combinando com funções de hash, como os valores SHA256 ou SHA 512. Uma lista de certificados confiáveis ​​deve ser mantida. Se, por acaso, um software alterado ou não assinado for usado, ele pode ter sido projetado para criar vulnerabilidades e deve abrir uma porta para expor seus sistemas a hackers.

4. Implementação do plano de recuperação do sistema

Em tempos de situação adversa, como um desastre como inundações, terremotos, deve-se estar preparado com um plano de recuperação para cuidar de funcionários, ativos, mitigação e continuar apoiando a função da organização de outro local que não seja afetado pelo desastre. Portanto, um plano de recuperação deve ser criado, revisado e também deve ser exercitado (testado) em intervalos regulares.

5. Gerenciar ativamente sistemas e configurações

A organização deve fazer uma revisão do software presente no sistema do usuário e dos controles de acesso habilitados para os usuários. Os usuários também devem ser orientados a enviar solicitações para remover software ou privilégios desnecessários que não são mais necessários como parte de sua função. Ao fazer isso, reduzirá a superfície de ataque em maior extensão.

6. Busca de ameaças e inteligência de ameaças para intrusões de rede e host

Muitas vezes, as soluções de proteção de terminais não são totalmente capazes de bloquear, detectar e remover a ameaça dos sistemas, especialmente se o ataque for direcionado e sofisticado. Para detectar tais ameaças, devemos empregar soluções de busca e inteligência de ameaças que correlacionem o ambiente da organização com os indicadores de ameaças de todo o mundo e, se houver alguma correspondência, ele disparará um alerta. Uma prática semelhante deve ser empregada na rede, onde podemos colocar o IPS / IDS para filtrar os pacotes de rede para procurar atividades suspeitas.

7. Implementando recursos modernos de segurança de hardware

O hardware de hoje vem com ótimos recursos de segurança, como UEFI (Unified Extensible Firmware Interface), Trusted Platform Modules (TPM), virtualização de hardware, criptografia de disco e segurança de portas, que devem ser ativados para impedir quebras de segurança de hardware que possam finalmente recuperar dados confidenciais e violar a segurança.

8. Separe a rede usando a Defesa com reconhecimento de aplicativo

Redes e serviços críticos separados. Implante a segurança de rede com reconhecimento de aplicativo para bloquear formações inadequadas de acordo com o tráfego e conteúdo restrito, políticas e autoridades legais. A detecção tradicional de intrusões com base em assinaturas e conhecidas é efetivamente reduzida devido às técnicas de criptografia e deslocamento.

9. Integrar serviços de reputação de ameaças

Como apontado anteriormente, as soluções de terminal não são totalmente capazes de bloquear, detectar e remover a ameaça dos sistemas, especialmente se o ataque for direcionado e sofisticado. Nesses casos, podemos integrar os serviços globais de reputação de ameaças (GTRS) em nosso ambiente para verificar nossos arquivos em relação ao grande número de serviços de reputação.

10. Autenticação multifatorial

A autenticação multifatorial atua como uma defesa em uma abordagem profunda, onde obtemos uma segunda camada de segurança. O hacker achará a maior dificuldade de sua vida invadir um dispositivo em que a autenticação multifatorial está ativada; ele não pode ser desbloqueado, a menos que seja acessado fisicamente ou atacado. Portanto, as organizações devem sempre implantar a autenticação multifator em todos os locais onde ela pode ser aplicada.

Conclusão

Neste artigo, aprendemos como definir a análise de risco de segurança cibernética e também vimos por que ela é necessária. Exploramos ainda várias maneiras e diretrizes que podem nos ajudar a realizar a avaliação de riscos.

Artigos recomendados

Este é um guia para a análise de riscos à segurança. Aqui discutimos por que precisamos e como executar a avaliação de riscos de segurança cibernética. Você também pode consultar nossos outros artigos relacionados para saber mais.

  1. Perguntas da entrevista sobre segurança cibernética
  2. Definição de consultor de segurança
  3. O que é segurança de rede?
  4. Tipos de segurança cibernética