O gargalo negligenciado na visibilidade de dados e seu impacto na resiliência cibernética
As organizações dependem de logs de segurança para ajudar a detectar, responder e se recuperar de ameaças cibernéticas. Mas esses logs só são úteis se capturarem dados completos e processá-los com rapidez suficiente para detectar ameaças em tempo real.
No entanto, a maioria dos logs tem lacunas de dados, permitindo que as ameaças passem pelas falhas. E o motivo? Infraestrutura de armazenamento.
Veja como o armazenamento lento ou desatualizado enfraquece sua resiliência cibernética e como você pode corrigi-lo.
O que é visibilidade de dados?
No sentido geral, a visibilidade de dados é saber onde seus dados estão. No contexto de manter um ambiente de TI seguro, a visibilidade de dados é a análise de segurança. Isso significa sua capacidade de detectar anomalias, identificar ameaças e impedi-las em tempo real antes que elas aumentem.
| Visibilidade de dados A capacidade de detectar anomalias, identificar ameaças e tomar medidas antes que elas criem danos graves |
Você pode estar pensando: Isso não é o que são logs de segurança? Sim, mas é aqui que muitos deixam a desejar…
Registros de segurança: A linha de frente da defesa, se for rápida o suficiente
Os logs de segurança são sua primeira linha de defesa. Eles são usados para rastrear a atividade do sistema para detectar anomalias, conter ameaças e servir como evidência forense crucial. Mas a eficácia deles depende da qualidade e da integridade dos seus dados e da rapidez com que você os processa.
O desafio é que as ameaças cibernéticas modernas se movem rapidamente, com tempos de breakout em média de apenas 48 minutos.
O tempo de breakout é o tempo entre o qual um invasor faz login como usuário regular com credenciais “adquiridas” e, em seguida, eleva seu privilégio ao nível de administrador. Quando um invasor é administrador, fica extremamente difícil detectá-lo. Para piorar, os tempos de breakout estão ficando menores. Um ataque atingiu 27 minutos. Se as equipes de segurança não tiverem registro em tempo real, os invasores podem se espalhar por seus sistemas antes mesmo que alguém perceba.
Logs lentos deixam você reagindo a danos em vez de evitá-los. E é aí que entra sua infraestrutura de armazenamento…
Armazenamento: Um gargalo negligenciado para desempenho de log
Imagine um grande armazém abastecido com mercadorias de alto valor. A empresa tem segurança em vigor: portas, câmeras e guardas trancadas patrulhando a área 24 horas por dia, 7 dias por semana. Mas, uma noite, um grupo de ladrões encontra um caminho.
Eles usam credenciais de funcionários roubadas para entrar no edifício e depois guardam uniformes da equipe de limpeza para combinar. Se não forem detectados, eles desativam os alarmes e desbloqueiam as portas.x
Os ladrões têm uma vantagem: As câmeras gravam apenas a cada 30 minutos e os guardas não patrulham com frequência suficiente. Quando alguém percebe que algo pode estar errado, carrega um caminhão cheio de mercadorias e se afasta.
Isso ilustra como há muito armazenamento agora.
Se a sua ingestão (coleta) e as velocidades de processamento forem muito lentas, você não receberá informações completas em tempo real, o que cria lacunas de dados.
Em seguida, sua equipe de caça a ameaças pode detectar anomalias tarde demais, como guardas de segurança que recebem um alerta para movimentos suspeitos tarde demais, apenas para chegar depois que as prateleiras forem liberadas.
75% das organizações têm pontos cegos
De acordo com uma pesquisa da Flexera de 2024, 75% dos líderes de TI sentem que sua organização tem lacunas de visibilidade em seu ecossistema de TI. Esses pontos cegos criam sérios riscos de segurança, e o problema está crescendo conforme os ambientes de dados se tornam mais complexos.
Alguns dos principais desafios para a visibilidade de dados incluem:
- Volume de dados impressionante: As equipes de segurança não conseguem acompanhar o crescimento exponencial dos dados.
- Sistemas fragmentados e silos: Os logs desconectados criam pontos cegos onde as ameaças se escondem.
- Detecção lenta de atrasos na infraestrutura: Se os logs demorarem muito para serem processados, as equipes de segurança não conseguem reagir com rapidez suficiente.
É claro que você pode fazer upgrade de suas ferramentas de segurança, mas mesmo as melhores ferramentas são limitadas sem armazenamento de alto desempenho.
Por que seus pontos cegos podem piorar
Os ataques cibernéticos estão aumentando em frequência e complexidade, então você precisa processar mais dados do que nunca. Isso exige mais capacidade e velocidade de armazenamento. Quando o armazenamento não consegue acompanhar, você enfrenta uma escolha difícil:
- Colete logs de segurança de mais fontes, mas processe os dados mais lentamente.
- Processe dados rapidamente, mas colete logs de segurança de menos fontes.
Nenhuma escolha é ideal, pois ambas criam lacunas de dados, o que aumenta a vulnerabilidade da organização.
Lembre-se de que as anomalias geralmente começam como pequenas atividades: um login incomum, acesso inesperado ao sistema ou um escalonamento de privilégios. Se esses sinais de alerta não forem detectados imediatamente, os invasores terão mais tempo para se mover pelos sistemas e causar mais danos.
Mas não precisa ser assim.
Desvendando o poder da detecção de anomalias em tempo real
Somente o armazenamento escalável e de alto desempenho permite visibilidade real dos dados. Ser capaz de visualizar anomalias em tempo real permite que sua equipe de ameaças cibernéticas detecte violações antes que elas aconteçam, o que facilita uma resiliência cibernética mais forte.
Voltando à analogia do armazém, veja como seria ter visibilidade total dos dados:
- As câmeras sinalizam instantaneamente um rosto desconhecido na entrada e enviam imagens imediatamente para os guardas de segurança.
- Se os ladrões entrarem, câmeras e sensores detectarão instantaneamente atividades incomuns, identificarão o local exato e alertarão as proteções.
- Os guardas de segurança intervêm antes que o roubo aconteça.
Aprofunde-se neste vídeo: “Como o armazenamento certo pode melhorar as operações de SIEM.”
Como a Pure Storage foi desenvolvida para oferecer visibilidade real dos dados
Todos os seus dados ficam armazenados. No entanto, o armazenamento muitas vezes é negligenciado até que algo dê errado.
Uma grande supervisão é quantas organizações usam unidades de estado sólido (SSDs, Solid-State Drives) de commodity, que não são desenvolvidas para as exigências da segurança cibernética moderna. As SSDs de commodity não têm a velocidade e a largura de banda para absorver dados de todas as fontes e correlacioná-los com rapidez suficiente para fornecer visibilidade total dos dados.
A arquitetura da Pure Storage supera essas limitações para fornecer visibilidade verdadeira da anomalia.
Os módulos DirectFlash® Modules) da Pure Storage® eliminam gargalos de armazenamento tradicionais ao:
- Fornecer acesso direto ao armazenamento NAND, contornando controladoras externas lentas
- Ingerir e correlacionar dados de segurança na velocidade da linha, maximizando insights em tempo real
- Permitir visibilidade total dos dados para equipes de segurança, para que as ameaças sejam capturadas no tempo
Com as velocidades inigualáveis de ingestão e processamento da Pure Storage, suas equipes de caça a ameaças cibernéticas não estão se atualizando. Elas estão impedindo ameaças antes que elas aconteçam.