De acordo com um estudo da IBM, as organizações levam, em média, mais de 190 dias para identificar um vazamento de dados e acima de 60 dias para resolver o problema. As implicações financeiras de um evento desse tipo, incluindo mitigação e resolução, podem representar uma soma significativa de dinheiro e um risco grave para a continuidade dos negócios.
Na América Latina, o custo médio de um vazamento de dados em 2024 atingiu US$ 2,76 milhões. Por sua vez, um relatório da Kaspersky revela que 42% das empresas da região sofreram vazamentos de dados confidenciais nos últimos dois anos. Já no Brasil, de acordo com o relatório anual Cost of a Data Breach, da IBM, o custo médio de um vazamento de dados em 2024 chegou a R$ 6,75 milhões.
No entanto, as organizações podem gerenciar esses cenários de forma eficaz com a ajuda de soluções de segurança robustas e processos bem definidos. Assim, uma empresa tem a oportunidade de minimizar os danos financeiros e reputacionais ao reduzir o tempo de detecção e resposta.
O caso de sucesso a seguir destaca como o Progress Flowmon, solução de monitoramento de rede, desempenhou um papel fundamental na detecção de uma violação sofrida por um de nossos clientes governamentais e na oferta de uma solução eficaz.
Um servidor na DMZ (ou seja, localizado em uma zona desmilitarizada) que executava uma aplicação específica foi comprometido, e o hacker obteve controle do dispositivo. A partir da posição inicial, o autor do ataque tentou navegar pela rede, mover-se lateralmente e comprometer o maior número possível de dispositivos, deixando um rastro na rede.
Este é o “minuto a minuto” do que aconteceu.
Hora 0 – Varredura do protocolo de resolução de endereços (ARP)
O invasor primeiro enumerou os dispositivos que estavam ativos e respondiam a solicitações ARP (Address Resolution Protocol) na mesma sub-rede /24. O Flowmon identificou essa atividade como uma varredura ARP em 252 dispositivos. Nenhum dispositivo respondeu.
Hora 0+3 minutos – Varredura do protocolo de mensagens de controle da Internet (ICMP)
Em seguida, o invasor enumerou os dispositivos na rede usando o protocolo ICMP (Internet Control Message Protocol). Mais de 100 mil dispositivos foram contactados, gerando muito ruído na rede. O Flowmon detectou essa atividade como uma inundação de ping e varredura ICMP, fornecendo evidências de mais de quatro milhões de solicitações desse tipo ocultas no tráfego da rede.
Tempo 0+31 minutos – Ataque ao Secure Shell (SSH)
Um ataque de pulverização de senhas foi iniciado contra serviços SSH em vários servidores acessíveis a partir dos hosts inicialmente comprometidos. O Flowmon detectou um ataque mal sucedido ao serviço SSH em execução em 21 servidores diferentes, fornecendo evidências de quase 3 mil tentativas de login.
Tempo 0+45 minutos: Análise de eventos impulsionada por IA
O motor de análise de eventos impulsionado por IA do Flowmon conectou os pontos de todas as atividades suspeitas realizadas por um único dispositivo. Isso elevou a pontuação de ameaça do dispositivo comprometido para 49 (de um máximo de 100), tornando-o a principal preocupação na rede e marcando-o como uma prioridade para intervenção humana.
Tempo <1 hora – Correção do evento
O centro de operações de segurança desconectou imediatamente o dispositivo comprometido da rede e coletou as evidências necessárias para que a autoridade nacional de cibersegurança relatasse o incidente. Não houve mais impacto no ambiente da organização, pois eles conseguiram parar o ataque em sua fase inicial.
Este caso demonstra que com o software adequado é possível detectar com sucesso um ataque em tempo real e fornecer informações valiosas aos administradores de rede para neutralizar a ameaça. O motor impulsionado por IA do Flowmon identificou com precisão o dispositivo comprometido em uma rede complexa e facilitou a tomada de medidas corretivas pela organização gerando economia de dinheiro e recursos.
O problema existe, mas as ferramentas para enfrentá-lo já estão disponíveis. Agora é o momento de as empresas começarem a implementá-las para continuar operando com sucesso e sem surpresas.
Francisco Larez, vice-presidente da Progress para América Latina e Caribe.
Fonte: TI INSIDE Online - Leia mais
