Análise prática de custo de ameaças cibernéticas: um modelo de risco para ataques de negação de serviço

A análise de risco de segurança é parte da estratégia de segurança da informação e ajuda a entender o quanto a empresa pode perder em caso de brecha
Emilia Bertolli
2 minuto de leitura
Ultima atualização 28 de Outubro de 2021

A análise de risco não recebe a atenção que merece. É a parte do processo de avaliação de riscos em que se fornece todos os resultados importantes – onde os números de cartões de crédito são armazenados, os direitos de acesso das pastas, os resultados dos testes de phishing e o ambiente de ameaças – em um modelo de risco que produz uma medida. É essa medida de risco que os diretores da empresa precisam estar concentrados.

As métricas subjacentes são importantes: a TI precisa conhecer o estado básico de segurança do sistema para executar as ações corretas para reduzir os níveis de risco. Mas a diretoria está mais interessada em saber os valores de possíveis incidentes de segurança.

Os CISOs podem estar pensando que não têm informações suficientes para realizar até mesmo um cálculo de risco básico. Quando, na verdade, há dados mais que suficientes para realizar esse cálculo.

Bom o suficiente, com 90% de confiança. O risco dos dados


Hubert e Seiersan, no livro How to Measure Anything in Cybersecurity Risk, explicam como aproveitar a sabedoria especializada  oculta no departamento de TI. Guiado por algumas estatísticas internas, a equipe de TI pode gerar entradas básicas em um modelo de risco: a taxa ou a probabilidade de uma ameaça e o custo dessa ameaça.

Hubert propõe que a equipe de TI seja desafiada a responder algumas questões sobre os tipos de ameaças e seus custos:

Pergunta: Quantos incidentes ocorreram nos últimos 2 a 3 anos e o tempo que perdemos devido a um ataque cibernético?

Resposta hipotética: Talvez dez incidentes em que tivemos interrupções de serviços reais.  Perdemos de uma hora a dois dias.

P: Você pode descreve-los?

R: Alguns foram de negação de serviço, houve alguns ransomwares e outros que não consigo classificar…

P: Você pode especificar o tempo, em intervalo de horas a dias, para cada um deles?

R: Tenho certeza que os piores ataques de ransomware nos derrubaram por um dia inteiro.

Dessa forma, é possível forçar o administrador a detalhar cada subcategoria de ameaça até que possa criar limites inferiores ou superiores, com 90% de segurança, para cada tipo de interrupção.

Porque esse método resulta em uma boa estimativa de intervalos de custos?


É possível treinar especialistas para produzir estimativas confiáveis, forçando-os a dar suas opiniões. Hubbard mostra que este teste de calibração (entre outros) é eficaz no desenvolvimento de boas estimativas.

Se você tiver dados de análise de segurança interna, pode fazer estimativas melhores do que esse método de “sabedoria dos especialistas”. No entanto, conhecer apenas os limites de custo ínfero espero, onde a maioria dos dados entra, excluindo a calda, pode ser extremamente poderoso.

Normalizando dados


Estamos familiarizados com a curva em forma de sino ou normal. Muitos conjuntos de dados, incluindo estatísticas relacionadas à internet, dados de violação, tamanho do sistema de arquivos, não podem ser modelados pela curva normal mais amigável, mas sim por outras curvas de lei de potência mais pesadas.

O que é exatamente isso


Para nossa situação é mais fácil trabalhar com lognormal. Hubbard mostra que, se tivermos apenas os limites inferior e superior (que cobre 90% dos dados), podemos adaptar a lognormal sem usar software de ajuste de curva. Precisamos de dois parâmetros, a média e o desvio padrão.

É possível obter uma estimativa da média de uma amostra a partir de uma curva normal somando apenas os menores e maiores números no conjunto e dividindo por dois. Já para estimar o desvio padrão, é preciso ter 90% dos dados, subtrair o menor número do maior e dividir por 3,29. Isso é conhecido como regra do intervalo para o desvio padrão.

Para ajustar nossa curva, tomamos os ln dos pontos superior e inferior e, em seguida, elaboramos os parâmetros usando as duas dicas acima.

Confuso?


Nesta planilha é possível experimentar a abordagem de Hubbard à análise de risco. Há uma planilha para mostrar que os truques de curva lognormal simples funcionam bem. Também há uma simulação simples que gera mil tentativas de ameaças de negação de serviço com base em três subcategorias diferentes, cada uma com diferentes probabilidades de ocorrência.

Previna vazamentos de dados em tempo real com o Varonis DatAlert. Analise automaticamente, detecte atividades suspeitas e previna violações usando uma análise profunda de metadados, aprendizagem automática e avançada Análise do Comportamento do Usuário (UBA).

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

entenda-a-importância-de-um-processo-de-segurança-razoável-para-sua-estratégia
Entenda a importância de um processo de segurança razoável para sua estratégia
A definição de segurança razoável é que ela é um processo de segurança muito parecido com o NIST CIS Framework
processo-é-o-fator-mais-importante-na-prevenção-de-invasões
Processo é o fator mais importante na prevenção de invasões
Há quem diga que, quando se trata de segurança, as pessoas são mais importantes que o processo na prevenção de invasões. Mas isso está incorreto.
o-uso-da-inteligência-profunda-no-combate-ao-crime-cibernético
O uso da inteligência profunda no combate ao crime cibernético
A inteligência profunda ajuda a equipe de segurança a encontrar respostas que desafoguem o trabalho de times de TI cada vez mais sobrecarregadosInteligência profunda; segurança de dados
como-o-papel-do-líder-de-segurança-cibernética-está-mudando
Como o papel do líder de segurança cibernética está mudando
A segurança cibernética está em evolução e o papel dos CISOs também precisa ser transformado para atender aos novos requisitos de segurança.