Cibersegurança e a crise na Ucrânia

cibersegurança crise ucrânia splunk

Mar, 2022

A cibersegurança também é uma das preocupações da população mundial, após quase um mês das tropas russas invadirem a Ucrânia. Afinal, este é um acontecimento trágico que nos preocupa a todos, a vários níveis, sendo a cibersegurança um desses tópicos. Vejamos como, neste novo artigo do blog homeostase.

A Splunk tem recebido várias perguntas da sua comunidade, dos seus clientes e parceiros, sobre o aumento do risco à cibersegurança durante este conflito na Europa.

É uma preocupação muito real e para a qual a Splunk está qualificada para ajudar.

Desde já, as organizações são aconselhadas a adotar uma postura de segurança reforçada durante esta crise. E, por isso, a Splunk tem acompanhado de perto todos os desenvolvimentos, para partilhar uma visão de orientação e apoio.

A Splunk tomou medidas para melhorar a sua resiliência cibernética:
  • A equipa Splunk Security monitoriza e avalia de forma contínua os riscos de segurança reportados na indústria, e as notícias;
  • Estão de imediato a monitorizar o seu ambiente, procurando indicações que possam evidenciar o aumento de ameaças ou potenciais ataques contra as suas redes;
  • Continuam a confirmar quais as possíveis correções e protocolos de segurança que estão em vigor.

 

Defesa contra possíveis ciberataques

Clientes Splunk que se preocupam com ataques ao seu ambiente, neste momento de risco acrescido, devem portanto considerar a revisão da seguinte informação.

Fontes de dados de alto valor para procura avançada de ameaças persistentes:
  • Endpoint Detection and Response (EDR): Os logs baseados em host fornecem fidelidade máxima ao caçador. Os logs EDR, como Crowdstrike ou VMWare/CB absorvidos no Splunk, podem fornecer visibilidade das ações nos endpoints.
  • Microsoft Sysmon: Uma opção gratuita que pode fornecer feedback sobre criação de processos, registo, WMI, exclusão de arquivos e muito mais. Foi atualizado recentemente para suportar as principais distribuições baseadas em Linux.
  • Windows Event Logging: Os clientes do Splunk podem usar o aplicativo Windows Event Code Security Analysis para identificar IDs de eventos específicos de interesse.
  • DNS Events: Os logs de DNS identificam “registos” para sites suspeitos que podem ajudar a determinar comportamentos atípicos. Dados de rede de plataformas como Zeek podem fornecer visibilidade considerável em protocolos como SSL/TLS, SMTP, SMB e HTTP. Os clientes também podem utilizar o Stream for Splunk.
  • Authentication Logs: a CISA (Cybersecurity and Infrastructure Security Agency) cita a habilitação da autenticação multifator (MFA) como um primeiro passo importante para proteger sua organização.

Informações de Apoio

Para os clientes que utilizam o Splunk ou Splunk Enterprise Security (ES), são partilhados aqui alguns dos blogs Splunk que podem consultar.

Apps recomendadas

  • SA-Investigator: Uma aplicação Splunk gratuita que foi desenvolvida para ficar no topo do Splunk Enterprise Security. Pode ser usada para caçar e investigar ativos, identidades, hashes de ficheiros e nomes de arquivos/processos. Mais info aqui.
  • OT Security Add-on para Splunk: Os clientes com tecnologia operacional (OT) como SCADA e sistemas de controlo industrial (ICS) podem achar a aplicação “OT Security Add-on para Enterprise Security” muito útil. A CISA denunciou de forma explícita ameaças cibernéticas à infraestrutura crítica dos EUA, como concessionárias de energia e água. Mais info aqui.

Ativação

  • Workshops: Os engenheiros de soluções da Splunk oferecem workshops personalizados online e pessoalmente.
  • Boss of the SOC (BOSS) Platform: Nos últimos quatro anos, especialistas em segurança do Splunk desenvolveram cenários e treinamento Boss of the SOC (BOTS) para imitar as táticas, técnicas e procedimentos usados pelos Grupos russos de APT. Os exercícios de treino podem ser encontrados aqui.

 

Recursos do CISA — Agência de Segurança Cibernética e Infraestrutura

A Splunk está a trabalhar com a CISA, como membro da Joint Cyber ​​Defense Collaborative. Os serviços e ferramentas de cibersegurança gratuitos da CISA podem ajudar as organizações a passarem de reativas para proativas, em sua defesa cibernética.

A lista inclui o framework Synthetic Adversarial Log Objects (SALO) do Splunk, o Splunk Attack Detection Collector e o Splunk Attack Range. 

Por último, A CISA lançou vários alertas e avisos na sua página “Shields Up” com as informações mais recentes sobre ameaças cibernéticas vinculadas à Rússia, juntamente com medidas de mitigação recomendadas.

Fonte: aqui.

continuar a ler

Monitoramento Sintético

Monitoramento Sintético

O monitoramento sintético permite simular qualquer transação ou interação que os utilizadores possam ter no seu website ou aplicação.

RGPD vs. Dados de Máquina

RGPD vs. Dados de Máquina

O RGPD (Regulamento Geral sobre a Protecção de Dados) ainda é um desafio para as organizações. Saiba como os Dados de Máquina podem ajudar.

quero receber updates.