A cibersegurança também é uma das preocupações da população mundial, após quase um mês das tropas russas invadirem a Ucrânia. Afinal, este é um acontecimento trágico que nos preocupa a todos, a vários níveis, sendo a cibersegurança um desses tópicos. Vejamos como, neste novo artigo do blog homeostase.
A Splunk tem recebido várias perguntas da sua comunidade, dos seus clientes e parceiros, sobre o aumento do risco à cibersegurança durante este conflito na Europa.
É uma preocupação muito real e para a qual a Splunk está qualificada para ajudar.
Desde já, as organizações são aconselhadas a adotar uma postura de segurança reforçada durante esta crise. E, por isso, a Splunk tem acompanhado de perto todos os desenvolvimentos, para partilhar uma visão de orientação e apoio.
A Splunk tomou medidas para melhorar a sua resiliência cibernética:
- A equipa Splunk Security monitoriza e avalia de forma contínua os riscos de segurança reportados na indústria, e as notícias;
- Estão de imediato a monitorizar o seu ambiente, procurando indicações que possam evidenciar o aumento de ameaças ou potenciais ataques contra as suas redes;
- Continuam a confirmar quais as possíveis correções e protocolos de segurança que estão em vigor.
Defesa contra possíveis ciberataques
Clientes Splunk que se preocupam com ataques ao seu ambiente, neste momento de risco acrescido, devem portanto considerar a revisão da seguinte informação.
Fontes de dados de alto valor para procura avançada de ameaças persistentes:
- Endpoint Detection and Response (EDR): Os logs baseados em host fornecem fidelidade máxima ao caçador. Os logs EDR, como Crowdstrike ou VMWare/CB absorvidos no Splunk, podem fornecer visibilidade das ações nos endpoints.
- Microsoft Sysmon: Uma opção gratuita que pode fornecer feedback sobre criação de processos, registo, WMI, exclusão de arquivos e muito mais. Foi atualizado recentemente para suportar as principais distribuições baseadas em Linux.
- Windows Event Logging: Os clientes do Splunk podem usar o aplicativo Windows Event Code Security Analysis para identificar IDs de eventos específicos de interesse.
- DNS Events: Os logs de DNS identificam “registos” para sites suspeitos que podem ajudar a determinar comportamentos atípicos. Dados de rede de plataformas como Zeek podem fornecer visibilidade considerável em protocolos como SSL/TLS, SMTP, SMB e HTTP. Os clientes também podem utilizar o Stream for Splunk.
- Authentication Logs: a CISA (Cybersecurity and Infrastructure Security Agency) cita a habilitação da autenticação multifator (MFA) como um primeiro passo importante para proteger sua organização.
Informações de Apoio
Para os clientes que utilizam o Splunk ou Splunk Enterprise Security (ES), são partilhados aqui alguns dos blogs Splunk que podem consultar.
Apps recomendadas
- SA-Investigator: Uma aplicação Splunk gratuita que foi desenvolvida para ficar no topo do Splunk Enterprise Security. Pode ser usada para caçar e investigar ativos, identidades, hashes de ficheiros e nomes de arquivos/processos. Mais info aqui.
- OT Security Add-on para Splunk: Os clientes com tecnologia operacional (OT) como SCADA e sistemas de controlo industrial (ICS) podem achar a aplicação “OT Security Add-on para Enterprise Security” muito útil. A CISA denunciou de forma explícita ameaças cibernéticas à infraestrutura crítica dos EUA, como concessionárias de energia e água. Mais info aqui.
Ativação
- Workshops: Os engenheiros de soluções da Splunk oferecem workshops personalizados online e pessoalmente.
- Boss of the SOC (BOSS) Platform: Nos últimos quatro anos, especialistas em segurança do Splunk desenvolveram cenários e treinamento Boss of the SOC (BOTS) para imitar as táticas, técnicas e procedimentos usados pelos Grupos russos de APT. Os exercícios de treino podem ser encontrados aqui.
Recursos do CISA — Agência de Segurança Cibernética e Infraestrutura
A Splunk está a trabalhar com a CISA, como membro da Joint Cyber Defense Collaborative. Os serviços e ferramentas de cibersegurança gratuitos da CISA podem ajudar as organizações a passarem de reativas para proativas, em sua defesa cibernética.
A lista inclui o framework Synthetic Adversarial Log Objects (SALO) do Splunk, o Splunk Attack Detection Collector e o Splunk Attack Range.
Por último, A CISA lançou vários alertas e avisos na sua página “Shields Up” com as informações mais recentes sobre ameaças cibernéticas vinculadas à Rússia, juntamente com medidas de mitigação recomendadas.
Fonte: aqui.