setembro 08, 2020

[Segurança] Quanto tempo leva para identificar um ataque?

Quanto mais rápido uma empresa identificar uma invasão, provavelmente o impacto deste incidente será menor. Por isso, é importantíssimo que as empresas tenham capacidade de detecção e resposta a ataques. Essa estimativa de tempo é chamada de... 


Dwell Time

O relatório M-Trends, da FireEye Mandiant, há vários anos estima quanto tempo as empresas demoram para identificar uma intrusão. Os resultados acumulados nesses últimos anos mostra uma tendência de queda desse prazo.

Em 2011, a média do número de dias que um atacante permanecia em uma rede sem ser identificado era de 416 dias (mais de 1 ano). Essa média caiu para apenas 56 dias em 2019. O relatório M-Trends 2020 trouxe a comparação histórica, sendo que desde 2015 eles também estimam o tempo médio de detecção quando o incidente é identificado pela própria empresa ou por pessoas externas a ela.


Em 2019, as empresas que identificaram um ataque em seu ambiente demoraram, em média, 30 dias desde o início da intrusão. Se o ataque passou desapercebido pela empresa, a ponto dela tomar conhecimento do incidente por fontes externas, então nesses casos em média o atacante permaneceu na empresa por 141 dias. Sem considerar a forma de detecção, essa média em 2019 foi de 56 dias. No continente americano, essa média foi de 60 dias, versus 54 dias nas empresas na região da Europa, Oriente Médio e África (EMEA). Além disso, 41% das empresas investigadas pela FireEye tiveram o Dwell time abaixo de 30 dias. Mas 12% das empresas demoraram mais de 700 dias para identificar a invasão. 

Segundo o relatório, existem duas causas pata essa maior velocidade na detecção de ataques:

  • Crescimento de ataques "destrutivos", que rapidamente impactam as empresas e, por isso, são facilmente identificados. Ou seja, estamos falando dos ataques como os Ransomwares, que se manifestam no momento da infecção, e são uma das maiores pragas hoje em dia. O aumento dos ataques de ransomware significa uma queda no tempo médio para identificar ataques (o dwell time);
  • Aumento da adoção de serviços de gerenciamento de segurança, trazendo maior agilidade para os times de resposta a incidentes.

Outro relatório da FireEye Mandiant também mostra a dificuldade das empresas em detectarem quando foram invadidos. Segundo ele, 91% dos ciber ataques que conseguem se infiltrar nas empresas não geram alertas, e 53% dos ataques não são detectados pelas ferramentas de segurança existentes.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.