Resultados

A Tabela 4.4 apresenta os modelos de regress˜ao e cada um dos resultados. Nenhuma m´etrica foi considerada significativa no modelo I. Considerando somente o modelo II, a m´etrica Tt (G2) foi considerada relevante. No modelo III, das seis m´etricas inclu´ıdas na

regress˜ao, trˆes delas (At (G2), T Att e AlTt) impactaram significativamente o n´umero de

incidentes de seguran¸ca. J´a no modelo IV, entre as quatro m´etricas presentes na regress˜ao, a m´etrica Tt (G2), assim como no modelo II, foi a ´unica vari´avel significativa.

Em cada um dos modelos investigados, ao menos uma m´etrica foi considerada relevante, com exce¸c˜ao do modelo I. Essa evidˆencia emp´ırica sugere que o conjunto de m´etricas investigado possui uma rela¸c˜ao com o n´umero de incidentes de seguran¸ca reportados, confirmando a resposta positiva para a pergunta 1:

Tabela 4.4: Resultados dos modelos de regress˜ao - coeficiente e valor p Vari´aveis

(M´etricas) Modelo I Modelo II Modelo III Modelo IV

Alt(G1) -0,0002 (0,0001) - - - Alt(G2) - -0,0003 (0,0006) - - Att(G1) 0,0003 (0,0002) - - - Att(G2) - -0,0038 (0,0154) 0,0345 ** (0,009) - Tt(G1) 0,0025 (0,0014) - 0,001314 (0,001) 0,00144 (0,001) Tt(G2) - 0,01517 * (0,0059) - 0,0135 ** (0,0022) St(G1) -0,0053 (0,0057) - - - St(G2) - -0,0071 (0,0214) - - AlTt (G1) 0,2636 (0,1824) - -0,029 (0,01632) -0,0123 (0,0125) AtTt(G1) -0,3031 (0,2326) - 0,024 (0,032) - T Att(G2) - 0,0047 (0,5398) 1,1038 ** (0,2723) - AlAtt(G2) - -0,01645 (0,0348) -0,0459 * (0,02) 0,0213 (0,0162) * p< 0, 05 ** p< 0, 01 ( ): erro padr˜ao do coeficiente tes de seguran¸ca?

Tamb´em foi poss´ıvel notar algumas diferen¸cas entre as sele¸c˜oes de vari´aveis em cada um dos modelos de regress˜ao. A m´etrica Tt(G2) foi exclu´ıda do modelo III, mas foi considerada

significativa nos modelos II e IV. Assim como no modelo IV, em que as m´etricas At (G2)

e T Att foram exclu´ıdas da sele¸c˜ao pelo algoritmo LARS, mas no modelo III apareceram

como significativas. Isso mostra a importˆancia da an´alise acerca dos modelos gerados. Dessa forma, o pesquisador deve ser capaz de inserir ou excluir determinadas vari´aveis do modelo quando necess´ario.

Em termos pr´aticos, se o conhecimento da rela¸c˜ao entre um determinado conjunto de vari´aveis independentes (m´etricas de IPS) e a vari´avel dependente (incidentes de segu- ran¸ca) ´e restrito e sustentado por hip´oteses que necessitam de valida¸c˜ao, ´e recomend´avel que todas as m´etricas presentes no conjunto sejam avaliadas, seja com o aux´ılio de algo- ritmos de sele¸c˜ao ou incluindo o conjunto inteiro de vari´aveis independentes no modelo de regress˜ao. Este ´e o caso descrito nesta tese.

O resultado positivo para a pergunta 1 pode ser usado como ponto de partida para a investiga¸c˜ao das perguntas 2 e 3 definidas anteriormente:

2. M´etricas relacionadas a posi¸c˜ao do atacante perante a rede da organiza¸c˜ao influen- ciam os incidentes de seguran¸ca?

Tabela 4.5: Resultados dos modelos de regress˜ao de acordo com o tipo de incidente - coeficiente e valor p

Vari´aveis (M´etricas) Bots Hacking Spam

Alt(G1) -0,000002 (0,0000023) - - Alt(G2) - - - Att(G1) - - - Att(G2) - 0,0333 ** (0,005974) -0,024 (0,012) Tt(G1) 0,0023 ** (0,0003) - -0,00124 (0,00084) Tt(G2) -0,001 (0,00087) 0,00139 (0,00151) 0,0107 ** (0,0039) St(G1) -0,00087 (0,00157) - - St(G2) - - - AlTt (G1) - -0,0141 * (0,007) - AtTt(G1) - - - T Att(G2) 0,427 ** (0,1053) - -0,1597 (0,317) AlAtt(G2) -0,018 ** (0,0061) - - * p< 0, 05 ** p< 0, 01 ( ): erro padr˜ao do coeficiente

3. M´etricas relevantes variam de acordo com o tipo de incidente?

Os resultados dos modelos apresentados na Tabela 4.4 podem diferir de acordo com a classifica¸c˜ao do incidente. Na maioria dos casos, a an´alise de acordo com o tipo de incidente ´e mais ´util do que a an´alise do conjunto dos incidentes acumulados, pois cada incidente possui caracter´ısticas pr´oprias que devem ser levadas em considera¸c˜ao em seu processo de tratamento e preven¸c˜ao. Se a equipe de tratamento e resposta de incidentes da organiza¸c˜ao detecta um aumento no n´umero de incidentes em compara¸c˜ao com o mˆes passado, poucas decis˜oes podem ser tomadas a partir dessa informa¸c˜ao. Se o aumento foi no n´umero de Spam e V´ırus, as atitudes podem ser direcionadas de maneira mais eficiente. A Tabela 4.5 mostra os resultados dos modelos de regress˜ao para cada tipo de incidente investigado. Agora, a vari´avel dependente ´e dada pelo n´umero de incidentes Bot (IBt),

n´umero de incidentes Hacking (IHt) e n´umero de incidentes Spam (ISt). Em cada um dos

modelos, foi aplicado primeiramente o algoritmo LARS em todas as doze m´etricas para selecionar as vari´aveis que entrar˜ao no modelo de regress˜ao.

Os resultados presentes na Tabela 4.5 indicam que as categorias de incidentes de segu- ran¸ca possuem diferentes m´etricas de seguran¸ca relevantes, confirmando a resposta positiva para a pergunta 3. De fato, as m´etricas relevantes para os incidentes Bot (Tt (G1), T Att

(G2) e AlTt(G1)) e tamb´em diferentes das m´etricas relevantes para os incidentes Spam (Tt

(G2)). Al´em das diferen¸cas, certas similaridades entre os incidentes puderam ser notadas. Nenhuma das seguintes m´etricas foram sequer selecionadas pelo LARS nos trˆes tipos de incidentes investigados: Alt(G2), Att(G1), St(G2) e AtTt(G1). Ao analisar a Tabela 4.4,

´

e poss´ıvel notar que essas quatro m´etricas tamb´em n˜ao foram selecionadas pelo LARS no modelo IV onde todos os incidentes foram analisados. Al´em disso, nos casos em que tais m´etricas foram inseridas nos modelos, nenhuma delas foi considerada relevante. Assim, foi encontrada uma forte evidˆencia emp´ırica de que tais m´etricas n˜ao est˜ao relacionadas aos incidentes reportados, indicando um primeiro crit´erio utilizado para a sele¸c˜ao de m´etricas de seguran¸ca: quais n˜ao devem ser usadas.

A an´alise de cada uma dessas m´etricas ao longo dos quatro anos de estudo mostra que:

• O n´umero de atacantes externos, assim como a rela¸c˜ao entre esses atacantes e seus respectivos alvos n˜ao influencia a ocorrˆencia de incidentes de seguran¸ca na institui¸c˜ao investigada;

• Os alertas gerados pelos atacantes dentro da organiza¸c˜ao, assim como a diversidade desses ataques, tamb´em n˜ao influencia a ocorrˆencia de incidentes de seguran¸ca na institui¸c˜ao investigada;

Dentre as seis m´etricas relevantes encontradas na Tabela 4.5, quatro delas s˜ao do grupo G2 e somente duas s˜ao do grupo G1. Resultado similar foi encontrado nos modelos de regress˜ao presentes na Tabela 4.4, em que as quatro m´etricas relevantes s˜ao do grupo G2, mostrando que foram encontradas evidˆencias emp´ıricas de que as m´etricas referentes as tentativas de ataque de dentro para fora da organiza¸c˜ao est˜ao mais relacionadas aos incidentes do que as m´etricas referentes as tentativas de ataque de fora para dentro da organiza¸c˜ao, confirmando a resposta positiva para a pergunta 2.

Esse resultado representa o oposto da an´alise descritiva feita nos dados IPS, em que mais de 92,5% dos dados s˜ao do grupo G1. Isso mostra que o tamanho do conjunto de dados pode n˜ao ser diretamente proporcional ao volume de informa¸c˜ao ´util dispon´ıvel. ´E poss´ıvel que o pr´oprio perfil da universidade seja um dos fatores respons´aveis por esse comportamento. Em ambientes acadˆemicos, geralmente os n´os da rede n˜ao s˜ao comple- tamente controlados pelo departamento de TIC (como em uma organiza¸c˜ao privada), o

que garante uma certa liberdade para os usu´arios da rede. Essa liberdade, pode ocasionar diversos problemas de seguran¸ca originados pelos computadores de dentro da organiza¸c˜ao. Da mesma forma, as universidades podem ser consideradas alvos valiosos para os atacantes devido a quantidade e diversidade de alvos dispon´ıveis. Assim, o alto n´umero de ataques externos direcionados `a organiza¸c˜ao e a cria¸c˜ao de diversas regras para bloque´a-los, so- mado `as pol´ıticas de uso mais relaxadas dentro do ambiente acadˆemico poderia explicar parte desse comportamento.

´

E importante mencionar que a descoberta de novos incidentes pode, eventualmente, alterar v´arios dos comportamentos encontrados. Por esse motivo, a relevˆancia das m´etricas deve ser investigada periodicamente, a fim de minimizar os impactos de problemas em futuras an´alises.