O novo cenário de risco e confiança para Cibersegurança

Artigo original: https://www.linkedin.com/pulse/o-novo-cen%C3%A1rio-de-risco-e-confian%C3%A7a-para-david-muniz/

Is It Worth the Risk? :: Bob Roitblat ~ Speaker | Author | Consultant

No ambiente de negócios atual, o valor dos dados de clientes, parceiros, fornecedores e funcionários vêm crescendo de maneira expressiva. E os agentes maliciosos, cientes deste fato, vêem uma maneira de monetizá-los através uma série de ações para obtenção indevida destes dados. A previsão não é das melhores: a IBM e a Ponemon no documento Cost of a Data Breach Study 2020 calcularam em USD 3,86 milhões o custo médio de um vazamento de dados. Com a expansão do número de recursos conectados, principalmente através da introdução de dispositivos móveis, dos associados à Indústria 4.0 e Internet das Coisas, a superfície de ataque tende a aumentar vertiginosamente. Adicionalmente, com o crescimento do roubo de identidades, falhas zero-day, além dos insider threats, temos que pensar nestes agentes maliciosos não apenas como ameaças externas, mas como um fator de risco de dentro da própria organização: estes agentes podem obter dados de maneira legítima, através da devida autenticação e verificação de identidade dos usuários.

Neste cenário, a abordagem de incluir dispositivos e pessoas confiáveis em whitelists e os não confiáveis em blacklists vêm provando não ser a melhor maneira de mitigar riscos em cibersegurança. Para prevenir vazamento de informações e garantir a continuidade de seus negócios, as organizações precisam não apenas verificar a identidade dos usuários, mas também suas ações e comportamento dentro do ambiente. E o que temos visto é uma mudança de abordagem de proteção e verificação estática para algo dinâmico, envolvendo não apenas ações de bloqueio e prevenção, mas também de detecção e resposta. E é exatamente neste conceito que se baseiam os novos modelos como o Zero Trust - introduzido pela Forrester - e o modelo CARTA (Continuous Adaptive Risk and Trust Assessment), desenvolvido pelo Gartner.

...o que temos visto é uma mudança de abordagem de proteção e verificação estática para algo dinâmico, envolvendo não apenas ações de bloqueio e prevenção, mas também de detecção e resposta.

Estas ações proativas e reativas podem ser aplicadas não apenas ao ambiente de rede das organizações, mas também a usuários e sistemas. Assim, a implantação de firewalls, segmentação de redes, antivirus e IPS (Intrusion Prevention System) não têm sido suficientes para impedir ataques cibernéticos: as novas abordagens baseadas em confiança zero exigem investimentos em soluções como análise de tráfego de rede e ferramentas de análise de comportamento de usuário baseadas em Inteligência Artificial e Machine Learning. Desta maneira, é necessário que todas estas ferramentas trabalhem integradas, como uma plataforma de segurança para proteger um dos ativos mais importantes para as organizações: os dados. O maior desafio nesta nova abordagem de confiança zero é garantir a segurança do ambiente, não apenas com o objetivo de detectar e impedir que agentes maliciosos realizem suas ações, mas também permitir que os demais usuários executem suas atividades diárias, garantindo assim a produtividade.

Um exemplo disso é a utilização de políticas de senhas fortes, com a utilização de símbolos, letras maiúsculas e minúsculas, e números, além de redução da peridiocidade de trocas de senhas. Para um agente malicioso que obtém uma senha através de um e-mail phishing, por exemplo, uma política de senhas como esta não faz diferença alguma. Neste caso, como a equipe de SOC (Security Operations Center) poderá detectar que uma credencial foi comprometida? Isso só é possível por meio da análise contínua das ações e do comportamento do usuário no ambiente através de um conjunto de soluções preditivas e reativas, compondo uma plataforma completa de segurança. Desta maneira, é possível descobrir, monitorar, avaliar e priorizar continuamente os riscos e assim, melhorar a postura em cibersegurança das organizações. Mas o que isso quer dizer?

As abordagens baseadas em Zero Trust consideram risco e confiança não mais como um aspecto estático, mas como algo em transformação constante. Isso exige uma visibilidade total do ambiente de negócio, envolvendo desde o hardware até as pessoas, passando pela rede, sistemas, espaços de trabalho, transações e processos de negócio. Mas, em um ambiente onde tudo agora é oferecido no formato "As-a-Service", não é tão trivial garantir essa total visibilidade, levando em consideração que essas entidades são gerenciadas por outras organizações. Vale lembrar também que os times de SOC muitas vezes não tem visibilidade do topo desta pilha.

Figura 1: Pilha de Entidades associadas à Infraestrutura nas Organizações 

Isso significa que as organizações são boas em implementar soluções como firewalls, VPNs e IPS, e até conseguem analisar seus logs, porém não conseguem ter visibilidade das ações de usuários em aplicações críticas, como ERPs e CRMs. E exatamente esse tipo de visibilidade vem se mostrando essencial à continuidade dos negócios, considerando um contexto onde os clientes e inclusive os governos têm levado à sério o tema proteção de dados. Prova disto é a sanção de regulações como a GDPR (Europa), LGPD (Brasil) e CCPA (Califórnia), que prevêem a aplicação de pesadas sanções às organizações em caso de vazamento de dados pessoais.

Nesse contexto, trazendo um exemplo prático do aspecto dinâmico que falamos anteriormente, vamos considerar uma organização que utiliza um serviço de produtividade, como o G Suite ou o Office 365. Um usuário realiza sua autenticação nesses serviços em um dispositivo não gerenciado pela empresa (associados ao conceito BYOD, ou Bring Your Own Device). Ao invés de utilizar uma abordagem de permitir ou negar o acesso, é possível, baseado naquelas premissas, implementar políticas adaptativas que permitam ao usuário realizar autenticação, porém trabalhar em modo somente-leitura. Ou que ele suba arquivos no ambiente, mas que sejam colocados em quarentena. Assim, é possível garantir que esses arquivos não sejam compartilhados com quem não deveria acessá-los.

Além disto, a utilização de ferramentas de análise, Inteligência Artificial, automação e orquestração permitem acelerar o tempo de detecção e reposta a incidentes de segurança, permitindo escalar (os já limitados) recursos. Essas ferramentas devem ser facilmente integradas, suportar políticas adaptativas (além do permitir/negar) e também oferecer suporte às novas tecnologias, como containeres, soluções "As-a-Service" e dispositivos não gerenciados. Mas lógico que não estamos falando aqui de abrir mão das ferramentas tradicionais, como firewalls e antivírus.

...é necessário cada vez mais que os times de Segurança da Informação implementem não apenas soluções isoladamente, mas construam uma plataforma integrada de segurança envolvendo ações proativas e reativas.

Pois é, a vida não está fácil nem para os usuários e nem para os profissionais de cibersegurança. Roubo de identidades, vulnerabilidades zero-day e phishing: as técnicas de invasão vão continuar a evoluir, assim como o número de vazamentos de dados. A noção de perímetro de segurança não existe mais: tudo e todos devem ser verificados, levando sempre em consideração o equilíbrio entre segurança e produtividade. Além disto, é necessário cada vez mais que os times de Segurança da Informação implementem não apenas soluções isoladamente, mas construam uma plataforma integrada de segurança a partir de APIs robustas, envolvendo assim ações proativas e reativas. Nesse contexto, as abordagens de permitir/negar evoluíram para aquelas que analisem continuamente o comportamento do usuário para assim tomar detectar e responder à ameaças. Finalmente, é possível desta maneira garantir a confiança e de clientes, parceiros, fornecedores e colaboradores, mitigando riscos, e assim assegurar a continuidade dos negócios.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Tempo doido

Imagem
Olá, Hoje é feriado aqui na parte dutch da Bélgica, dia da Comunidade Flamenga, daí algumas empresas (inclusive a minha) deram o dia de folga para os funcionários. . Ontem teve um evento da minha equipe. Descobri que a cada 3 meses a gente tem direito de organizar um evento (jantar, atividades, etc) e que a empresa paga os custos. Fomos eu, o Filip (meu chefe), Steven e Hans jogar 2 partidas de sinuca e depois jantar em um restaurante super legal lá em Mechelen, chamado T'Archief (algo como "o arquivo", ou biblioteca). Essa semana pensei em um tópico para o post, e decidi falar sobre o clima aqui na Bélgica: é coisa de doido! Durante esta semana tirei umas fotos para ilustrar do que estou falando. . Primeira foto tirada às 16:16 do dia 08/07: Segunda Foto tirada às 16:34 do mesmo dia: Terceira foto tirada às 17:52 : Bom, pode ser até que isso aconteça em algumas regiões do Brasil e tal, mas não vem me dizer que é normal não, isso é coisa de maluco!! O verão aqui ou aind...
Leia mais

My Anxious Second Post

Imagem
Bom dia Galera, Tudo bom???? Apesar de estar publicando este post no dia 13, parte dele foi escrito no dia 12 mesmo. Falei pra mim mesmo que não iria postar mais de uma vez num dia, e espero na medida do possível me comportar assim, mas enfim, no dia que não puder esperar, vai dois ou mais no mesmo dia. Estou no fim do semestre, graças a Deus. Acho que é uma das melhores sensações que pode existir. A sensação de dever cumprido, mesmo que muitas vezes nós (e até os professores) tentemos levar o semestre com a barriga. Antes de falar sobre o fim do semestre, deixa eu falar uma coisa pra vocês: ontem, depois que publiquei o primeiro post e arrumei esse negócio direitinho, fiquei pensando: "Será que preciso mesmo de um blog??? Logo eu, que sempre achei essas coisas sem graça???". Pois é, logo eu!! Mas admito que a idéia não é má, como eu falei, a única coisa que me assusta é ter minha vida (ou parte dela) exposta, mesmo que para um número restrito de pessoas. Ontem tive a apresen...
Leia mais

O Homem na Arena

Imagem
 A Brene Brown é uma das minhas escritoras favoritas. Já falei dela aqui e continuarei falando. Quando fui internado ano passado, uma das minhas companhias durante o período que fiquei no hospital foi o livro "A Coragem para Liderar". Ela inclusive quem me apresentou o discurso do Theodore Roosevelt, que trouxe em minha última postagem.  Esse discurso é um dos maiores exemplos de coragem e vulnerabilidade que conheço. Quando nos despimos do nosso orgulho e daquela ideia de "o que as pessoas vão pensar?" para corrermos atrás dos nossos sonhos, do que acreditamos e temos como verdade. Quando tomamos um chá de "fuckemal" (é libertador)!  Em uma de suas palestras, a Brené fala sobre alguns pontos chave da vulnerabilidade, e que falam muito comigo. Primeiramente, que o que importa não é ganhar ou perder. O que importa é aparecermos e sermos vistos! Levantar a nossa cauda de pavão. Literalmente colocarmos a cara a tapa. Botar o corpo na rua! Em no...
Leia mais