Você sabia que segurança física e cibersegurança têm pontos em comum? Um bom exercício é fazer essa analogia para entender com mais clareza o que é possível fazer hoje em termos de segurança da informação. Portanto, vamos imaginar um local onde a criminalidade é alta, sem policiamento adequado e avaliar o que precisa ser feito para uma segurança efetiva.
O primeiro passo é monitorar. Instalando câmeras em pontos estratégicos e armazenando em um local central as gravações, podemos observar e avaliar o que está acontecendo na área. Da mesma forma, uma empresa pode monitorar tudo o que se passa em diversos pontos de sua TI com ferramentas específicas (como SIEM). Entretanto, assim como algumas pessoas podem usar máscaras no meio físico, existem meios cibernéticos de dificultar a identificação de problemas (ou indícios deles) nas redes de computadores.
Com os dados observados, já é possível criar regras de autorização ou bloqueio de acesso às pessoas. Logo, os mascarados já não seriam mais autorizados a entrar no local. Isso não elimina o problema para sempre, pois os ofensores sempre buscarão uma nova forma de burlar as regras. Sendo assim, a monitoração e criação de regras devem ser reavaliados frequentemente para novas situações. Os softwares do tipo SIEM permitem que se faça o mesmo, com especialistas em cibersegurança atentos à novas ameaças e atuando para impedi-las. Contudo, essa ação ainda é de forma reativa.
Se queremos ser proativos, precisamos unir os dois mundos: a TI ajuda a automatizar a busca de insights tanto no caso físico quanto no virtual. Computadores e técnicas modernas de processamento de dados ajudam a detectar padrões comportamentais dos ofensores nos incidentes: dias da semana, horários, perfis, etc. Da mesma forma, auxiliam na detecção de padrões incomuns ou não esperados aos dispositivos de TI ligados em rede. Esse tipo de prevenção de ameaças com inteligência chamamos de Threat Intelligence.
O último passo é compartilhar informações de segurança com vários especialistas da área em tempo real pela internet. Desta forma, todos passam a tomar conhecimento dos últimos incidentes de segurança e passam a se prevenir. Aliás, essa é uma das vantagens da internet 2.0, onde todos colaboram.
Existiria um próximo passo? Difícil saber. Mas já chegamos em um nível que implica em cada vez menos espaço para algumas ciberameaças avançarem. O SIEM e os serviços de Threat Intelligence com colaboração existem e estão disponíveis hoje no mercado. O potencial para ajudar organizações a se prevenirem é enorme. Na era do conhecimento, a união faz a força. Já imaginou sua empresa com este nível de cibersegurança?
André Duarte, coordenador de Operações do Arcon Labs.