Os profissionais de TI, dos CIOs aos consultores de pequenas empresas, têm acelerado a evolução digital com muita criatividade e trabalho. Justiça seja feita, também com condições tecnológicas que se tornaram amplamente disponíveis há relativamente pouco tempo. Plataformas abertas de conferência, aplicações em nuvem e, nos bastidores, recursos de automação e gerenciamento remoto foram vitais para a continuidade de muitos negócios. Além da contribuição da indústria e dos provedores de TI, os modelos das startups genuinamente digitais servem como benchmark de onde a "transformação digital" pode chegar. Todo esse contexto realmente modifica a abordagem de proteção de endpoints. EDR (deteção e reposta em endpoints) não é antivírus gurmetizado. É interessante ver como a atualização tecnológica se alinha ao cenário de riscos, à realidade das empresas, e como se articula com outras mudanças rápidas nos ambientes de trabalho.
O poder da Inteligência Artificial na segurança
Concebidos há praticamente 40 anos, os primeiros pacotes de antivírus continham listas que não chegavam a uma centena de "assinaturas". Apenas com a massificação comercial de recursos de Inteligência Artificial e Machine Learning, essa técnica foi superada. A capacidade de identificar e bloquear os ataques pelo que tentam fazer torna prescindível comparar tudo com a base de "assinaturas". O conceito de "atualização" também se torna mais abrangente – se atualizam os indicadores do modus operandi do criminoso, independentemente da versão de malware ou outra modalidade de ataque que use.
Expressões como "malware" e "vírus" muitas vezes são percebidas como sinônimo de ameaças à cibersegurança. Muitos usuários ignoram até a noção de "vulnerabilidade"; que hoje grande parte dos ataques prescinde de malware. A parte relativa a condutas e conscientização continua a ser fundamental, mas também ganha outra abordagem de tecnologia e suporte, como verá o paciente leitor que prosseguir
Experiência do usuário com a solução de EDR
A simples substituição do "motor" de detecção de ameaças – de reconhecimento de assinatura a análises holísticas – é invisível, mas ao mesmo tempo bem perceptível ao usuário final na performance de seu posto de trabalho. O agente é mais leve e não depende de ações locais (nem aquele clique no popup de atualização, que a maioria ignora quando sob pressão para entregar suas tarefas).
Automação das respostas e analistas focados em risco e conscientização
A consolidação de logs, automação das respostas e orquestração das defesas (por exemplo, bloqueio automático do acesso a servidores ou segmentos da rede) já são itens consensuais no check list dos gestores de cibersegurança, assim como dos provedores de Serviços Gerenciados de Segurança (MSSPs). Além da questão de produtividade, os especialistas passam a entregar mais valor, por três razões: com a automação, os profissionais são acionados para tratar das exceções, o que dá uma visão cada vez mais refinada dos processos reais e um alinhamento crescente da cibersegurança ao negócio.
A visibilidade sobre o que ocorre nos endpoints e suas interações com a rede e os dados fornece uma "taxinomia do ataque". A descrição completa e articulada de "o que se fez" (ou tentou fazer) e "como se fez" pode fornecer aos analistas de riscos sinalizações de "quem fez" ou "por que fez".
Outro uso das análises e descritivos sobre ameaças e ataques é direcionar as ações de comunicação e conscientização dos usuários, para aumentar seu grau de autonomia, produtividade e engajamento nas políticas de segurança.
Segurança do dado em si, independentemente de onde esteja
Para o restrito grupo dos "elegíveis" ao trabalho remoto, normalmente executivos de maior escalão, o furto do notebook sempre foi uma preocupação. Outros funcionários eventualmente tinham acesso à empresa por aplicações móveis e usavam um PC corporativo durante o expediente. Agora, além da massificação do acesso remoto, dados críticos podem estar em máquinas que instalam e rodam as coisas – um link malicioso no WhatsApp web pode causar mais estrago do que no mobile. Há que remediar isso, mas, pelo sim pelo não, a melhor abordagem é proteger o dado em si – só você encripta e só você entrega a chave a quem de direito.
Mitigando a criptografia do mal
A gestão centralizada da criptografia não serve apenas à privacidade e sigilo dos dados. Impedir ou garantir a reversão de criptografias não autorizadas anula os ataques de ransomware.
Escalar e estender a cibersegurança, com alternativas financeiras viáveis
A dependência das tecnologias, serviços e principalmente do suporte de cibersegurança nunca foi tão intensa, tanto nos volumes quanto nos desafios de gestão de mudanças. As startups e as "transformadas" orientadas aos novos paradigmas – arquitetura de nova geração, agilidade e escalabilidade financeira – levam vantagem na adaptação. No caso específico de cibersegurança e EDR, a adoção de tecnologia com arquitetura renovada, serviços em nuvem e MSSPs preparados a suportar uma digitalização acelerada dos negócios fazem cada vez mais diferença. A flexibilidade dos modelos de licenciamentos ou contratação de MSSPs; a capacidade de configurar serviços sob medida para cada elo da cadeia de valor – do CEO ao terceirizado -; e a estrutura de suporte são outros critérios que devem ser avaliados caso a caso.
Rodrigo Larrabure, sócio e diretor comercial da CYLK Technologing.