A maioria das últimas grandes violações registradas tiveram em comum o fato de terem sido resultado de ataques direcionados. As ameaças persistentes avançadas se caracterizam por envolver um ato específico e alta motivação. Os ataques geralmente têm múltiplos vetores, são prolongados e adaptativos às defesas encontradas.
As ações costumam ser executadas por grupos de cibercriminosos bem organizados, com alto nível de expertise, paciência e persistência para identificar e implementar a melhor estratégia por meio da colaboração de múltiplos agentes.
Diferente dos ataques, que se adaptam aos obstáculos encontrados, as defesas das empresas são mais rígidas e estruturadas com base em produtos e soluções de segurança que se dividem em silos, o que facilita muito a vida dos criminosos.
Por que você deve abolir os silos
No ambiente de uma grande empresa há dezenas de produtos e soluções de segurança protegendo os ativos corporativos, como sistemas de prevenção de intrusão, antimalware, softwares de análise da rede, firewalls, entre outros. Esses produtos geram centenas e milhares de alertas por dia.
Mesmo com tantas soluções, garantir altos níveis de segurança do ambiente está cada vez mais difícil para as empresas. Entre os desafios está a presença de diferentes fabricantes, cada um com uma tecnologia diferente, que resulta em diferentes tipos de alerta. Isso dificulta a formação de uma equipe consistente, com as habilidades necessárias para lidar com tantas soluções. A falta de integração também impossibilita que haja uma análise contextual efetiva.
O grande número de ferramentas ainda exige um grande esforço de manutenção para manter os recursos atualizados, criando potencial para más configurações e políticas desatualizadas, criando uma falsa sensação de segurança.
Essa estrutura dificulta as ações dos times de segurança quando uma rede de operações está sob responsabilidade de diferentes silos.
Uma estratégia para enfraquecer os silos
Uma das maneiras mais óbvias de amenizar os problemas dos silos é restringir o número de fornecedores de soluções de segurança no ambiente, pois produtos de um mesmo fabricante tendem a se integrar mais facilmente.
Essa abordagem não é aprovada por muitos líderes de segurança, que não querem depender de apenas um ou dois fornecedores para garantir a segurança de toda a rede. No entanto, há outras maneiras de reduzir o número de silos. Conheça:
Integre diferentes áreas da TI
Ao unir múltiplos grupos da TI, como operações, aplicações, segurança da internet, auditoria e outros, é possível obter um trabalho mais eficiente e coordenado, com um tempo otimizado de resposta a incidentes. Essa estratégia deve ser apoiada por ferramentas de orquestração e automação que permitam executar ações de segurança em toda a rede.
É preciso ainda ter políticas de segurança bem alinhadas em toda a empresa. A automação também deve ser complementada com a habilidade de analisar e cobrir lacunas de segurança na infraestrutura e nas políticas de cada solução de segurança.
Inteligência e analytics
É provável que os silos de segurança continuem existindo por um bom tempo. Principalmente porque o desejo de aumentar as defesas da rede acabam resultando na adoção de cada vez mais tecnologias, tornando o ambiente ainda mais difícil de gerenciar.
Uma boa maneira de amenizar esse problema é integrando e analisando dados de diferentes fontes da rede. É preciso correlacionar um grande volume de informações para gerar informações que fazem sentido, o que pode ser resolvido por meio de mecanismos de inteligência e analytics de uma solução de Gerenciamento e Correlação de Eventos em Segurança (em inglês, Security Information and Event Management – SIEM).
A solução ajuda a determinar o que seria o comportamento normal da rede e pode enviar alertas ao detectar padrões que desviam do que é considerado normal, oferecendo uma boa fundação para mitigar riscos em todas as soluções da rede, como configurações de firewall, aplicações de segurança, gestão da base de dados, manutenção de servidores, entre outros.
Os silos de segurança são uma grande ajuda para os hackers que tentam invadir a rede e as empresas precisam reconhecer suas vulnerabilidades e criar métodos para obter insights e preencher lacunas para minimizar os riscos.
Cleber Marques, diretor da KSecurity.