Uma janela esquecida aberta durante a noite pode ser uma vulnerabilidade de segurança séria. Mas e se a janela esquecida aberta estiver no 20º andar? Nesse caso, é bem pouco provável que algum ladrão decida escalar o prédio para roubá-lo, logo, trata-se de uma vulnerabilidade de baixa criticidade, em que o maior perigo é a possibilidade de uma chuva molhar os móveis.
Por outro lado, se o local guardar algum objeto de altíssimo valor, talvez algum ladrão se disponha a escalar 20 andares para roubá-lo, aumentando o nível de criticidade da vulnerabilidade de segurança.
Isso mostra que, quando pensamos na proteção de residências, ou até de escritórios, não damos o mesmo tratamento a todas as vulnerabilidades de segurança. O mesmo vale para a segurança da informação. É preciso medir os riscos e a probabilidade de exploração de vulnerabilidades para determinar quais devem ser solucionadas imediatamente.
É virtualmente impossível prevenir toda e qualquer ameaça, por isso, os líderes de segurança precisam investir em uma estratégia de segurança que mantenha o equilíbrio entre prevenção, detecção e resposta, em que esses três aspectos desempenham funções essenciais para proteger os ativos corporativos e minimizar os riscos para o negócio.
Uma estratégia de segurança equilibrada de prevenção, detecção e resposta significa que é possível deixar algumas vulnerabilidades de lado para focar mais em detecção e resposta a incidentes. A questão, portanto, é conseguir priorizar. Para isso, as empresas precisam fazer um risk assessment e identificar as vulnerabilidades existentes para, então mitigar a vulnerabilidade versus o seu potencial de dano.
Detecção de ataques ou detecção de vulnerabilidades?
Quando a equipe de segurança foca em seu modelo de ameaças e passa a entender seus pontos mais críticos de exposição, fica mais fácil criar um conjunto de defesas e monitorá-las para identificar vulnerabilidades. A lógica é a mesma da detecção dos incidentes de segurança.
Todos os dias, profissionais de segurança recebem milhares de alertas que precisam de checagem. É impossível dar conta de todos eles, portanto, é mais benéfico focar naqueles que podem apresentar maior risco e que, se forem explorados, podem causar maior dano à empresa.
Para isso, é preciso levar em consideração o valor do ativo que contém a vulnerabilidade e determinar se há alguma ameaça associada a uma possível exploração dessa vulnerabilidade, entendendo o impacto financeiro que a empresa enfrentaria se a falha de segurança resultasse em uma violação de dados.
Mudança no papel do líder de segurança
Se antes bastava investir em ferramentas de prevenção para proteger o perímetro, hoje as decisões dos líderes de segurança são muito mais complexas, pois envolvem a necessidade de fazer investimentos mais diversificados para garantir a proteção dos ativos corporativos.
As tecnologias de segurança também estão evoluindo para acompanhar a mudança no cenário de ameaças. Hoje, cada vez mais fabricantes investem no uso de big data e inteligência artificial para ajudar as organizações a construírem frameworks de segurança mais balanceados entre prevenção, detecção e resposta.
Diante deste cenário, são cada vez mais valorizadas as tecnologias capazes de identificar o comportamento normal de uma rede ou de um usuário, de analisar dados de múltiplas plataformas de maneira inteligente, de emitir alertas de segurança, e de disparar processos automatizados de resposta a incidente.
Os líderes de segurança podem usar os dados dessas plataformas para tomar decisões relacionadas à estratégia de proteção e aos investimentos em tecnologia, garantindo, assim, o equilíbrio entre prevenção, detecção e resposta.
Leonardo Militelli, CEO da iBLISS.