O ataque da SolarWinds foi manchete de segurança no final de 2020, e continuamos a aprender novos detalhes sobre as invasões e as organizações afetadas. Mesmo quando a discussão se acalmar, é fácil imaginar que ainda iremos analisar todos os efeitos desses incidentes, assim como comentamos a respeito de ataques pioneiros e eventos de segurança dos últimos 20 anos.
Como CMO na Netskope, estou sempre interessado em como nos posicionamos nas discussões sobre esses temas. Mas, em virtude da minha trajetória como CISO e Chief Strategy Officer, me interesso pelo gerenciamento de riscos e como ir além da publicidade e da especulação, obtendo conselhos reais que podem ser aplicados hoje, baseado no que já aprendemos.
Após várias conversas com lideranças de segurança nas últimas semanas, compreendo que essas são as três lições práticas sobre esse incidente:
Existe mais empatia e apoio entre os profissionais de segurança do que imaginávamos. Vamos utilizar isso em nosso favor.
Profissionais de segurança, mesmo sem ser o CISO, tendem a se proteger. Ninguém quer estar na posição dos profissionais da FireEye, SolarWinds ou qualquer outra pessoa envolvida na ocorrência. E no geral, os fornecedores de segurança e influenciadores não exploraram a situação, e sim, expressaram solidariedade e desejam assim como nós, enquanto comunidade, compreender o que aprendemos com tudo isso.
Os últimos anos foram assolados pela divisão em todo o mundo. Já em nossas conversas o tema foi a unidade, a vontade de fazer o melhor no que diz respeito à cooperação na indústria de segurança seja pública ou privada. Conversamos sobre o compartilhamento de inteligência sobre ameaças e de sermos bons cidadãos. Se houver algo positivo no que aconteceu com a SolarWinds, talvez seja a inspiração real em colaborar nas coisas que precisam ser feitas, e não apenas a ideia de formar mais comitês de compartilhamento de informações sobre ameaças, ou promover a agenda de tecnologia. A SolarWinds é um alerta de que ainda não estamos nem perto de chegar ao ideal no que se refere aos controles de segurança. Só que já temos as pessoas certas comprometidas com os resultados necessários.
Descobrimos o que realmente significa visibilidade e controle
Nós adoramos essas duas palavras, não é? "Veja tudo, aja imediatamente"? Excelente efeito em termos de marketing, mas muitas vezes é só teórico, quando não ilusório.
Precisamos de uma compreensão plena do que acontece em nossas redes, com os dados e quem os acessa em todo o ambiente e no ecossistema estendido. Jamil Farshchi, o CISO da Equifax, descreveu recentemente a segurança em supply chain como "dependente de questionários pontuais, de baixa confiabilidade e visitas on-site ou o juridiquês do MSA (Master Services Agreement)". Como ele explicou num post do LinkedIn, "simplesmente não funciona". A segurança em supply chain é um aspecto entre centenas de outros referente à visibilidade e ao controle total do ecossistema, é claro, mas o raciocínio que Jamil descreve se aplica a muitos casos.
Simplesmente não somos capazes de controlar o que está acontecendo sem nos comprometermos com uma visibilidade ampla e profunda, além da habilidade de resolver as anomalias do que estamos percebendo, em tempo real.
A tecnologia existe para permitir isso, mesmo em ambientes distribuídos e que priorizam a nuvem. Só que ainda não estamos utilizando isso de forma adequada. Quando estivermos, poderemos oferecer a transparência que Jamil descreve da Equifax: "É por isso que decidimos dar aos nossos clientes, visibilidade em tempo real, sobre a eficácia operacional de nossos controles de segurança em nuvem – produtos, serviços e infraestrutura de suporte – da mesma maneira que gostaríamos que nossos fornecedores fizessem conosco." Essa é uma ação que todos devem apoiar.
Não iremos longe sem gerenciamento de risco contínuo
À medida que as organizações adotam a nuvem, o jeito antigo de pensar a proteção de dados não é mais eficaz. A DLP (Data Loss Prevention), como muitos de nós acreditamos, vem da era pré-nuvem de segurança e ainda está enraizada na ideia de que os "bens" estão em um data center, protegidos por um perímetro e, assim, podemos prevenir o vazamento de dados "para fora", e ao mesmo tempo impedir que outros "entrem".
A proteção de dados na era da nuvem envolve todo um contexto; permitimos ou desabilitamos o acesso a ele com base numa compreensão aprofundada e granular de quem é o usuário, o que está tentando fazer e o porquê. Se pudermos permitir que os controles de acesso condicionais sejam definidos por meio desse contexto de usuários, apps, dispositivos e dados, criamos um gerenciamento de risco contínuo e dessa forma, não dependemos de uma visão incompleta ou desatualizada do nosso ambiente.
Que tal trabalharmos para alcançar o gerenciamento de risco contínuo ainda em 2021?
Jason Clark, diretor de Marketing e Estratégia da Netskope.