CISO Insider: Edição 2

Os atacantes de ransomware têm como alvo seus ativos mais valiosos, onde eles acham que podem extrair o máximo de dinheiro de você, sejam eles os que causam interrupção ou mais valiosos, se mantidos como reféns, ou os mais confidenciais, se divulgados.

O setor é um determinante importante do perfil de risco de uma organização, enquanto os líderes do setor de manufatura citam a interrupção dos negócios como a principal preocupação, os CISOs de serviços financeiros e de varejo priorizam a proteção de informações confidenciais de identificação pessoal; as organizações de serviços de saúde, por sua vez, são igualmente vulneráveis em ambas as frentes. Como resposta, os líderes de segurança estão mudando agressivamente seu perfil de risco para longe da perda e exposição de dados por meio do fortalecimento de seus perímetros, backups de dados críticos, sistemas redundantes e melhor criptografia.

A interrupção dos negócios agora é o foco de muitos líderes. A empresa incorre em custos mesmo que a interrupção seja breve. Um CISO do setor de serviços de saúde me disse recentemente que, em termos operacionais, o ransomware não era diferente de uma grande queda de energia. Embora um sistema de backup adequado possa ajudar a restaurar a energia rapidamente, você ainda terá um tempo de inatividade que interrompe os negócios. Outro CISO mencionou que está pensando em como a interrupção pode se estender além da rede corporativa principal para preocupações operacionais, como problemas de pipeline ou o efeito secundário de fornecedores importantes fechados por ransomware.

As táticas para gerenciar a interrupção incluem sistemas redundantes e segmentação para ajudar a minimizar o tempo de inatividade, permitindo que a organização transfira o tráfego para uma parte diferente da rede enquanto contém e restaura um segmento afetado. No entanto, mesmo os processos mais robustos de backup ou recuperação de desastres não podem resolver totalmente a ameaça de interrupção dos negócios ou exposição dos dados. O outro lado da mitigação é a prevenção.

Muitos dos CISOs com quem converso estão adotando uma abordagem paleta para prevenção e detecção de ataques, utilizando camadas de soluções de fornecedores que cobrem testes de vulnerabilidade, testes de perímetro, monitoramento automatizado, segurança de ponto de extremidade, proteção de identidade, etc. Para alguns, isto é uma redundância intencional, esperando que uma abordagem em camadas cubra quaisquer lacunas, como pilhas de queijo suíço, na esperança de que os buracos não se alinhem.

A nossa experiência tem demonstrado que esta diversidade pode complicar os esforços de correção, criando potencialmente mais exposição ao risco. Como observou um CISO, a desvantagem de reunir várias soluções é a falta de visibilidade devido à fragmentação: "Tenho a abordagem melhor da categoria, que, por si só, apresenta alguns desafios, pois há uma falta de percepção dos riscos agregados, já que você tem esses consoles independentes para gerenciar ameaças e não tem essa visão agregada do que está acontecendo em seu local." (Serviços de saúde, 1.100 funcionários) Com os invasores tecendo uma rede complexa que se estende por várias soluções diferentes, pode ser difícil obter uma visão completa da cadeia de ataque, identificar a extensão do comprometimento e eliminar totalmente qualquer carga de malware. Interromper um ataque em andamento requer a capacidade de analisar vários vetores para detectar, impedir e conter/corrigir ataques em tempo real.

A promessa da XDR continua não sendo cumprida pela maioria. Muitos CISOs com quem conversamos implementaram um ponto de partida poderoso na EDR. A EDR é um ativo comprovado: vimos que os usuários atuais de detecção e resposta de pontos de extremidade têm um histórico de detecção e interrupção de ransomware mais rapidamente.

No entanto, como a XDR é uma evolução da EDR, alguns CISOs continuam céticos quanto à utilidade da XDR. A XDR é apenas EDR com algumas soluções pontuais adicionadas? Eu realmente preciso usar uma solução totalmente separada? Ou minha EDR acabará oferecendo os mesmos recursos? O mercado atual de soluções XDR aumenta ainda mais a confusão, pois os fornecedores correm para adicionar ofertas de XDR aos portfólios de produtos. Alguns fornecedores estão expandindo sua ferramenta EDR para incorporar dados adicionais sobre ameaças, enquanto outros estão mais focados na criação de plataformas XDR dedicadas. Os últimos são desenvolvidos desde o início para oferecer integração e recursos prontos para uso, centrados nas necessidades do analista de segurança, deixando o mínimo de lacunas para a sua equipe preencher manualmente.

Diante da escassez de talentos em segurança e da necessidade de responder rapidamente para conter as ameaças, incentivamos os líderes a empregar a automação para ajudar a liberar seu pessoal para se concentrar na defesa contra as piores ameaças, em vez de lidar com tarefas rotineiras, como redefinir senhas. É interessante notar que muitos dos líderes de segurança com quem conversei mencionaram que ainda não estão aproveitando ao máximo os recursos automatizados. Em alguns casos, os líderes de segurança não estão totalmente cientes da oportunidade; outros hesitam em adotar a automação por medo de perder o controle, de incorrer em imprecisão ou de sacrificar a visibilidade das ameaças. Essa última é uma preocupação muito legítima. No entanto, estamos vendo os adotantes eficazes da automação conseguirem exatamente o oposto, mais controle, menos falsos positivos, menos ruído e mais insights acionáveis, implantando a automação junto com a equipe de segurança para orientar e concentrar os esforços da equipe.

A automação abrange uma série de recursos, desde tarefas administrativas básicas automatizadas até a avaliação de risco habilitada por aprendizado de máquina inteligente. A maioria dos CISOs relata ter adotado a automação anterior, acionada por eventos ou baseada em regras, mas um número menor aproveitou os recursos integrados de inteligência artificial e aprendizado de máquina que permitem decisões de acesso baseadas em risco em tempo real. Certamente, a automação de tarefas rotineiras ajuda a liberar a equipe de segurança para se concentrar no pensamento mais estratégico que os humanos fazem melhor. Mas é nesse âmbito estratégico, na triagem da resposta a incidentes, para citar um exemplo, que a automação tem o maior potencial para capacitar a equipe de segurança como uma parceira inteligente, que processa dados e combina padrões. Por exemplo, a IA e a automação são hábeis em correlacionar sinais de segurança para apoiar a detecção e a resposta abrangentes a uma violação. Cerca de metade dos profissionais de segurança que pesquisamos recentemente afirmam que precisam correlacionar manualmente os sinais.1   Isso consome muito tempo e torna quase impossível reagir rapidamente para conter um ataque. Com a aplicação correta da automação, como a correlação de sinais de segurança, os ataques podem ser detectados quase em tempo real.

Descobrimos que muitas equipes de segurança estão subutilizando a automação incorporada às soluções existentes que já utilizam. Em muitos casos, aplicar a automação é tão fácil (e tem alto impacto) quanto configurar os recursos disponíveis, como substituir políticas de acesso de regra fixa por políticas de acesso condicional baseadas em risco, criar manuais de resposta etc.

Os CISOs que optam por abrir mão das oportunidades de automação geralmente o fazem por desconfiança, citando preocupações sobre a possibilidade de o sistema cometer erros irrecuperáveis ao operar sem supervisão humana. Alguns dos possíveis cenários incluem um sistema que exclui indevidamente os dados do usuário, causa transtornos a um executivo que precisa acessar o sistema ou, pior ainda, leva à perda de controle ou visibilidade sobre uma vulnerabilidade que foi explorada.

Mas a segurança tende a ser um equilíbrio entre os pequenos inconvenientes diários e a ameaça constante de um ataque catastrófico. A automação tem o potencial de servir como um sistema de alerta antecipado para esse tipo de ataque e seus inconvenientes podem ser atenuados ou eliminados. Além disso, a automação, em sua melhor forma, não funciona sozinha, mas acompanhada de operadores humanos, onde a inteligência artificial pode informar e ser verificada pela inteligência humana.

Para ajudar a garantir uma implementação tranquila, adicionamos modos somente relatório às nossas soluções para oferecer um teste antes da implementação. Isso permite que a equipe de segurança implemente a automação em seu próprio ritmo, ajustando as regras de automação e monitorando o desempenho das ferramentas automatizadas.

Os líderes de segurança que estão usando a automação de forma mais eficaz a implementam junto com sua equipe para preencher lacunas e servir como primeira linha de defesa. Como um CISO me disse recentemente, é quase impossível e proibitivamente caro ter uma equipe de segurança concentrada em todos os lugares e todos os momentos, e mesmo que fosse assim, as equipes de segurança são propensas a uma rotatividade frequente. A automação fornece uma camada de continuidade e consistência sempre ativa para apoiar a equipe de segurança em áreas que exigem essa consistência, como monitoramento de tráfego e sistemas de alerta antecipado. Implementada nessa capacidade de suporte, a automação ajuda a liberar a equipe da revisão manual de logs e sistemas e permite que ela seja mais proativa. A automação não substitui os humanos, essas são ferramentas que capacitam seu pessoal a priorizar alertas e concentrar seus esforços onde é mais importante.