Ciência e tecnologia

Compreendendo a segurança cibernética – Parte 1: Colocando a complexidade em perspectiva


Na conferência Black Hat Europe, em dezembro, conversei com um dos nossos analistas de segurança sênior, Paul Stringfellow. Na primeira parte da nossa conversa, discutimos as complexidades do uso de ferramentas de segurança cibernética e definimos métricas relevantes para medir o ROI e o risco.

Jon: Paul, como as organizações de usuários finais entendem o que está acontecendo? Nós da Black Hat temos diversas tecnologias, opções, temas e categorias diferentes. Em nossa pesquisa, existem 30 a 50 tópicos de segurança diferentes: gerenciamento de postura, gerenciamento de serviços, gerenciamento de ativos, SIEM, SOAR, EDR, XDR, etc. No entanto, do ponto de vista da organização do usuário final, eles não querem pensar em 40 a 50 coisas diferentes. Eles querem considerar 10, 5 ou até 3. Sua função é implantar essas tecnologias. Como eles querem pensar sobre isso e como você os ajuda a traduzir a complexidade que vemos aqui na simplicidade que procuram?

Paulo: Participo de eventos como este porque os desafios são muito complexos e em constante mudança. Não creio que você possa se tornar um CIO moderno ou um líder de segurança sem gastar tempo interagindo com fornecedores e com o setor em geral. Não necessariamente na Black Hat Europe, mas você precisa trabalhar com fornecedores para realizar seu trabalho.

Voltando ao seu ponto sobre 40 ou 50 fornecedores, você está certo. O número médio de ferramentas de segurança cibernética em uma organização varia de 40 a 60, dependendo do estudo ao qual você se refere. Então, como você acompanha? Há duas coisas que gosto de fazer quando participo de eventos como este – e desde que comecei a trabalhar com o GigaOm, adicionei uma terceira. Uma delas é reunir-se com fornecedores porque as pessoas me pedem para fazer isso. Em segundo lugar, assista a algumas palestras. A terceira foi passear pela Expo e conversar com fornecedores, principalmente aqueles que eu nunca tinha visto antes, para ver o que estavam fazendo.

Ontem participei de uma conferência e o que me chamou a atenção foi o título: “Como identificar as métricas de segurança cibernética que vão te trazer valor”. Do ponto de vista do analista, isso me chamou a atenção porque parte do que fazemos na GigaOm é criar métricas para medir a eficácia das soluções em um determinado tema. No entanto, se você implantar tecnologia como parte de SecOps ou operações de TI, coletará muitas métricas para tentar tomar decisões. Uma das coisas que discutiram na reunião foi o problema de criar tantos indicadores porque temos tantas ferramentas que há tanto ruído. Como você começa a encontrar valor?

A resposta longa à sua pergunta é que eles sugerem algo que considero uma abordagem muito inteligente: dar um passo para trás e pensar sobre quais métricas são importantes para uma organização. O que você precisa saber como empresa? Isso reduz o ruído e potencialmente o número de ferramentas usadas para fornecer essas métricas. Se você decidir que uma métrica não tem mais valor, por que manter a ferramenta que a fornece? Se não servir a nenhum propósito além de fornecer essa métrica, remova-o. Acho que esta é uma abordagem muito interessante. É quase como: “Já fizemos todas essas coisas. Agora, vamos pensar nas coisas que realmente ainda importam”.

Este é um espaço em evolução e a forma como o abordamos também deve evoluir. Só porque você comprou algo há cinco anos não significa que ainda tenha valor. Até agora, você provavelmente tem três outras ferramentas que fazem a mesma coisa. A forma como lidamos com as ameaças mudou e a forma como lidamos com a segurança também mudou. Precisamos voltar a algumas dessas ferramentas e nos perguntar: “Será que ainda precisamos disso?”

Jon: Medimos nosso sucesso por isso e, por sua vez, fazemos mudanças.

Paulo: Sim, acho que isso é muito importante. Recentemente estive conversando com alguém sobre a importância da automação. Se investíssemos em automação, estaríamos em melhor situação agora do que há 12 meses, após a implementação da automação? Gastamos muito dinheiro em ferramentas de automação, mas nenhuma delas é gratuita. Acreditamos que essas ferramentas resolverão nossos problemas. Além de trabalhar com a GigaOm, uma das coisas que faço como CTO é transformar os sonhos e visões dos fornecedores em realidade para atender às necessidades dos clientes.

Os fornecedores esperam que seus produtos mudem o mundo para você, mas a realidade é o que o cliente precisa do outro lado. É essa solidificação e compreensão – ser capaz de medir o que aconteceu antes de implementarmos algo e o que aconteceu depois de implementá-lo. Podemos mostrar melhorias? Este investimento tem valor real?

Jon: No final, aqui está a minha hipótese: o risco é a única métrica que importa. Você pode dividi-lo em risco de reputação, risco de negócios ou risco tecnológico. Por exemplo, você perderá dados? Você vazará informações e, como resultado, prejudicará seu negócio? Ou você vai vazar informações e incomodar seus clientes, o que pode afetar você fortemente? Mas há outro lado – você está gastando mais dinheiro do que realmente precisa para reduzir o risco?

Então você aborda questões como custo, eficiência, etc., mas é assim que as organizações pensam? Porque esta é a minha maneira tradicional de encarar o problema. Talvez tenha mudado.

Paulo: Acho que você está no caminho certo. Como indústria, vivemos numa pequena câmara de eco. Então, quando digo “indústria”, quero dizer um pouco do que vejo, que é apenas uma pequena parte de toda a indústria. Mas nesta parte, acho que estamos vendo uma mudança. Nas conversas com os clientes, fale mais sobre os riscos. Eles começam a compreender o equilíbrio entre pagamento e risco, tentando descobrir quanto risco podem tolerar. Você nunca pode eliminar todos os riscos. Não importa quantas ferramentas de segurança você implemente, sempre existe o risco de alguém fazer algo estúpido e expor sua empresa a uma vulnerabilidade. Isso antes de falarmos sobre agentes de IA tentando fazer amizade com outros agentes de IA para fazer coisas maliciosas – o que é uma conversa completamente diferente.

Jon: Gosta de engenharia social?

Paulo: Sim, muito mesmo. Esse é um show completamente diferente. No entanto, compreender os riscos está se tornando mais comum. As pessoas com quem converso estão começando a perceber que se trata de gerenciamento de riscos. Não é possível eliminar todos os riscos de segurança e não é possível lidar com todos os incidentes. Você precisa se concentrar em identificar onde estão os riscos reais para o seu negócio. Por exemplo, uma crítica às pontuações CVE é que as pessoas veem uma pontuação CVE de 9,8 e pensam que é um risco enorme, mas sem qualquer contexto. Eles não consideram se o CVE foi descoberto na natureza. Se não, quais são os riscos de encontrá-lo primeiro? Se uma exploração é tão complexa que nunca foi encontrada, quais são as chances de alguém usá-la?

É uma coisa tão complicada que ninguém vai tirar vantagem disso. Ele tem uma pontuação de 9,8 e aparecerá no seu scanner de vulnerabilidades como “Você realmente precisa lidar com isso”. A realidade é que você viu uma transformação sem qualquer contexto – se a observarmos em estado selvagem.

Jon: Risco é probabilidade vezes impacto. Então você está falando sobre probabilidades, isso afeta seus negócios? Isso afetará os sistemas que são mantidos a cada seis meses ou afetará o seu site voltado para o cliente? Mas estou curioso porque nos anos 90, quando estávamos realmente a operar, passámos por uma onda de aversão ao risco e depois por uma mudança para “temos de parar tudo”, que é disso que você está falando, através da mitigação de riscos e da priorização de riscos e assim por diante.

Mas com o avanço da nuvem e o surgimento de novas culturas como a ágil no mundo digital, parece que estamos de volta na direção de: “Bem, você precisa evitar que isso aconteça, trancar todas as portas e implementar confiança zero”. Agora estamos vendo uma onda de “Talvez precisemos pensar de maneira mais inteligente sobre isso”.

Paulo: Esse é um ponto muito bom e, na verdade, você traz uma analogia interessante. Vamos debater enquanto estamos registrando. Você se importa se eu discutir com você? Questiono por um momento sua definição de confiança zero. Portanto, o Zero Trust é frequentemente visto como uma tentativa de bloquear tudo. Esse pode não ser o caso do Zero Trust. A confiança zero é mais uma abordagem, e a tecnologia pode ajudar a apoiar essa abordagem. De qualquer forma, este é o meu debate pessoal. No entanto, confiança zero…

Agora, vou me colocar aqui mais tarde e discutir comigo mesmo. Então, confiança zero… se você usar isso como exemplo, é um bom exemplo. O que costumávamos fazer era confiança implícita – você faz login, eu aceito seu nome de usuário e senha, e tudo o que você faz dentro da bolha de segurança depois disso é considerado atividade válida e não maliciosa. O problema é que, quando sua conta está comprometida, o login pode ser a única coisa não maliciosa que você está fazendo. Uma vez logado, tudo o que sua conta comprometida tenta fazer é malicioso. Se nos envolvermos em confiança implícita, não seremos muito inteligentes.

Jon: Então, o oposto disso é bloquear completamente o acesso?

Paulo: Este não é o caso. Não podemos simplesmente impedir que as pessoas façam login. Zero Trust nos permite mantê-lo conectado, mas não confiar cegamente em tudo. Atualmente confiamos em você e avaliamos continuamente seu comportamento. Se você fizer algo que faça com que não confiemos mais em você, tomaremos medidas. Trata-se de avaliar constantemente se sua atividade é apropriada ou potencialmente maliciosa e, então, agir de acordo.

Jon: Este vai ser um debate muito decepcionante porque concordo com tudo o que disse. Você discute consigo mesmo mais do que eu posso suportar, mas acho que, como você disse, o modelo de defesa do castelo – uma vez dentro, você está dentro.

Estou misturando duas coisas aí, mas a ideia é que, uma vez dentro do castelo, você possa fazer o que quiser. Isso mudou.

Então, o que fazer? Leia a Parte 2 para saber como fornecer uma resposta econômica.

O artigo Compreendendo a segurança cibernética – Parte 1: Colocando a complexidade em perspectiva apareceu pela primeira vez no Gigaom.



Link da fonte

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *