CISO Insider: Segunda Edição

Os atacantes de ransomware têm como alvo os seus recursos mais valiosos, ou seja, onde sentem que podem extrair mais dinheiro de si, quer sejam mais disruptivos ou valiosos se forem mantidos sequestrados, quer sejam mais confidenciais se forem libertados.

A indústria é um determinante importante do perfil de risco de uma organização, enquanto os líderes de produção citam a interrupção do negócio como a principal preocupação, os CISO dos serviços financeiros e de retalho dão prioridade à proteção de informação pessoal confidencial; as organizações de cuidados de saúde, por sua vez, são igualmente vulneráveis em ambas as frentes. Em resposta, os líderes de segurança estão a mudar agressivamente o seu perfil de risco, afastando-o da perda e exposição de dados através do reforço dos seus perímetros, cópias de segurança de dados críticos, sistemas redundantes e melhor encriptação.

A interrupção do negócio é agora o foco de muitos líderes. A empresa incorre em custos mesmo que a interrupção seja breve. Um CISO do setor da saúde disse-me recentemente que, em termos operacionais, o ransomware não era muito diferente de uma grande falha de energia. Embora um sistema de reserva adequado possa ajudar a restabelecer a energia rapidamente, o tempo de inatividade não deixará de interromper a atividade. Outro CISO mencionou que está a pensar na forma como a interrupção se pode estender para além da rede principal da empresa, para preocupações operacionais, tais como problemas de pipeline ou o efeito secundário de fornecedores-chave estarem encerrados devido ao ransomware.

As táticas para gerir a interrupção incluem sistemas redundantes e segmentação para ajudar a minimizar o tempo de inatividade, permitindo à organização transferir o tráfego para uma parte diferente da rede enquanto contém e restaura um segmento afetado. No entanto, mesmo os processos mais robustos de cópia de segurança ou de recuperação após desastre, não conseguem resolver totalmente a ameaça de interrupção da atividade ou de exposição dos dados. O outro lado da mitigação é a prevenção.

Muitos dos CISO com quem falo estão a adotar uma abordagem de paleta para a prevenção e deteção de ataques, utilizando camadas de soluções de fornecedores que abrangem testes de vulnerabilidade, testes de perímetro, monitorização automatizada, segurança de pontos finais, proteção de identidade, etc. Para alguns, trata-se de redundância intencional, na esperança de que uma abordagem em camadas cubra quaisquer lacunas, como as camadas de queijo suíço, na esperança de que os buracos não se alinhem.

A nossa experiência tem demonstrado que esta diversidade pode complicar os esforços de remediação, criando potencialmente uma maior exposição ao risco. Como refere um CISO, a desvantagem de reunir várias soluções é a falta de visibilidade devido à fragmentação: "Tenho uma abordagem centrada na melhor solução, o que, por si só, apresenta alguns desafios, porque há uma falta de perceção dos riscos agregados, uma vez que temos estas consolas independentes para gerir as ameaças e não temos esta visão agregada do que se passa no nosso local." (Cuidados de saúde, 1100 colaboradores) Com os atacantes a tecerem uma teia complexa que se estende por várias soluções diferentes, pode ser difícil obter uma imagem completa da cadeia de ataque, identificar a extensão do comprometimento e eliminar totalmente quaisquer payloads de malware. Travar um ataque em curso exige a capacidade de analisar vários vetores para detetar, dissuadir e conter/remediar ataques em tempo real.

A aposta na XDR continua a não ser concretizada pela maioria. Muitos dos CISO com quem falamos implementaram um poderoso ponto de partida com a DRP. A DRP é um recurso comprovado: vimos que os atuais utilizadores de deteção e resposta de pontos finais têm um historial de deteção e interrupção mais rápida do ransomware.

No entanto, como a XDR é uma evolução da DRP, alguns CISOs continuam céticos quanto à utilidade da XDR. A XDR é apenas a DRP com algumas soluções de ponto adicionais? Preciso mesmo de utilizar uma solução completamente diferente? Ou irá a minha DRP oferecer, eventualmente, as mesmas capacidades? O atual mercado de soluções XDR acrescenta mais confusão à medida que os fornecedores competem para acrescentar ofertas XDR aos seus portefólios de produtos. Alguns fornecedores estão a expandir a sua ferramenta de DRP para incorporar dados adicionais sobre ameaças, enquanto outros estão mais concentrados na criação de plataformas de XDR dedicadas. Estas últimas são construídas de raiz para fornecer integração e capacidades prontas a utilizar, centradas nas necessidades do analista de segurança, deixando o mínimo de lacunas para a sua equipa preencher manualmente.

Confrontados com uma escassez de talentos na área da segurança e com a necessidade de responder rapidamente à contenção de ameaças, encorajámos os líderes a utilizar a automatização para ajudar a libertar o seu pessoal para se concentrarem na defesa contra as piores ameaças, em vez de lidar com tarefas mundanas como a reposição de palavras-passe. Curiosamente, muitos dos líderes de segurança com quem falei mencionaram que ainda não estão a tirar o máximo partido das capacidades automatizadas. Em alguns casos, os líderes de segurança não estão totalmente cientes da oportunidade; outros hesitam em adotar a automatização por receio de perderem o controlo, de se tornarem imprecisos ou de sacrificarem a visibilidade das ameaças. Esta última é uma preocupação muito legítima. No entanto, estamos a constatar que os adotantes eficientes da automatização conseguem exatamente o oposto, mais controlo, menos falsos positivos, menos ruído e mais informação acionável, ao implementar a automatização juntamente com a equipa de segurança para orientar e concentrar os esforços da equipa.

A automatização abrange uma série de capacidades, desde as tarefas administrativas básicas automatizadas até à avaliação inteligente dos riscos, possibilitada pela aprendizagem automática. A maioria dos CISO refere ter adotado a automação anterior, acionada por eventos ou baseada em regras, mas menos tiraram partido da inteligência artificial incorporada e das capacidades de aprendizagem automática que permitem decisões de acesso, em tempo real, baseadas no risco. É certo que a automatização das tarefas de rotina ajuda a libertar a equipa de segurança para se concentrar no pensamento mais estratégico que os humanos fazem melhor. Mas é neste domínio estratégico, na triagem da resposta a incidentes, para citar um exemplo, que a automatização tem o maior potencial para capacitar a equipa de segurança como um parceiro inteligente, que processa dados e faz a correspondência de padrões. Por exemplo, a IA e a automatização são especialistas na correlação de sinais de segurança para apoiar uma deteção e resposta abrangentes a uma falha de segurança. Cerca de metade dos profissionais de segurança que inquirimos recentemente afirmam que têm de correlacionar manualmente os sinais.1   Isto consome imenso tempo e torna quase impossível reagir rapidamente para conter um ataque. Com a aplicação correta da automatização, como a correlação de sinais de segurança, os ataques podem frequentemente ser detetados quase em tempo real.

Descobrimos que muitas equipas de segurança estão a subutilizar a automatização incorporada nas soluções existentes que já utilizam. Em muitos casos, a aplicação da automatização é tão fácil (e tem um elevado impacto!) como a configuração das funcionalidades disponíveis, por exemplo, a substituição de políticas de acesso de regras fixas por políticas de acesso condicional baseadas no risco, a criação de manuais de procedimentos, etc.

Os CISO que optam por renunciar às oportunidades de automatização fazem-no muitas vezes por desconfiança, citando preocupações sobre o facto de o sistema cometer erros irrecuperáveis enquanto funciona sem supervisão humana. Alguns dos cenários potenciais incluem um sistema que elimina indevidamente os dados do utilizador, o que representa uma inconveniência para um executivo que necessite de acesso ao sistema ou, pior ainda, conduz a uma perda de controlo ou de visibilidade sobre uma vulnerabilidade que foi explorada.

Mas a segurança tende a ser um equilíbrio entre os pequenos inconvenientes diários e a ameaça constante de um ataque catastrófico. A automatização tem o potencial de servir como um sistema de alerta avançado para um ataque dessa dimensão e os seus inconvenientes podem ser mitigados ou eliminados. Além disso, idealmente, a automatização não funciona sozinha, mas sim ao lado de operadores humanos, onde a sua inteligência artificial pode tanto informar, como ser controlada pela inteligência humana.

Para ajudar a garantir uma implementação simples, temos vindo a adicionar modos só de relatório às nossas soluções, de modo a oferecer um período de teste antes da implementação. Isto permite que a equipa de segurança implemente a automatização ao seu próprio ritmo, afinando as regras de automatização e monitorizando o desempenho das ferramentas automatizadas.

Os líderes de segurança que estão a utilizar a automatização de forma mais eficaz implementam-na juntamente com a sua equipa para colmatar lacunas e servir como primeira linha de defesa. Como um CISO me disse recentemente, é quase impossível e proibitivamente dispendioso ter uma equipa de segurança sempre concentrada em todo o lado, e mesmo que fosse possível, as equipas de segurança são propensas a uma renovação frequente. A automatização fornece uma camada de continuidade e consistência sempre ativa para apoiar a equipa de segurança em áreas que exigem essa consistência, como a monitorização do tráfego e os sistemas de alerta avançado. Implementada nesta capacidade de suporte, a automatização ajuda a libertar a equipa da revisão manual de registos e sistemas e permite-lhes serem mais proativos. A automatização não substitui os humanos, pelo contrário, estas são ferramentas que permitem aos seus colaboradores dar prioridade aos alertas e concentrar os seus esforços onde é mais importante.