Tudo começa com visibilidade

As organizações são, na sua maioria, defendidas de ciberataques por estratégias e tecnologias já ultrapassadas, que estabeleceram um perímetro digital em torno das redes empresariais - uma suposta barreira que foi bem monitorada e por meio da qual o acesso foi definido e os controlos aplicados. As opiniões variam quanto à real eficácia dessas barreiras, limitando o número de pontos de acesso que tipicamente permitem um maior grau de escrutínio e, talvez, a confiança na segurança da rede e do seu conteúdo.

Mas esta fachada de segurança tem sido perfurada por tecnologias móveis, serviços na cloud e novas práticas empresariais. O número cada vez maior de pontos de acesso e métodos através dos quais o perímetro digital pode aumentar ou diminuir tira o sentido aos conceitos avançados de defesa do perímetro. Só depois de reconhecer que a aplicação de controlos e observação do perímetro é um pequeno subconjunto do que é necessário, se pode começar a tomar medidas significativas.

Adotar uma nova abordagem para a segurança - o que chamamos de Inteligência Impulsionada pela segurança (intelligence driven security) - vai exigir muitos avanços, e um dos primeiros passos é expandir a nossa visibilidade. Atualmente, quando se fala na visibilidade a muitos profissionais de segurança, eles imediatamente começam a falar sobre a visibilidade tradicional oferecida por firewalls e outros registos, router de telemetria, informações antivírus e talvez alertas IDS. Quando a indústria de SIEM começou, prometeu uma melhor visibilidade, o poder da investigação, e eficiência no cumprimento, por trazer estas informações. Embora atraente superficialmente, na realidade deixou muito a desejar.

A Inteligência Impulsionada na segurança requer uma abordagem fundamentalmente diferente para a visibilidade. Existem tecnologias para gravar cada pacote na rede e é importante entendê-los e interpretá-los como pacotes, sessões e aplicações. Para descobrir o que está realmente a acontecer no seu ambiente, deve aumentar as observações na sua infraestrutura de segurança, e ao fazê-lo terá - ou não, uma profunda visibilidade sobre a realidade. Este nível mais profundo de visibilidade vai ajudar a combater a inserção, repetição, fragmentação e métodos a nível aplicacional de burla à empresa de segurança existente. Combine isso com uma profunda visibilidade sobre o que pode estar a ocorrer no endpoint e é como acender uma luz numa sala que estava completamente às escuras ou, na melhor das hipóteses, iluminada com a luz ténue de uma vela.

Se analisar as notícias numa base diária poderá observar que as organizações estão a comprometer-se com muitos programas de segurança, supostamente fortes. Os programas de segurança têm de aumentar a sua visibilidade e evoluir em função das ameaças atuais e futuras. No entanto, é fácil perceber que estas falhas de segurança são apenas o início.

AMIT YORAN, SENIOR VICE PRESIDENT, UNIFIED PRODUCTS AT RSA (EMC) 
2014/09/08 12H44
OJE.pt