julho 03, 2015

[Segurança] A Era das Trevas da Segurança

O presidente da RSA, Amit Yoran, deu uma palestra na RSA Conference, em abril deste ano, aonde ele disse que nós vivemos na "Era das Trevas" da Segurança da Informação, em referência ao fato que nossas estrategias de proteção são praticamente as mesmas há vários anos e não conseguimos proteger as empresas contra os ciber ataques. ele também propôs que busquemos novas abordagens para conseguir vencer as ameaças cibernéticas que nos cercam atualmente.

Na palestra batizada de Escaping Security’s Dark Ages (veja o vídeo aqui), Amit afirma que estamos vivendo na "Idade das Trevas" da segurança. Isso porque nós, profissionais da área, ainda nos apegamos a idéias desatualisadas e contamos com ferramentas e táticas que funcioanvam bem no passado. E, mesmo assim, ficamos surpresos ao nos ver em uma era de caos e violência online, aonde ciber ataques e grandes roubos de dados acontecem quase diariamente.

Desde o início a nossa indústria de segurança tem adotado estratégias similares as que tínhamos na idade média: construímos defesas de perímetro cada vez mais fortes (firewalls e ferramentas mais robustas, tais como os grandes castelos de antigamente), mas a indústria tem relutado em perceber que muros mais altos não vão resolver nossos problemas atuais. Segundo a pesquisa anual da Verizon, menos de 1% dos ataques APT foram detectados pelas ferramentas de SIEM - o que mostra nossa incapacidade de detectar, e consequentemente bloquear e reagir, aos ataques mais importantes.




Uma das frases que resumem bem a palestra dele é a seguinte:
“We need to stop thinking of taller castle walls and deeper moats… At the end of the day, even if you use next generation protective measures, focused adversaries with the resources, with the time, with the skill, and that have a defined objective of breaking into your organization are still going to get in.”

Na segunda metade da palestra, o Amit deu 5 sugestões em como o mercado poderia mudar sua abordagem, para que possamos nos livrar do passado e entrar na era do Iluminismo ("Age of Enlightenment"), conseguindo maior compreensão e proteção do nosso mundo digital:

  1. Pare de acreditar que as "ferramentas avançadas" (advanced protection) que o mercado lança vão resolver alguma coisa. Elas também vão falhar porque são baseadas nos mesmos princípios que tem falhado até então;
  2. Precisamos ter grande visibilidade de tudo o que acontece no nosos ambiente de TI. As grandes ameaças e ataques que tivemos recentemente foram criadas para ser invisíveis, para evitar a detecção por parte das ferramentas existentes. Não podemos fazer seguranca hoje em dia sem ter visibilidade de tudo o que acontece na redes, nos endpoints, nas aplicações, etc: quem fala com o que e como. Isto também inclui conhecer as técnicas que nossos adversários usam para nos atacar e comprometer nossas defesas;
  3. Identidade e autenticação são cada vez mais fundamentais. Segundo a o relatório de incidentes da Verizon, em 95% dos ataques foram utilizadas credenciais roubadas de usuários válidos. Por isso, precisamos utilizar ferramentas de autenticação forte ("strong authentication") e monitorar quem está acessando o que em nosso ambiente, principalmente quando se tratar de contas de acesso críticas (como, por exemplo, logins de altos executivos, de administradores do sistema, etc);
  4. Inteligência - Devemos identificar as ameaças que importam mais para a nossa empresa; afinal hoje em dia temosa nossa disposição várias fontes externas de inteligência, tais como servi;cos oferecidos por empresas, informações disponibilizadas livremente por organizações, grupos de usuários, sites, etc;
  5. Priorizar: Ao conhecer o que é mais importante e crítico para cada empresa, podemos investir tempo, recursos e dinheiro nos verdadeiros recursos de missão crítica para o negócio. Devemos identificar ps servidores, aplicações, dados que são mais relevantes e que devem ser protegidos a qualquer custo.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.