0
0
Bruce Schneier cunhou a frase teatro de segurança para descrever “medidas de segurança que fazem as pessoas se sentirem mais seguras sem fazer nada para realmente melhorar sua segurança”. Essa é a situação que ainda enfrentamos hoje quando se trata de defender contra os riscos à segurança cibernética.
O setor de seguros emprega atuários para ajudar a quantificar e gerenciar os riscos que os subscritores de seguros correm. As organizações e indivíduos que, por sua vez, compram apólices de seguro também olham para seus próprios maiores riscos e a probabilidade de ocorrerem e optarem de acordo por várias franquias e pilotos.
As coisas não funcionam da mesma maneira quando se trata de segurança cibernética. Por exemplo: o Gartner observou que a maioria das violações é o resultado de uma vulnerabilidade sendo explorada. Além disso, eles estimam que 99% das vulnerabilidades exploradas já são conhecidas pela indústria e não por novas vulnerabilidades de zero-day.
Como é possível que vulnerabilidades bem conhecidas sejam um canal significativo para os atacantes quando as organizações gastam coletivamente pelo menos US$ 1 bilhão em varredura de vulnerabilidades anualmente? Entre outras coisas, é porque as organizações estão praticando uma forma de teatro de segurança: estão focando esses scanners de vulnerabilidade no que sabem e no que é familiar; às vezes eles estão simplesmente tentando cumprir um requisito de conformidade.
Embora tenha havido um forte movimento da indústria em direção à eficácia e produtividade da segurança, com abordagens favorecendo a priorização de alertas,investigações e atividades, ainda há um bom número de teatralidades de segurança realizadas em muitas organizações. Muitos simplesmente continuam conduzindo vários processos de segurança e mantendo soluções de segurança que podem ter sido valiosas ao mesmo tempo, mas agora não abordam as preocupações certas.
Abordar uma preocupação como o teatro de segurança com profissionais de segurança pode resultar em defensiva ou ira de perturbar um processo bem estabelecido, ou pior, praticantes assumindo que há algum nível implícito de tolice ou inaptidão. Em vez de criticar as práticas de teatro de segurança, uma abordagem melhor é considerar sistematicamente quais lacunas podem existir na postura de segurança da sua organização. Parte deste exercício requer se perguntar o que você não sabe. Isso pode parecer um oximoro: como se sabe o que não se sabe?
A ideia de não saber o que você não sabe é um tema que frequentemente aparece na lista de razões dos CISOs que “os mantêm acordados à noite”. O desafio com esse tipo de problema de segurança é menos sobre aplicar rapidamente patches de software ou avaliar vulnerabilidades de infraestrutura identificada. Aqui, a principal preocupação é identificar o que pode ser completamente não abordado: existe algum aspecto do ecossistema de TI que está desprotegido ou poderia servir como um canal eficaz para outros recursos? A questão é basicamente: “O que ignoramos?” ou “Que ativo ou sistema de negócios pode ser completamente desconhecido, esquecido ou não sob nosso controle?” A questão não é sobre a fraqueza da superfície de ataque conhecida. É sobre a superfície de ataque desconhecida que não está protegida.
Atacantes sofisticados são adeptos a desenvolver uma imagem completa de toda a superfície de ataque de uma organização. Existem inúmeras ferramentas, técnicas e até serviços de hackers que podem ajudar os atacantes com essa tarefa. A maioria dos atacantes são pragmáticos e até mesmo orientados para os negócios, e seu objetivo é encontrar o caminho de menor resistência que proporcionará o maior pagamento. Muitas vezes isso significa focar na parte menos monitorada e menos protegida da superfície de ataque de uma organização.
Os atacantes são adeptos a encontrar ativos ou sistemas expostos à internet e desprotegidos. Muitas vezes, esses são ativos esquecidos ou desconhecidos que são tanto uma entrada fácil para a rede de uma empresa como valiosos em seu próprio direito. A ironia é que os atacantes, portanto, muitas vezes têm uma imagem mais verdadeira de uma superfície de ataque do que a equipe de segurança encarregada de defendê-la.
Curiosamente, a eficácia de uma empresa de segurança é muitas vezes diminuída por suas próprias restrições, porque a equipe se concentrará no que eles sabem que precisam proteger junto com os processos estabelecidos para fazer isso. Os atacantes não têm tais restrições. Em vez de seguir regras prescritas ou gerenciamento por tradição, os atacantes primeiro realizarão o reconhecimento e buscarão inteligência para encontrar os lugares de maior fraqueza. Os atacantes procuram esses pontos desprotegidos e favorecem-nos sobre os recursos que são ativamente monitorados e defendidos.
As organizações de segurança, por outro lado, normalmente iniciam e terminam suas avaliações com seus ativos conhecidos. O teatro de segurança os dedica muito foco ao conhecido e não o suficiente no desconhecido.
Mesmo práticas bem estabelecidas, como testes de penetração,avaliação de vulnerabilidades e classificações de segurança resultam em teatro de segurança porque giram em torno do que é conhecido. Para ir além da teatralidade em real eficácia, as equipes de segurança precisam desenvolver novos processos para descobrir as incógnitas que fazem parte de seu ecossistema de TI. Isso é exatamente o que os atacantes visam. Poucas organizações são capazes de fazer esse tipo de descoberta e detecção hoje. Não é viável nem pela carga de trabalho existente ou pelo nível de experiência necessário para fazer uma avaliação completa. Além disso, é comum que o viés se basee nas percepções pré-existentes da postura de segurança da organização para influenciar a busca pelo até então desconhecido.
O processo de descoberta de ativos expostos até então desconhecidos deve ser feito regularmente. Automatizar esse processo — particularmente devido à gama de TI em nuvem, parceiros e subsidiárias que devem ser consideradas — torna-o mais viável. Embora a automação seja necessária,ainda é importante que pesquisadores totalmente treinados estejam envolvidos para ajustar o processo, interpretar resultados e garantir seu escopo adequado.
Adicionar um processo contínuo de identificação de bens e sistemas desconhecidos, descontrolados ou abandonados não só ajuda a fechar lacunas, mas expande a alçada dos profissionais de segurança para se concentrar não apenas no que eles sabem, mas também para começar a considerar o que eles não sabem.
FONTE: HELPNET SECURITY