0
0
A transição para a nuvem está em andamento na maioria das organizações. À medida que mais pessoas dependem de infraestrutura em nuvem e aplicativos, as equipes de segurança têm que repensar vários aspectos da segurança, desde a estrutura de seu centro de operações de segurança até o controle de software como serviço.
“Cloud é como tudo o que você já usou antes, exceto que tudo é completamente diferente”, disse Steve Riley, diretor sênior de pesquisa do Gartner, em uma sessão no Security and Risk Management Summit de 2020, em meados de setembro. “É enorme, dinâmico, é autoatendimento, [e] existe fora das esferas tradicionais de controle.”
As discussões sobre segurança na nuvem são muitas vezes complicadas porque diferentes pessoas têm ideias diferentes do que constitui a computação em nuvem e quais são seus papéis e interesses pessoais, disse Riley. Cabe às organizações concentrar sua atenção em aspectos de segurança na nuvem que podem controlar: permissões de identidade, configuração de dados e, às vezes, código de aplicativos. A maioria dos problemas de segurança na nuvem que as organizações enfrentam caem sob essas três áreas.
“O volume de uso de nuvem está aumentando, a sofisticação está aumentando, a complexidade está aumentando, [e] o desafio é aprender a utilizar melhor a nuvem pública”, disse Riley.
O ritmo de transformação digital e resiliência cibernética aumentou nos últimos anos. Você está acompanhando?Trazido a você pela Micro Focus
Uma crescente dependência da nuvem também forçará as empresas a repensar a maneira como abordam a segurança da rede, disse Lawrence Orans, vice-presidente de pesquisa da Gartner, em uma sessão sobre o assunto. O futuro da segurança da rede está na nuvem, e as equipes de segurança devem acompanhar.
As mudanças relacionadas à adoção em nuvem se estendem ao centro de operações de segurança, que os analistas antecipam que tomará uma forma diferente à medida que mais empresas dependem da nuvem, adotar ferramentas de segurança na nuvem e apoiar equipes totalmente remotas. Esses turnos exigirão uma mudança de pensamento para as equipes de operações de segurança.
“Uma coisa que percebemos depois de conversar com muitas organizações é que… o salto para a nuvem é realmente mais cultural do que um salto tecnológico”, disse Gorka Sadowski, diretor sênior e analista do Gartner. “É realmente esse novo normal que está aparecendo.”
Nas páginas seguintes, descrevemos insights, tendências e conselhos de analistas que aproveitaram seus conhecimentos para compartilhar como a segurança em nuvem e rede mudará nos próximos anos – e como as organizações devem responder.
O risco de inadimplência do SaaS
Como Riley apontou, a maioria das questões de segurança na nuvem se enquadram em uma das três principais categorias: gerenciamento de risco em nuvem, segurança de infraestrutura como serviço (IaaS) e controle de software como serviço (SaaS). O IAAS geralmente fica sob o controle dos desenvolvedores, que podem escolher entre um pequeno número de provedores. Linhas de negócios normalmente controlam o SaaS e podem escolher entre muitos mais provedores.
“Infelizmente, muitos profissionais de TI preferem ignorar o crescente mercado de SaaS, embora na maioria dos casos represente uma área de computação mais significativa do que o IaaS em nuvens privadas”, disse ele. O tamanho do mercado SaaS deve ser preocupante para as equipes de segurança, que muitas vezes não têm controle sobre qual software é baixado e como ele é usado.
Todos os serviços podem compartilhar objetos externamente, mas a configuração padrão é não compartilhar. Abrir baldes, um risco comum à segurança, é um erro do cliente. As aplicações saaS são diferentes.
Um “número surpreendente” de aplicativos SaaS não só permite ações externas, mas as abre por padrão, apontou Riley. Há argumentos sobre se isso é uma falha de design ou fraqueza por parte do usuário. A configuração padrão pode ser modificada, acrescentou, mas a organização deve ter a vontade de fazê-lo.
“Não há razão para discutir sobre qual deve ser o padrão inicial do provedor”, continuou. Sua organização obterá serviços em nuvem que podem colocá-los em risco, e as equipes de segurança devem estar cientes disso e fazer algo a seu ver. Fechar ações de arquivos abertos é o primeiro passo mais eficaz na segurança na nuvem que uma empresa pode dar, disse Riley.
Para SaaS, manutenção é a chave
O SaaS é a maior forma de nuvem pública e a mais difícil para as empresas controlarem, tornando sua manutenção “o desafio de segurança mais significativo” que as empresas enfrentam, disse Riley. Embora a maioria dos aplicativos baseados em nuvem sejam resistentes a ataques, eles não são tão controláveis quanto aplicativos em execução interna.
Complicando ainda mais o problema, a maioria das linhas de negócios tem uma ideia imatura de como os aplicativos devem ser mantidos, continuou ele. “Eles acham que uma aplicação é como uma estátua – algo a ser colocado em uma prateleira e admirado”, disse Riley. “Sabemos que uma aplicação é mais como um animal – uma coisa viva, respirando que requer cuidados contínuos.”
As aplicações SaaS requerem atenção durante toda a duração de seu ciclo de vida. Muitas organizações não sabem quais aplicativos SaaS estão usando e acabam pagando mais de uma vez por serviços que são essencialmente os mesmos. A política torna-se uma reflexão posterior, assim como planos de implementação que requerem integração com outras ferramentas de negócios comumente usadas.
Os gastos não-TI com o SaaS continuam a crescer, criando um conjunto de problemas que a TI eventualmente terá que lidar. Por exemplo, a equipe de marketing pode querer usar um novo aplicativo SaaS legal que não se integrará à sua plataforma de colaboração aprovada pela empresa. Em casos como esses, negócios e segurança devem se reunir no meio e escolher uma ferramenta de marketing que se integre às ferramentas de negócios existentes e possa ser regida por um corretor de segurança de acesso à nuvem (CASB).
Mercado de Segurança IaaS continua em crescimento
As empresas estão em uma transição para longe de uma dependência de sistemas operacionais como seu modelo de computação principal e em direção a um modelo que lhes permite focar em aplicações. A maioria agora tem pelo menos um aplicativo baseado em contêiner Linux em desenvolvimento, piloto ou produção, disse Riley.
“Quais são as implicações? Sua estratégia de segurança na nuvem deve ser adaptada para fornecer visibilidade e controle consistentes de cargas de trabalho, independentemente de suas formas ou vidas”, acrescentou. Ambientes virtuais levantam novas complicações de segurança, especialmente no gerenciamento e patch de vulnerabilidades, bem como na segurança da rede.
As ferramentas no mercado de gerenciamento de postura de segurança na nuvem (CSPM) podem avaliar a postura do plano de controle de nuvem e sugerir mudanças que reduzem o risco com recursos que incluem configuração de gerenciamento de acesso, configuração de armazenamento, conectividade e controle de console, observou Riley. Para grandes implantações de carga de trabalho baseadas em nuvem, os recursos CSPM “devem ser considerados obrigatórios. Eles são os capturardores de erros”, disse ele.
Vários fornecedores tradicionais de proteção de endpoint desenvolveram ofertas específicas para plataformas de proteção de carga de trabalho em nuvem (CWPP). Riley apontou para o surgimento de startups construindo ferramentas com capacidades como segmentação baseada em identidade, controle de aplicativos, proteção de integridade e monitoramento de atividades. No ano passado, a Gartner estimou o tamanho do mercado CWPP em US$ 1,25 bilhão; ele prevê que o espaço chegará a US$ 2,5 bilhões até 2023.
A mudança de segurança na nuvem “começa com uma mentalidade nativa da nuvem que é orientada menos para a rede e mais para identidade, dados e aplicativos”, disse Riley. Tanto para a infraestrutura geral em nuvem quanto para cargas de trabalho específicas na nuvem, os controles fundamentais são “pontos de partida críticos”, enquanto controles importantes e opcionais podem ser colocados em camadas posteriormente.
Por que o futuro da segurança de rede está na nuvem
Orans apontou para a crescente adoção da borda do serviço de acesso seguro (SASE). As empresas estão comprando mais serviços de segurança fornecidos na nuvem e menos aparelhos físicos à medida que adotam aplicativos SaaS como Microsoft 365 e Salesforce.
“Precisamos proteger como nossas filiais estão se conectando à Internet, precisamos proteger como nossos usuários móveis estão se conectando à Internet e as coisas estão mudando rapidamente”, explicou ele em uma sessão do Gartner Summit sobre segurança de rede. Analistas esperam que as organizações gastem entre US$ 80 bilhões e US$ 100 bilhões em aplicações SaaS até 2023, afetando a maneira como projetam e rearquitam suas redes de ampla área.
Há muita conversa em torno de mover a nuvem, disse Orans. Essas discussões geralmente se concentram em mover cargas de trabalho de data centers privados para nuvens públicas como Amazon Web Services, Microsoft Azure, Google Cloud e outras nuvens públicas. Embora essas transições sejam críticas, mais dinheiro está sendo gasto em aplicativos SaaS, que são os “principais drivers que mudam a segurança da rede”.
Adoção SD-WAN cresce ao lado da captação de nuvens
A análise que está acompanhando o mercado SD-WAN está projetando um forte crescimento para o SD-WAN até 2024, disse Orans.
“Quando faço perguntas sobre a adoção desses serviços de segurança entregues à nuvem, o que estou ouvindo é que, em conjunto com a rearquitatura wan e a segurança de movimentação do data center até a nuvem, que você está adotando o SD-WAN”, explicou.
A SASE está impulsionando a convergência do mercado. Network-as-a-service e segurança de rede como serviço são dois projetos frequentemente feitos ao mesmo tempo, continuou ele. Um projeto SD-WAN será feito quando o usuário estiver se movendo para um gateway web seguro fornecido na nuvem ou um serviço CASB.
Convergência pode significar coisas diferentes para pessoas diferentes. Alguns fornecedores de segurança de rede estão comprando fornecedores SD-WAN, observou Orans, então algumas aquisições estão consolidando o mercado. Parcerias também estão reunindo fornecedores de segurança de rede e rede. Para muitas organizações, a decisão mais estratégica em mover a segurança para a nuvem é decidir em um gateway web seguro em nuvem ou proxy na nuvem.
Repensando SOCs para a nuvem
Até o ano de 2025, as funções tradicionais do centro de operações de segurança (SOC) serão muito diferentes do que agora, disse o diretor sênior e analista Sadowski em uma palestra sobre SOCs na nuvem. À medida que a segurança se torna mais programática, as organizações redistribuirão as funções tradicionais do SOC entre as divisões. Como resultado, a propriedade da segurança mudará.
“Agora que as pessoas vão trabalhar em casa, o centro não existe mais”, disse ele. “Na melhor das hipóteses, é uma construção… agora, em vez de ser centrado no gerenciamento de log, será centrado na detecção e resposta de ameaças.”
O uso amplo de aplicativos SaaS será problemático para detecção e resposta de ameaças e impulsionará grande parte dessa mudança, explicou. “Por que o SOC seria responsável por fazer detecção de ameaças e resposta para um aplicativo SaaS quando esse aplicativo SaaS foi comprado … por alguém em algum lugar que não contou a ninguém e está correndo na produção? Sadowski disse.
As empresas ainda precisam de detecção e resposta de ameaças, mas algumas coisas precisam mudar, e o SOC híbrido em nuvem eventualmente se tornará o SOC de escolha, disse ele. “Vai estar na nuvem, na nuvem, na nuvem, e veremos como isso vai mudar e forçar as pessoas, o processo e as tecnologias a se alinharem”, disse Sadowski.
Ao repensar sua abordagem soc, ele aconselhou as organizações a assumir uma equipe distribuída sem “centro” para o SOC e desenvolver habilidades de segurança centradas em nuvem, mas também centradas nos negócios. “No final do dia, estamos aqui para servir o negócio”, observou. A empresa também deve ter equipes fluidas por incidente que reunirão diferentes habilidades para resolver um problema.
Quanto aos “não”, Sadowski enfatizou que as equipes de segurança não devem esperar um “unicórnio”, ou um especialista em todas as coisas de segurança na nuvem. Eles também devem evitar colocar os funcionários em silos e, em vez disso, encorajar grupos de pessoas a trabalhar melhor juntos.
Dicas técnicas para estocar o SOC
Em sua palestra sobre o SOC, Sadowski encorajou as organizações a considerar suas ferramentas existentes antes de se esgotarem para investir em novas.
“Uma das primeiras coisas que uma organização pode fazer e deve fazer é realmente fazer o inventário de sua função de operações de segurança”, disse ele. “Você provavelmente encontrará detecção e resposta de ameaças lá como um dos principais baldes, mas é importante identificar todas as diferentes funções que você tem.”
Grandes provedores de serviços em nuvem começaram a oferecer detecção e resposta em nuvem (CDR), mas apenas dentro desse CSP e para o CSP. Sadowski apontou o Microsoft Azure ATP e o Amazon GuardDuty como dois exemplos. As ferramentas cdr “têm acesso a telemetria incrível”, disse ele, bem como análises, recursos de resposta nativa e a capacidade de enviar alertas e contexto — todos factíveis via API.
Ele aconselhou as empresas a privilegiar ferramentas CSP para recursos de CDR para o CSP específico que estão usando, insistir em um conjunto completo de APIs de todos os fornecedores e definir uma abordagem hierárquica para centralizar, racionalizar e tratar todos os incidentes locais e micro. Sadowski pediu aos ouvintes que não comprassem o “último brinquedo ou serviço brilhante” com o risco de ter muitos sistemas.
“Não acumule muita dívida tecnológica porque está indo rápido”, disse ele. “Vai acelerar… então basta manter um olho sobre isso e estar em cima dele. Se você já estiver usando um CSP, reveja e reconsidere sua oferta de segurança antes de comprar mais ferramentas.
Você precisa de um SIEM? Explorando opções
A pilha soc é centrada principalmente na ferramenta de gerenciamento de incidentes e eventos de segurança (SIEM), disse Sadowski em sua discussão sobre o SOC híbrido em nuvem. Em uma palestra separada, ele explorou se as organizações devem ter um SIEM ou se podem usar o MDR (Managed Detection and Response).
Pense no tipo de detecção de ameaças que você precisa. Muitas organizações padrão se concentram em ameaças de “mercadoria”, como ransomware. Eles não estão nem preocupados com ameaças específicas de negócios, nem têm a necessidade de ingerir registros de aplicativos de negócios. No entanto, alguns precisam de recursos avançados, como a capacidade de detectar ameaças específicas e monitorar eventos de aplicativos de negócios.
As empresas também devem considerar se têm recursos para gerenciar o SIEM. Eles precisarão de alguém para executar, adaptar e assistir ao SIEM, ou pelo menos adaptar e assistir a um SiEM SaaS.
Para as organizações apenas preocupadas com ameaças padrão que não têm recursos suficientes, Sadowski aconselhou optar pelo MDR. Aqueles preocupados com ameaças padrão e têm os recursos podem considerar o SIEM opcional; no entanto, uma combinação ou detecção e resposta de ponto final (EDR), detecção e resposta de rede (NDR) e clm (contrato life cycle management) podem funcionar.
Aqueles que estão preocupados com ameaças avançadas e têm os recursos devem investir em um SIEM, disse Sadowski. O SIEM ainda é preferido para quem não tem recursos. No entanto, eles também poderiam optar por um SIEM co-gerenciado e serviços de segurança gerenciados (MSS).
Complexidade impulsiona consolidação da segurança na nuvem
Muitas organizações que lutam contra a complexidade de vários serviços de segurança na nuvem estão simplificando seus ambientes, reduzindo o número de fornecedores que usam, disse Orans.
“Vamos dizer que você tem cinco fornecedores de segurança entregues na nuvem – você tem um para o gateway web seguro, você tem um para zero confiança, você tem um para CASB, [e] talvez alguns outros”, observou ele. A empresa deve determinar como obter tráfego para o serviço, que geralmente requer um agente no dispositivo de cada usuário — o que pode se complicar à medida que o número de agentes cresce.
Agora, disse Orans, as empresas estão aderindo a um ou dois serviços de segurança baseados em nuvem – normalmente um fornecedor seguro de gateway web e/ou um fornecedor CASB separado. Ele notou que esses dois mercados estão convergindo, então as organizações poderão escolher um fornecedor para ambos os serviços.
FONTE: DARK READING