0
0
A diversificação é frequentemente incentivada em investir para gerenciar riscos. A lógica: se seus investimentos falharem, você terá recuos, já que é altamente improvável que todos eles falhem ao mesmo tempo. Essa lógica também se aplica à segurança cibernética? A resposta é não.
No entanto, muitos ainda recorrem ao uso de várias soluções de segurança cibernética de diferentes provedores. As empresas ainda podem deixar de perceber o equívoco da superioridade na diversidade no contexto da segurança.
Complexidade e ineficiência
Imagine executar um software separado para proteção antivírus, outro para varredura de e-mail, mais um para remoção de spyware, e assim por diante. Para empresas, também podem ser empregadas soluções separadas para detecção e resposta de ponto final(EDR),análise comportamental do usuário(UBA)e análise de tráfego de rede(NTA).
Embora alguns possam pensar que a combinação de soluções de vários fornecedores traz o melhor dos melhores para a proteção da empresa, a realidade é que resulta em uma configuração menos que formidável.
Por um tempo, é altamente provável ter uma redundância de funções. A maioria dos antivírus, por exemplo, vem com uma infinidade de recursos, incluindo digitalização de e-mails, gerenciamento de senhas e até mesmo varredura de links. Não será fácil conciliar funções conflitantes.
Quais devem ser desativados (se podem ser desativados)? Quais podem continuar operando? Funções semelhantes podem ser executadas ao mesmo tempo?
Adicione a estes o dilúvio de alertas de segurança. Já é impressionante ter um fluxo aparentemente interminável de notificações de soluções de segurança atuais, como o EDR. Em vez de alcançar uma melhor detecção e prevenção de ameaças, executar funções de segurança semelhantes pode resultar em conflitos no sistema e cargas de informações desnecessárias.
Pode criar ineficiências e uma falsa sensação de segurança por causa do equívoco de que se uma camada de proteção semelhante falhar, outra pode ser capaz de detectar e lidar com ela.
Essa situação é referida como “defesa com profundidade inadequada”, uma das três práticas de segurança de rede que os CISOs devem evitar de acordo com um post perspicaz no Gartner.
Essa abordagem muitas vezes é mal interpretada para significar ‘usar mais fornecedores’ ou preferir uma abordagem melhor da raça para todas as soluções. Essa abordagem pode fomentar a sub-engenharia se houver uma mentalidade de que ‘outras camadas nos protegerão'”, sugere o guia do Gartner.
Custo injustificável
Além de ser operacionalmente ineficiente, a segurança de vários fornecedores também pode ser mais cara porque uma empresa é forçada a comprar pacotes de proteção inteiros com possíveis funções redundantes. Também adiciona mais carga de administração do sistema e siloing de informações quando não é possível integrar as diferentes soluções de segurança.
Nenhum estudo apoia a ideia de que é econômico usar várias soluções de segurança de vários fornecedores. No entanto, a maioria dos analistas de segurança concorda que não há razões convincentes para preferir o uso de vários produtos de segurança de diferentes fornecedores.
Neil MacDonald, membro da equipe de pesquisa de segurança da informação e privacidade do Gartner, tem isso a dizer:
“DID (Defense-in-Depth) não significa ter que comprar muitas soluções de pontos de muitos fornecedores diferentes para lidar com cada nova ameaça. Os vendedores de segurança podem querer isso. Nós não temos. Não podemos não neste ano de orçamentos apertados.
O que é que eu faço?
Muita coisa mudou no campo da cibersegurança após décadas de evolução. Antes, ter um antivírus era considerado adequado. Então veio a necessidade de antivírus de próxima geração. Posteriormente, como os pontos finais se tornaram alvos favoritos, as soluções de Detecção e Resposta endpoint (EDR) surgiram junto com UBA, NTA, bem como análise e prevenção de enganos.
À medida que o EDR começou a se tornar menos adequado, o XDR (Extended Detection and Response) foi introduzido. Também conhecido como Cross Detection and Response, o XDR é uma solução de segurança que unifica aspectos de detecção, investigação, remediação e prevenção da resposta a ameaças cibernéticas. Ele fornece uma única plataforma para lidar com uma extensa variedade de ameaças ou ataques.
Além disso, o XDR integra automação e inteligência artificial para contextualizar registros de segurança. Esse recurso facilita a identificação de eventos de segurança importantes que requerem uma resposta urgente. Algumas plataformas XDR também possuem ferramentas de remediação pré-construídas e resposta a incidentes para facilitar a resolução mais rápida de problemas detectados.
Como demonstrado por um whitepaper SolarWinds [PDF] na geração de registros de segurança, é fácil ter um problema de sobrecarga de alerta de segurança. Uma organização com mil funcionários pode ter mais de 20.000 eventos de segurança por segundo ou milhões por dia, o que implica um número semelhante de notificações de segurança. Passar por tudo isso não é apenas tedioso. Também cria oportunidades para que ameaças graves não sejam detectadas.
As empresas devem, portanto, considerar uma plataforma XDR fornecida por um único fornecedor em vez de depender de soluções de segurança de vários provedores. O XDR permite o monitoramento contínuo e o gerenciamento de alertas recebidos, reduzindo falsos positivos e aumentando a precisão de detecção de ameaças. Também facilita a investigação de ameaças, fornecendo indicadores atualizados de compromisso (IOCs) e apoiando a análise de arquivos sob demanda.
Uma apresentação [PDF] de Eric Skinner na RSA Conference 2020 destaca as vantagens do XDR especialmente quando se trata de alcançar uma melhor visibilidade da rede. “O XDR se torna a casa lógica de qualquer decisão re: resposta automatizada de ameaças porque o XDR tem a melhor quantidade de informações em mãos”, explica Skinner.
Preferência por um sistema de segurança unificado
Na ausência de uma integração perfeita, a melhor maneira de lidar com as complexidades e ineficiências do uso de sistemas de segurança de vários fornecedores é mudar para um sistema unificado que permita visibilidade total entre pontos finais, redes e usuários.
Lidar com ameaças cibernéticas em evolução é bastante desafiador. Não há razão para tornar as coisas ainda mais complicadas e difíceis de gerenciar trabalhando com soluções de diferentes fornecedores.
FONTE: HACKER READ