0
0
Aplicativos críticos para os negócios, como sistemas de planejamento de recursos corporativos (ERP) fornecidos pela SAP e pela Oracle, são considerados as joias da coroa da empresa. Esses ativos possuem os dados mais valiosos de uma organização: desde informações financeiras confidenciais até detalhes privados de clientes e parceiros. Os invasores que têm acesso a esses aplicativos podem causar destruição em massa, sequestrando o sistema de folha de pagamento de uma organização, fechando suas instalações de fabricação ou transferindo grandes somas de dinheiro para suas próprias contas bancárias.
Apesar do alto valor dessas aplicações, elas são constantemente colocadas em risco pela descoberta de vulnerabilidades críticas. Ao mesmo tempo, as equipes de segurança são perpetuamente desafiadas com largura de banda limitada e recursos.
Este artigo explorará por que os esforços atuais de resposta a incidentes de cibersegurança estão falhando, e como uma abordagem proativa baseada em riscos permite que as empresas reduzam a exposição de forma mais eficaz e maximizem o retorno de seus recursos limitados.
Entendendo as lacunas nos processos atuais de resposta a incidentes
Muitas empresas investem pesado em muitas camadas de tecnologia para garantir suas operações críticas. Para controlar todos os vetores de ataque, eles gastam dinheiro em ferramentas de segurança de ponto final, defesas de rede, soluções de autenticação e identidade, serviços de entrega de aplicativos e muito mais. Embora essas capacidades sejam cruciais, muito pouco orçamento ou tempo é alocado para as próprias aplicações críticas que contêm os ativos mais importantes. Muitos grupos de ameaças têm destacado como os cibercriminosos podem entrar diretamente em aplicativos críticos aos negócios e permanecer sem serem detectados por meses – mesmo anos – enquanto silenciosamente desviam milhões de dólares.
A lei da diminuição dos retornos é altamente prevalente na segurança cibernética: a primeira camada de defesa em qualquer ativo ou para qualquer vetor de ataque reduz o risco de forma mais significativa. Agora que as aplicações críticas estão sendo direcionadas diretamente, elas também devem ser defendidas diretamente.
As organizações geralmente geram cartilhas de resposta a incidentes que descrevem estratégias baseadas em um tipo de ataque (por exemplo, ransomware ou exploração de zero-day). No entanto, obter uma compreensão mais profunda do cenário de aplicativos críticos para os negócios de uma organização e criar uma cartilha focada nos ativos, sistemas e processos que mais importam pode ser muito mais eficaz na redução geral do risco organizacional.
Adotando uma abordagem baseada em riscos para a resposta a incidentes
Uma abordagem baseada em riscos para a resposta a incidentes permite que as empresas priorizem vulnerabilidades e incidentes com base no nível de risco que representam para uma organização. A forma mais simples de enquadrar o risco é um cálculo sobre a frequência de ocorrência e gravidade. O malware frequentemente atinge pontos finais, e a resposta e a limpeza podem custar milhares de dólares (diretamente e em produtividade perdida). Além disso – e as equipes de segurança de todo o mundo concordariam com isso – as vulnerabilidades nos sistemas voltados para a internet devem ser priorizadas e remediadas primeiro. Esses sistemas estão continuamente sob ataque, e à medida que a taxa de ocorrência começa a se aproximar do infinito, o risco também.
Da mesma forma, houve muitos grupos de ameaças que custaram milhões diretamente às empresas e, em alguns casos, dezenas de milhões em operações perdidas e tempo de inatividade do sistema ERP. Grandes empresas medem o custo de janelas de manutenção simples em sistemas ERP em dezenas de milhões. Assim, é difícil imaginar os cálculos substanciais sobre uma violação de aplicação crítica aos negócios. À medida que a gravidade aumenta para essa ordem de magnitude, o risco também aumenta.
Como sistemas voltados para a internet com a maior taxa de ocorrência, aplicativos críticos aos negócios possuem o mais alto nível de gravidade do impacto. Uma abordagem baseada em riscos também pode ajudar as equipes de TI a alocar adequadamente seus esforços e orçamentos e impulsionar a redução máxima de risco em uma base por dólar ou por hora.
Incorporando modernas ferramentas de gerenciamento de vulnerabilidades
Com as modernas ferramentas de gerenciamento de vulnerabilidades, as equipes de segurança podem ganhar visibilidade total em todos os ativos em todo o ambiente de TI, incluindo aqueles hospedados no local, na nuvem ou ambos. Isso permite que eles façam um inventário de todos os ativos dentro de seu sistema, identifiquem quaisquer vulnerabilidades ocultas ou previamente conhecidas e mantenham um registro de todos eles.
Essas ferramentas também podem fornecer às equipes de segurança avaliações automatizadas de cada ameaça, seu impacto nos negócios e seu risco associado e, posteriormente, compartilhar descrições e soluções completas para cada um. Os recursos de gerenciamento de vulnerabilidades que capturam uma visão completa do ambiente de ameaças de uma empresa podem ajudar as equipes de segurança a entender sua superfície de ataque e economizar tempo, dinheiro e recursos significativos que de outra forma teriam sido gastos com foco em itens de menor prioridade.
Embora isso soe ideal e conduz diretamente ao objetivo de um processo de resposta a incidentes baseado em risco, a simples verdade é que há uma lacuna crítica. Ferramentas convencionais, como firewalls e scanners de vulnerabilidade, são necessárias, mas embora possam cobrir preocupações de nível de sistema em aplicativos críticos aos negócios, eles simplesmente não suportam o aplicativo em si. A vulnerabilidade subjacente do sistema operacional pode ser detectada, mas não o problema do código personalizado SAP ou a falha de camada de aplicativo E-Business Suite (EBS).
Defendendo as joias da coroa empresarial
Os atores de ameaças têm os conhecimentos e capacidades hoje para atingir diretamente os aplicativos de missão crítica das empresas e realizar ataques altamente sofisticados. Somente as organizações bem preparadas serão capazes de proteger suas joias da coroa e evitar as implicações duradouras de um ataque contra esses sistemas.
Os agentes de segurança e as equipes de resposta a incidentes precisam se preparar para trazer os mesmos padrões e a mesma maturidade de operações de segurança que existem em outros lugares do ambiente de TI para o domínio anteriormente sacrossanto dos próprios aplicativos críticos aos negócios. Os atacantes já estão fazendo isso; É hora dos defensores também.
FONTE: HELPNET SECURITY