0
0
Você provavelmente já viu anúncios de proteção de identidade. Eles estão em toda parte, provavelmente porque quase metade de todos os cidadãos dos EUA foram vítimas de roubo de identidade entre 2020 e 2022. Embora esses anúncios afirmem proteger sua identidade, se você ouvir atentamente, o que o serviço fornece é um alerta quando sua identidade for… ou está em processo de ser — roubado.
Embora esses alertas possam ser imensamente valiosos, essa é uma interpretação muito generosa de “proteção”. Se você me confiasse a proteção de seus objetos de valor, e tudo o que eu pudesse fazer fosse informá-lo que eles foram roubados, você não ficaria feliz com meu desempenho.
Esse mesmo mito de proteção foi aceito no setor de segurança cibernética: o mito de que um alerta produzido toda vez que se acredita que algo seja malicioso ou suspeito se qualifica como segurança. Essa barreira baixa de proteção é o que as empresas e os consumidores foram ensinados a aceitar. É com o que os profissionais de segurança foram ensinados a trabalhar. Todo o ecossistema é projetado em torno da ideia de que consumir e responder a alertas é sinônimo de proteção.
Em vez de proteger a empresa, esses alertas volumosos estão colocando a segurança da empresa em risco. As equipes de segurança estão se afogando em alertas e sobrecarregadas com falsos positivos excessivos. Eles são esticados além da capacidade devido ao trabalho em um modo altamente reativo, “sempre ligado”. De acordo com a pesquisa Voice of SecOps da Deep Instinct , o setor está chegando a um ponto de inflexão: quase 90% dos profissionais de segurança cibernética entrevistados dizem que estão estressados em sua função, enquanto 40% acreditam que sua pilha de soluções de segurança existente é inadequada e quase metade (46%) dos entrevistados já pensaram em deixar a indústria.
Agora, mais do que nunca, devemos redefinir a proteção e apostar na prevenção. No entanto, antes de analisarmos como, vamos ver rapidamente como chegamos aqui: um problema de duas pontas decorrente da mentalidade dos primeiros grupos de segurança cibernética e da tecnologia disponível na época.
Devemos parar de viver no passado
O vírus ILoveYou atingiu na minha primeira semana no Centro Nacional de Resposta a Incidentes de Segurança, causando bilhões de dólares em danos. No início dos anos 2000, lidamos com ILoveYou como fazíamos com qualquer desastre. Criamos uma equipe de resposta, coletamos dados, trabalhamos para impedir os danos e fizemos recomendações para a próxima vez. Essa mentalidade foi incorporada a todas as equipes de resposta a emergências de computadores (ou incidentes) que surgiram nos anos 2000, de dentro do Pentágono a Carnegie Mellon. Foi criado um ecossistema de resposta a um evento.
As tecnologias e a inteligência disponíveis não tinham o contexto, a precisão e a velocidade necessários para enfrentar essas ameaças. Os profissionais se concentraram no que poderiam fazer: processar dados após um evento o mais rápido possível. É aqui que as novas tecnologias podem ser impactantes. Houve muita empolgação quando a detecção e resposta de endpoint (EDR) foi capaz de responder em poucos minutos após um intruso entrar em uma rede. Embora esse seja um tempo de resposta louvável, você não gostaria de alguém dentro de sua casa bisbilhotando por minutos antes de responder. Além disso, as pessoas responsáveis por responder agora estão sendo soterradas por uma avalanche de alarmes falsos.
Muitos aceitam que taxas de detecção de falsos positivos de 30% a 50% são inevitáveis, então treinamos inteligência artificial para consumir e tentar entender esses alertas para nós. A cibersegurança deve evoluir além de tornar os processos ineficazes mais rápidos. É hora de redefinir a proteção e passar da resposta para a prevenção . E se a detecção fosse precisa e rápida o suficiente para fazer a diferença antes que um alerta fosse gerado?
Podemos dar aos defensores a capacidade de ver profundamente as sessões de rede para expor as técnicas que os hackers empregam. Podemos expor essas técnicas com rapidez suficiente para fazer a diferença, de modo que categorias inteiras de ataques sejam interrompidas antes de começarem, e pequenas evasões, como alterar endereços IP, não sejam mais eficazes. A precisão da detecção é tão boa que falsos positivos são coisa do passado. É hora de desenvolver e introduzir controles preventivos automatizados em um setor excessivamente otimizado para resposta.
A verdadeira proteção não é mais um mito. A tecnologia existe hoje para tornar isso uma realidade. Com o ransomware em ascensão, os defensores estão sendo solicitados, com razão, a se concentrarem na resiliência e na recuperação. A realidade é que os defensores adicionarão esse foco na resiliência e recuperação como outra tarefa ou projeto além de seus dias já esmagadores, perseguindo incidentes e sendo enterrados em alarmes falsos, enquanto consideram sair do negócio. Podemos retreinar e requalificar nossa força de trabalho cibernética para serem administradores da verdadeira proteção, dando-lhes tempo e espaço para fazer seu trabalho e fazer a diferença. Este é o futuro da segurança cibernética – e esse futuro começa agora.
FONTE: DARK READING