0
0
Muitas vezes, grandes violações de segurança podem ser rastreadas até um erro de configuração. Alterações e ajustes nas configurações de rede e segurança são inevitáveis; eles são uma parte necessária do gerenciamento do ambiente tecnológico de uma empresa. Mas é importante reconhecer que eles também são arriscados e podem ter consequências inesperadas – desde interrupções de serviço, degradação de desempenho e tempo de inatividade não intencional até violações de segurança e violações dos requisitos de conformidade.
Um ambiente complexo
Na superfície, pode parecer que os erros de configuração devem ser um problema facilmente solucionável: as organizações devem simplesmente prestar mais atenção a quaisquer alterações e garantir manualmente que todas as configurações estejam corretas toda vez que uma alteração for feita. Eles devem configurar políticas e garantir que sejam seguidas e exigir que quaisquer novos ajustes sejam verificados em relação a essas políticas. O princípio dos Quatro Olhos foi adotado por muitas organizações para reduzir erros – uma pessoa projetaria e solicitaria que uma alteração fosse feita e outra pessoa a aprovaria. Às vezes, ainda assim uma terceira pessoa passava a implementá-lo.
Infelizmente, tudo isso é fácil no papel, mas não na prática. O problema é que as grandes organizações de hoje são complexas; há muitas partes móveis para lidar a qualquer momento. Há também uma variedade de equipes com a capacidade de fazer alterações e ajustes, tornando exponencialmente mais difícil garantir configurações corretas. Muitas dessas equipes também estão operando com idiomas diferentes.
A visibilidade em todo o ambiente também é um problema – se você quiser ser capaz de revisar e garantir que cada alteração esteja de acordo com a política de segurança, precisará ver e/ou ser alertado sobre todas as alterações ou ajustes. Escusado será dizer que, mesmo com visibilidade total, revisar e aprovar manualmente todas as mudanças simplesmente não é humanamente possível.
Quando todas as variáveis a serem consideradas são somadas, a carga de trabalho se torna esmagadora de lidar. Há muitas tarefas para realizar e muitas lacunas potenciais para cobrir. Para controlar com sucesso como cada atualização, mudança e adição são implementadas – e entender como cada mudança afeta o ambiente e outras mudanças que já estão “em voo” – a única solução é adotar a automação.
A automação permite agilidade
Ninguém quer ver uma possível violação de segurança acontecer porque as configurações e alterações não foram observadas de perto o suficiente; mas se você gastar todo o seu tempo nesse problema, terá problemas maiores para lidar. Além disso, é um desperdício de recursos críticos ter equipes de segurança focadas em tarefas mundanas em vez de atividades mais estratégicas, especialmente quando há uma solução fácil. A chave para realizar mais tarefas do que o que parece possível é abraçar totalmente a automação quando se trata de configuração e mudanças.
Existem várias funções-chave em que a automação pode ser aplicada imediatamente para ajudar a obter controle sobre as alterações de configuração:
Análise e design automáticos de alterações: Não existe uma simples mudança de configuração. Mesmo o que parece ser a mudança mais fácil e benigna pode causar um erro. Por exemplo, suponha que você esteja adicionando um host a um grupo de rede para fornecer acesso e não saiba que o mesmo grupo é usado em um lugar diferente para bloquear o tráfego. Se você não está prestando muita atenção, deixou um possível problema passar. Um problema simples como esse pode aumentar a superfície de ataque e deixar seus sistemas superexpostos, ou bloquear o acesso a um sistema ou serviço crítico. Sua equipe precisaria passar muito tempo solucionando o problema e descobrindo onde um passo em falso foi cometido – ou pior, como mitigar uma violação!
Ao adicionar automação à visibilidade da rede, você receberá automaticamente uma visão geral de toda a organização, com áreas de importância crítica destacadas para você, para que possa ver mudanças e solicitações recentes e possíveis problemas e saber no que concentrar seu tempo.
Guardrails e conformidade com políticas: Com a automação, todas as solicitações podem ser revisadas automaticamente em relação à política e aos padrões de segurança, indicando para você qual efeito potencial eles terão no ambiente geral. Você também pode facilmente provar a conformidade – ou perceber onde as mudanças podem colocar a conformidade em risco. Requisitos de alteração, ou guardrails de desenvolvedor, podem ser estabelecidos para garantir que nada seja aprovado que possa criar um problema com a segurança ou afetar as operações normais.
Fazer a mudança ao vivo potencialmente causará um problema? Existe outro elemento do seu ambiente que precisará ser ajustado para suportar a mudança? A automação pode responder a essas perguntas e aprovar ou negar automaticamente uma solicitação ou sinalizar uma alteração como precisando de revisão e ajuste diretos para manter a conformidade.
Relatórios, documentação e auditoria automatizados: Todas as alterações, configurações reformuladas e solicitações devem ser registradas e documentadas. Essa tarefa por si só pode ser um trabalho em tempo integral para um membro da sua equipe. Em vez disso, procure ferramentas automatizadas para manter informações de auditoria acessíveis e acionáveis. Uma trilha de auditoria abrangente deve incluir o dispositivo ou plataforma cuja configuração foi alterada, a hora exata da alteração, os detalhes da configuração, as pessoas envolvidas (solicitador, aprovadores, implementador) e o contexto de mudança, como o projeto ou aplicativo.
O objetivo é permitir a melhoria contínua de suas políticas de segurança, processos de gerenciamento e, em última análise, a redução contínua de sua superfície de ataque. A única maneira de realmente ter sucesso nisso é aprender com o passado e aplicar as lições aprendidas. Auditoria e documentação de mudanças são fundamentais para ter uma postura de segurança mais robusta.
Prevenir problemas e acelerar a recuperação
Especialistas concordam que uma parte significativa do tempo de recuperação durante a resposta a incidentes ou quando um erro é descoberto é realmente gasta descobrindo qual configuração foi alterada, quando, por que e por quem. Se você já configurou esses processos de controle e adotou a automação, terá rapidamente as informações necessárias à sua frente quando houver uma crise – e poderá se concentrar em reverter quaisquer alterações, interromper uma violação e acelerar o caminho para reparo ou recuperação.
Além disso, ao integrar sua automação de políticas a um plano ou sistema de resposta a incidentes, você pode melhorar imediatamente sua capacidade de diminuir o tempo de permanência e acelerar a resposta a incidentes. Seu risco de erros de configuração perdidos causando uma violação de segurança reduziu significativamente quando você implementa automação baseada em políticas.
Implementar soluções automatizadas que possam automatizar essas tarefas repetitivas e propensas a erros e manter uma vigilância vigilante 24 horas por dia, 7 dias por semana, seu ambiente ajudará muito a evitar (e recuperar facilmente de) quaisquer erros de configuração.
FONTE: HELPNET SECURITY