0
0
Imagine: a sala de reuniões da empresa, há duas semanas: devido a “uma perspectiva econômica incerta”, o orçamento de segurança expandido e as novas contratações que você pediu em 2023 foram negados. À medida que a empresa “aperta o cinto”, você pode até perder o orçamento existente e alguns funcionários.
Você tinha planos de usar esses recursos para ajudá-lo a proteger as falhas de segurança e reagir com mais habilidade a mudanças e novos ambientes que parecem funcionar como um relógio a cada sprint de desenvolvimento de duas semanas.
Então, o que um CISO deve fazer? Dizer aos seus engenheiros para trabalharem mais não será suficiente. Você precisa de uma maneira de concluir o trabalho com mais eficiência e fazer mais com menos. Você precisa de automação. A primeira reação de todos é que a automação não funciona em todos os lugares – e isso é correto – mas há muitos casos em que funciona.
Identificando o que automatizar
Alcance a automação quando você tiver tarefas repetitivas — tarefas que acontecem com frequência suficiente para que a economia de tempo da automação justifique o custo inicial de desenvolvimento e manutenção da solução. Pontos a considerar:
- Frequência: Com que frequência a tarefa ocorre? Mesmo uma tarefa curta de 30 segundos pode ser um alvo valioso para automação se você a fizer 100 vezes por semana.
- Padronização: A tarefa é padronizada? Tarefas repetitivas que têm playbooks bem documentados ou que sua equipe pode realizar durante o sono são ótimas candidatas à automação, enquanto tarefas que exigem consideração humana substancial não são.
- Subtarefas: uma parte de uma tarefa pode ser interrompida e automatizada? A automação de ponta a ponta nem sempre é possível, mas a automação parcial pode ser valiosa.
- Custo de oportunidade: esta tarefa tem custos externos que devem ser considerados? Uma tarefa de cinco minutos que interrompe o fluxo de trabalho de um engenheiro e atrasa o trabalho em 20 minutos é, na verdade, uma tarefa de 25 minutos. Se o tempo desse engenheiro for melhor aproveitado construindo do que concluindo tarefas orientadas por interrupção, a tarefa é uma excelente candidata para automação. Certifique-se de incluir esses fatores ao avaliar o custo de oportunidade de automatizar uma tarefa.
Se uma tarefa não é uma boa candidata para automação, mas ainda leva muito tempo, você pode identificar um processo diferente, mas relacionado, para automatizar e reduzir o número de vezes que uma tarefa deve ser executada? Por exemplo, talvez você não consiga atualizar dependências vulneráveis automaticamente na produção, mas sinalizá-las durante o desenvolvimento pode significar que você tem muito menos que cheguem tão longe.
Exemplo: automação de varreduras e relatórios de PCI
Vamos considerar a automação no contexto da varredura de vulnerabilidades, a ruína da existência de muitas equipes de segurança. Em um empregador, eu precisava executar verificações PCI semanais de toda a nossa infraestrutura. A cada semana, antes de poder executar essa varredura, eu precisava atualizar o inventário de ativos compilando manualmente listas de IPs e nomes de host de nossos provedores de infraestrutura em nuvem e, em seguida, atualizar a lista de alvos na interface da Web do scanner. Fazíamos isso apenas uma vez por semana, mas demorava cerca de 30 minutos de cada vez.
Tanto os provedores de infraestrutura de nuvem quanto o scanner tinham uma API, por isso foi relativamente simples criar uma automação que pudesse autenticar ambos os sistemas e compilar as informações relevantes. Esta foi uma vitória de automação.
Depois que os relatórios do scanner de vulnerabilidade foram produzidos, precisávamos revisar e agir com base nas descobertas — outra tarefa semanal que levava várias horas. Como os relatórios eram fornecidos em XML, era simples o suficiente para que fossem analisados por máquina, desduplicados e resumidos por e-mail com novos problemas registrados como tíquetes. Esta foi uma vitória de automação ainda maior.
Onde começar
Como tudo na segurança da informação, começar com a automação de segurança se resume a priorização. Você não pode resolver tudo de uma vez, então identifique a lista de possibilidades; classifique-os com base em quanto eles importam, tanto em termos de risco quanto de economia potencial de esforço; e comece a trabalhar na lista.
Se você é totalmente novo em automação, comece com vitórias menores e mais fáceis e avance a partir daí.
Tomemos, por exemplo, um cenário de operações de segurança que você encontra com mais frequência do que gostaria: abra baldes do S3 . Os baldes S3 abertos parecem acontecer o tempo todo, apesar dos melhores esforços da AWS para alertá-los. Isso pode ser um bom candidato para automação porque é um processo padrão que ocorre com alta frequência. Aqui está uma maneira de fazer isso com a interface de linha de comando da AWS .
O comando da AWS CLI aws s3api list-buckets lista todos os buckets S3 disponíveis. Nessa lista, pegue o nome de cada bucket e use o comando aws s3api get-bucket-policy –bucket YOUR_BUCKET_HERE para obter as permissões do bucket.
Isso produzirá a política de gerenciamento de identidade e acesso (IAM) aplicada ao bucket. Analise a política do IAM, procurando políticas que permitem AllUsers (todos na Internet), AuthenticatedUsers (todos com uma conta da AWS, mesmo pessoas que não estão em sua organização) ou buckets que simplesmente permitem o * principal. Dessa forma, geramos uma lista de todos os baldes abertos.
Você pode usar o mesmo comando aws s3api get-bucket-policy com o parâmetro –policy para carregar um novo arquivo de política que não tenha essas permissões para que você possa preencher essas lacunas. Depois de se familiarizar o suficiente com a execução dessas tarefas na linha de comando, você pode começar a criar o script das etapas repetíveis em um script Python ou shell. Eventualmente, você pode iniciar automaticamente e executar todo o processo enquanto dorme ou faz outro trabalho.
A automação pode apresentar desafios
Se você está preocupado que sua automação não esteja pronta para as demandas de horário nobre de seu ambiente de produção, comece automatizando tarefas em ambientes de desenvolvimento e preparação ou até mesmo em ambientes de engenharia de vendas e ciência de dados.
Por fim, se você deseja automatizar a produção, mas está preocupado com os impactos nos negócios, concentre-se na automação em resposta às alterações recentes extraídas de um sistema de CI/CD ou algo como o EventBridge da AWS . Descobrir que você precisa de uma exceção para um sistema recém-implantado no primeiro minuto de seu ciclo de vida (quando está sendo monitorado de perto pelas equipes que acabaram de implantá-lo) é muito mais palatável do que descobrir porque quebrou uma semana atrás depois de trabalhar por nove meses e agora os clientes estão reclamando.
Existem custos associados à construção e manutenção dessa automação. Esses custos variam de acordo com as ferramentas disponíveis para você e os conjuntos de habilidades de sua equipe. Algumas equipes preferem customizar tudo em Python/Ruby/Perl/Bash e orquestrá-lo por meio de cron jobs e módulos em seu pipeline de CI/CD. Outras equipes podem preferir transferir alguns dos custos de manutenção para um fornecedor de remediação — limitando seu envolvimento direto à configuração de ferramentas que fazem interface com uma plataforma de gerenciamento de informações e eventos de segurança (SIEM) ou orquestração de segurança, automação e resposta (SOAR) e usando isso para iniciar fluxos de trabalho de correção de código baixo/sem código integrados em outra ferramenta.
A opção de usar um fornecedor externo pode ser uma boa maneira de reduzir os custos de manutenção contínua de sua solução. Isso é especialmente verdadeiro para interações com APIs e serviços cujas alterações podem prejudicar suas ferramentas.
O efeito cumulativo da automação
Cada tarefa individual pode não parecer muito. No entanto, em relação às tarefas de uma equipe inteira para uma organização inteira, a economia começa a aumentar e o custo começa a aumentar de maneira muito mais favorável.
A automação nunca substituirá uma equipe de segurança – algumas tarefas exigem interação humana e tomada de decisão humana. No entanto, à medida que os negócios continuam a crescer e os orçamentos de segurança ficam mais apertados, pode ajudar a capacitar esses humanos a fazer mais e ser mais eficazes e produtivos.
FONTE: DARK READING