0
0
Não há como negar a noção de força na unidade. Da mesma forma, a inclusão e a ampla participação de muitos é outra ideia que é amplamente valorizada. Estes dois são princípios essenciais para alcançar o sucesso na segurança nestes tempos desafiadores.
A segurança convencional tem ferramentas, alertas, políticas, procedimentos, equipes e relatórios separados. Em algum momento, essa abordagem fez sentido aplicando especialização em áreas específicas da superfície de ataque ou de dados e infraestrutura de computação específica às necessidades e vulnerabilidades de cada um. Os ataques eram geralmente focados e não excessivamente progressivos.
Hoje, o desafio é mais encontrar as reais indicações de um ataque cedo e menos sobre tentar proteger uma determinada parte da superfície de ataque. Há quase um número ilimitado de vulnerabilidades enfrentadas por cada organização, e elas mudam com frequência. Os atacantes têm quase um número infinito de chances de penetrar na infraestrutura, explorá-la, encontrar ativos valiosos e trabalhar para explorá-los.
Encontrar com sucesso um invasor no trabalho é menos sobre descobrir um único ponto de compromisso — embora isso ainda seja valioso — e mais sobre ver a progressão. Os últimos modelos de cadeia de ataque refletem essa ideia. Ver a progressão envolve vários pontos e vários dados. Também pode envolver o processamento ou análise qualificado de cada ferramenta. Dados e achados precisam ser coletados, correlacionados e analisados centralmente para entender a progressão, ver os estágios iniciais de um ataque e descartar outras anormalidades que não sejam relevantes.
Democratizar a segurança significa que todos os dados e descobertas podem e devem ser considerados. Não se trata de aumentar uma determinada plataforma, mas sim de criar um ambiente aberto que aceite informações de todas as ferramentas e fontes sem restrições devido a limitações técnicas ou de marketing. É possível que nem todas as fontes tenham o mesmo “peso”, mas é importante que cada uma tenha uma “voz” que possa ser ouvida. Democratização é a capacidade de ter a participação de todos.
Combinar todas as fontes significa não só que cada pedra será virada para garantir que não estejamos perdendo alguma informação vital sobre entrada, saída, ou qualquer coisa no meio. Muitos “pontos” proporcionam melhor resolução ou fidelidade (como qualquer consumidor de monitores ou câmeras pode lhe dizer), mas também permitem uma conexão mais precisa dos pontos. Tal habilidade pode elevar o paradigma de um nível desordenado de alertas de segurança para um dos incidentes muito mais precisos. Falsos positivos podem ser descartados por muito mais precisão. A combinação de ampla participação e força de unidade está se tornando essencial.
A abordagem tradicional para a segurança resulta em um estado onde uma violação de dados, ou algo pior, é inevitável, e as equipes são tributadas muito além de sua capacidade. As equipes de segurança já estão com falta de pessoal e sobrecarregadas. A contratação de novos ou adicionais profissionais é difícil devido à aguda escassez mundial. Ao mesmo tempo, as empresas esperam que as equipes de segurança se tornem facilitadoras dos negócios digitais e se envolvam mais com o risco, adicionando placas já completas ou mudando o tempo para essas novas demandas.
Livrar-se das ferramentas e sistemas existentes não é a resposta. Na maioria das vezes, cada uma ainda tem valor, e a maioria das empresas afundou investimentos neles que são mais do que apenas monetários. Cada ferramenta também tem investimentos em tempo de treinamento, procedimentos, regras, relatórios e outras coisas. Cada um ainda executa uma função que tem valor na minimização de vulnerabilidades, melhorando a higiene e parando ataques menos sofisticados.
A mentalidade antiga precisa ser descartada — em vez disso, precisamos usar essas ferramentas para parar a nova era de ataques e passar de uma equipe de segurança centrada em alerta para uma equipe de segurança centrada em incidentes. As ferramentas ainda podem ser deixadas no lugar, e seus dados e descobertas são dados para uma nova abordagem. Jogar essas ferramentas é como jogar fora o bebê com a água do banho.
Uma equipe de segurança altamente experiente e robusta poderia potencialmente reunir todos os dados e alertas, correlacioná-los manualmente e fazer melhores avaliações de eventos de segurança. Tal ambiente seria raro. A alternativa é empregar a última geração de Detecção e Resposta Estendida (XDR) que está começando a ser conhecida como Open XDR. O valor deste novo tipo de XDR é que ele acomoda todas as ferramentas e todas as fontes. Ele incorpora democratização e inclusão para fornecer a amplitude e profundidade necessárias para encontrar um ataque de forma rápida e precisa. As equipes podem, então, trabalhar para parar rapidamente os ataques e mitigar ou prevenir danos.
Há força na unidade e na democracia quando se trata de segurança. Está rapidamente se tornando uma necessidade para aqueles que querem sobreviver ou florescer em novas realidades.
FONTE: HELPNET SECURITY