0
0
Eduardo Lopes*
Trabalho remoto, avanços de IoT, sensores de OT, nuvem, endpoints, fornecedores conectados, servidores de e-mail e uma infinidade de pontos de acesso de rede. A superfície de ataque das empresas aumenta a cada dia e as ferramentas que antes podiam monitorar um ambiente controlado, hoje ficaram obsoletas. O CISO precisa monitorar um ambiente repleto de possibilidades ao mesmo tempo entregar flexibilidade e dar acesso aos usuários onde quer que estejam, o chamado anywhere office.
Neste cenário o conceito de ASM (sigla em inglês para gerenciamento de superfície de ataque) pode ajudar a monitorar seu ambiente de rede, uma vez que seu propósito é ser abrangente, englobando pessoas, processos, tecnologias e serviços integrados — para gestão contínua dos ativos de uma organização que podem ser internos ou externos.
O ASM tomou impulso em 2022 após um relatório do Gartner (Gartner, Innovation Insight for Attack Surface Management) e foi um dos assuntos mais discutidos durante o evento Black Hat, realizado em agosto do mesmo ano em Las Vegas, sendo um dos principais do mundo sobre as tendências de segurança da informação.
A necessidade e de um monitoramento mais aprofundado veio por conta de mudanças ocorridas nos últimos anos levando em conta o inventário de ativos das empresas, shadow IT e shadow cloud, pontos de acesso descentralizados, prever e priorizar riscos, comunicação e outras complexidades do negócio que demandam uma abordagem nova.
Aqui aproveito para listar os componentes essenciais de uma solução de ASM:
- Descoberta de ativos: estão disponíveis no mercado ferramentas que podem ‘inventariar’ com Inteligência Artificial os ativos conhecidos, desconhecidos, de terceiros, subsidiados e nocivos. Muitas vezes a rede cresce em proporções exponenciais e, assim, fica fácil perder uma aplicação ou mesmo uma instância aberta na nuvem. Neste ponto reforço a importância da visibilidade – sobre o que está na sua rede. Não há mais como monitorar todo esse ambiente de maneira manual, nem mesmo com grande número de experts em análise de rede. É preciso automatizar esse processo ou buscar especialistas no mercado que façam isso.
- Classificação: a primeira pergunta de outro conceito que está cada vez mais em uso, Zero Trust, “quais são as joias da coroa?”. A partir do momento que sabemos o real estado da rede a ser protegida, quando conhecemos a superfície de ataque a ser gerenciada, podemos priorizar ativos essenciais para o negócio. Ou seja, se pergunte “o que pode fazer a minha empresa parar?” O website do e-commerce, o banco de dados, as máquinas da fábrica? Cada caso é um caso e é aí que um atacante irá mirar seus esforços em ransomware. Por isso, é fundamental saber quais são os primeiros ativos a serem protegidos.
- Correção: sabendo o que temos na rede e quais são os ativos críticos, passamos para etapa de correção. A atividade neste passo vem na aplicação de patchs de software, controles de segurança, revisão de normas e políticas, implementações de outros conceitos como SASE e Zero Trust. Resumindo, “colocar a casa em ordem”. E lembre-se: isso deve se estender aos seus parceiros de negócio que podem, inadvertidamente, abrir uma porta para o ataque, já que estão integrados à sua rede.
- Monitoramento: cibersegurança não é um modelo de proteção com começo, meio e fim, deve ser contínuo. O acompanhamento da saúde e da higiene de rede são primordiais e o cibercrime está evoluindo rapidamente em busca de brechas. Detectar, avaliar e reparar novas vulnerabilidades requer esforço contínuo.
- Registro: os logs de registro são de grande importância para a evolução da segurança. A partir do registro dos acontecimentos, mesmo após sofrer um ataque bem-sucedido, os logs serão de grande valia para entender o modo de operação do atacante, a porta de entrada e consequentemente, como não deixar que isso aconteça novamente. O registro de ataque também pode ser útil além da investigação de um incidente, podendo ser usado em assessments futuros, auditorias e até mesmo em termos da LGPD.
Com um projeto de segurança da informação que cubra estes pontos, podemos sair do básico e realmente entender e ter visibilidade do ambiente complexo apresentado hoje ao CIO e CISO. A dinâmica mudou com setores dentro das empresas adquirindo soluções de maneira independente, fabricantes desenvolvendo novas plataformas de colaboração, ferramentas de armazenamento, diversas nuvens públicas e outros itens que precisam ser monitorados.
O ASM, seus conceitos e ferramentas são um grande aliado para manter a segurança da informação nos novos tempos e ficar à frente de atacantes que cada vez mais investem em métodos agressivos.
*Eduardo Lopes é CEO da Redbelt Security no Brasil.
FONTE: CISO ADVISOR