0
0
Odeio fazer isso, mas considere o seguinte exercício de pensamento: Transporte-se de volta para o outono de 2020, quando literalmente o mundo inteiro estava esperando por uma vacina COVID. Sabíamos que havia alguns candidatos (na verdade, uma vacina mRNA foi formulada no final de janeiro) e estávamos apenas esperando a prova – os estudos de eficácia. A maior parte do mundo ficou exultante ao descobrir no início de dezembro de 2020 que as taxas de eficácia eram de 95%. Claro, algumas pessoas precisavam saber que uma vacina típica contra a gripe fornece cerca de 60% de eficácia.
Agora considere como você se sentiria se, em vez de realizar testes de controle randomizados que testavam resultados da vacina, a Pfizer e a Moderna tivessem afirmado que a vacina funcionaria porque os cientistas que a criaram tinham credenciais fortes, o ambiente de laboratório era devidamente gerenciado, os procedimentos eram impecavelmente seguidos, e toda a papelada estava em ordem. Não tenho certeza sobre você, mas eu teria ficado arrasada e provavelmente irada.
Seguimos um padrão como esse rotineiramente na segurança cibernética. Vou poupá-lo do tédio da auditoria de conformidade.
Medindo a eficácia da segurança cibernética
Agora imagine um mundo em cibersegurança onde realmente medimos a eficácia de nossos programas. Onde usamos a potência e a escalabilidade dos computadores para realizar os mesmos tipos de testes considerados um requisito mínimo em outros campos. Onde gerenciamos nossos ambientes de controle e avaliamos os resultados para determinar a força de nossos programas.https://imasdk.googleapis.com/js/core/bridge3.506.0_debug_en.html#goog_11068561121 segundo de 21 minutos, 50 segundosVolume 0%
Uma reação comum a uma proposta como essa é ser sarcástico ou mesmo desdenhoso, lembrando o instigador (é assim que aqueles de nós que propõem tais coisas são muitas vezes chamados) que ambientes de computador são incrivelmente complexos e uma abordagem como esta seria impossível. Como sequenciar os 3 bilhões de pares de bases do genoma humano e usá-lo como um modelo de referência para 7 bilhões de humanos cheios de células se dividindo, neurônios disparando e produtos químicos interagindo é simples.
A verdade é que ambientes de computação são realmente mais fáceis de medir. O júri ainda está fora sobre os benefícios da inteligência artificial na segurança cibernética (pelo menos em um sentido amplo). No entanto, uma vitória rápida é que para alavancar a IA, ela deve ser capaz de ingerir os dados que está analisando. Uma vez que os dados são disponibilizados, é trivial para os computadores contar as instâncias e elementos de atividade pertinente que poderiam ser facilmente usados para este tipo de objetivo.
Casos de uso de eficácia de cibersegurança
Oportunidades para experimentos de eficácia abundam. Por exemplo, uma organização poderia aplicar as mesmas técnicas que a Microsoft fez em seu relatório de inteligência de segurança volume 20: “O MSRT informou que computadores que nunca foram encontrados executando software de segurança em tempo real durante o 2S15 tinham entre 2,7 e 5,6 vezes mais propensos a serem infectados com malware do que computadores que sempre foram encontrados protegidos.” Um olhar mais atento a esses dados revela um escore de eficácia de cerca de 64%.
Ou você poderia realizar um experimento como o Google e a Universidade de Nova York que concluiu: “Mostramos que os desafios baseados no conhecimento impedem apenas 10% das tentativas de sequestro enraizadas em phishing e 73% das tentativas automatizadas de sequestro. Os desafios baseados em dispositivos fornecem a melhor proteção, bloqueando mais de 94% das tentativas de sequestro enraizadas em phishing e 100% das tentativas automatizadas de sequestro.”).
Embora nenhum desses estudos demonstre um nível de rigor como os estudos de eficácia feitos para as vacinas COVID, eles podem ser facilmente replicados e aplicados a ambientes corporativos específicos.
A prática atual de usar auditorias de conformidade do PCI para demonstrar a qualidade do programa não fez nada para impedir que a Target fosse violada (e foi essencialmente revogada retroativamente após o incidente). Substituir auditorias periódicas por dados empíricos de medição contínua revolucionaria nossa compreensão de diligência e negligência e forneceria uma visão chave das melhores maneiras de proteger nossos ambientes. A ressalva aqui é que nenhuma abordagem é infalível. Heck, mesmo com replay instantâneo é incrível quantas vezes os árbitros recebem chamadas “erradas” (geralmente quando a chamada vai contra meus Eagles). Mas uma abordagem empírica que poderia medir a natureza e os tipos de atividade que ocorrem em tempo real, o número e os tipos de controles sendo aplicados, e os resultados finais forneceriam um nível objetivo de cabeça e ombros de análise empírica acima dos métodos existentes.
Uma vez me disseram que a eficácia da segurança cibernética “não era uma coisa” e eu não tinha resposta, porque era verdade. Então, vamos fazer um.
FONTE: CSO ONLINE