O futuro da prevenção de ameaças cibernéticas está na segurança aberta

blog-open-security-720x420-A.png

Por muito tempo, o setor de segurança cibernética insistiu em uma metodologia inadequada, baseada em uma noção de que as organizações podem evitar ameaças de segurança através da obscuridade e do sigilo. Seguindo esse raciocínio, supõe-se que manter os controles e processos de segurança em sigilo torna a segurança de produtos e dados mais eficiente e permanente contra as ameaças cibernéticas dentro das redes protegidas.      

Entretanto, mesmo as defesas de segurança cibernética mais sofisticadas não são páreo para adversários bem financiados e altamente motivados. Na verdade, a pegada digital em expansão nas organizações modernas fez com que muitos controles de segurança cibernética tradicionais e centralizados se tornassem obsoletos. 

O aumento de violações de dados é rápido e contínuo e, para ter uma segurança aberta e transparente, os profissionais devem reconhecer e apoiar nosso potencial como uma comunidade.

A segurança aberta, metodologia que muda a dinâmica da relação da empresa de segurança com seus clientes, tem o potencial de transformar o setor de segurança cibernética, reunindo os profissionais de segurança para criar uma resposta mais resiliente às ameaças empresariais. A segurança aberta não é apenas a melhor defesa para qualquer organização, ela também deve ser o caminho a ser percorrido pelo setor de segurança como um todo. 

O caso de segurança aberta 

O recente incidente Log4j (Log4Shell), que muitas pessoas viram como uma falha de segurança, ilustra por que os sistemas abertos podem ser mais seguros do que os fechados. Como a biblioteca Log4j é open source, a descoberta da vulnerabilidade de execução do código remoto iniciou uma reação em cadeia global de notificações e patches que provavelmente economizou milhões de dólares em danos potenciais, caso a vulnerabilidade tivesse sido descoberta por um invasor. O investimento do site Alibaba em uma segurança aberta compensou todos que foram ou poderiam ter sido afetados.

Vamos comparar esse caso com um ataque ao estado-nação no código proprietário naSolarWinds. Nos anos anteriores à descoberta do incidente, a violação deu acesso irrestrito a sistemas para pelo menos 100 empresas e algumas agências governamentais dos EUA.

O Log4Shell pode ter sido descoberto em um produto fechado e proprietário, mas seria mais provável que um adversário sofisticado o tivesse detectado antes. A abertura dificulta esconder ou evitar corrigir imperfeições em produtos relevantes, o que no fim das contas leva a uma segurança geral melhor.

[Artigo relacionado: Por que o melhor tipo de segurança cibernética é a segurança aberta]

As ameaças dinâmicas exigem respostas dinâmicas

As organizações não podem contar com detecções estáticas para identificar ameaças e interromper com êxito os ataques cibernéticos. Essas ferramentas são ótimas para detectar um identificador específico para um arquivo, por exemplo, mas algum adversário ainda assim poderia fazer facilmente uma alteração pequena que eliminaria por completo os mecanismos para essa detecção.

Para reduzir esse risco, as camadas de defesa precisam cobrir muitos pontos na superfície de ataque. Unir os mecanismos de defesa aumenta a eficácia da solução de segurança e oferece às organizações a oportunidade de quebrar o ciclo de vida do ataque em diversos pontos. 

Além das proteções em camadas, os defensores cibernéticos agora também têm uma noção melhor de como os adversários operam. O MITRE ATT&CK framework®, uma base de conhecimento selecionada que serve de modelo para o comportamento do adversário, descreve as fases do ciclo de vida de um invasor, além da tática e das técnicas usadas para minar a defesa da segurança. O MITRE ATT&CK forneceu aos defensores cibernéticos um manual acessível e transparente, com orientações para a defesa de suas empresas, indicando uma taxonomia comum das ações do adversário.

Os fornecedores de segurança devem encontrar uma oportunidade no mesmo espírito de abertura e transparência. 

A segurança aberta pode ajudar os profissionais a perceber as lacunas

Apesar das evidências, ainda há uma concepção errada de que a abertura do software é essencialmente menos segura. Muitos fornecedores de segurança acham que não informar os mecanismos usados em sua detecção de ameaças dificultará a vida do adversário na hora de identificar as fraquezas do software. Mas os criminosos cibernéticos de hoje já têm as ferramentas para saber se um sistema de segurança pode identificá-los mesmo antes de violarem o sistema.

Considerando essa realidade, a segurança aberta oferece uma oportunidade de atacar o problema reduzindo o tempo até a detecção quando uma nova ameaça escapar. Quando um vigilante está analisando a filmagem de uma câmera de segurança, ele sabe exatamente para onde as câmeras estão apontadas e para onde não estão. Dessa forma, ele pode identificar as áreas vulneráveis que estão fora da linha de visão da câmara e assim conseguir decidir se é preciso seguir com a investigação. 

Entender qual é a área com falhas facilita o trabalho dos profissionais na hora de decidir onde eles precisam reforçar as ferramentas de segurança existentes ou onde monitorar as ameaças com mais cuidado e ações preventivas. Dessa forma, as equipes de segurança montam a melhor defesa possível para seu ambiente específico, não apenas para os ambientes que já têm uma defesa adequada.

Uma abordagem comunitária para a segurança redimensionável

Quer conhecer outro benefício da segurança aberta? Uma comunidade que nasceu baseada em ações transparentes dos fornecedores sobre seus controles de segurança, regras de detecção e lógica de ameaças que pode ser uma multiplicadora de esforços de práticas recomendadas por todo o setor. Os fornecedores de segurança que trocam ideias com seus pares especialistas e com especialistas de toda a comunidade de segurança mais ampla aprendem muito mais sobre novas ameaças observadas ou métodos inovadores para detectar ataques complexos. Essa postura cria uma escalabilidade maior das defesas do sistema, não só para a empresa, mas também para seus clientes e dados.

É importante lembrar que a segurança vai além da detecção da ameaça: trata-se também da capacidade de agir para eliminá-la. Como impedir um ataque? E o que pode ser extraído da análise forense para fortalecer as defesas contra ameaças similares que podem surgir? Quando os fornecedores tornam a segurança aberta e transparente, eles conseguem aprimorar continuamente o uso de ferramentas para além do que poderiam usando seus recursos internos limitados. 

No fim das contas, a segurança aberta é baseada essencialmente em confiança. A confiança de que o seu software de segurança protegerá sua empresa contra as últimas ameaças cibernéticas e a confiança de que ele vai operar em um único ambiente sem interferir nas operações diárias.

A combinação de nossos recursos coletivos para acelerar a resposta às ameaças cibernéticas aumenta o potencial de reduzir significativamente a quantidade e o impacto dos ataques cibernéticos que ocorrem todos os dias.

Para ver em primeira mão como uma solução de segurança aberta pode reduzir de maneira substancial o risco, assista ao nosso webinar introdutório: Introdução ao Elastic Security: How to Shrink MTTR (Como reduzir o MTTR).