Aprenda a construir uma pilha de segurança eficaz para sua equipe

Publicados: 2020-05-05

Construir uma pilha de tecnologia é uma das tarefas mais difíceis que os administradores de TI, profissionais de segurança cibernética e proprietários de empresas enfrentam.

Isso ocorre porque a construção de um conjunto de ferramentas de produtividade e segurança cibernética requer um conjunto cuidadoso de atos de equilíbrio.

Em princípio, quanto mais ferramentas de segurança cibernética você implantar, mais seguros serão seus sistemas, mas apenas até um determinado ponto: se você tornar sua pilha muito complexa, pode se tornar difícil de gerenciar e, assim, introduzir vulnerabilidades, além de aumentar sua investimento inicial em sistemas técnicos.

Um relatório da Aberdeen e da Cyber ​​adAPT descobriu que uma pilha de tecnologia corporativa típica de seis camadas – composta por rede, armazenamento, servidores físicos, bem como virtualização, gerenciamento e camadas de aplicativos – exige que os CISOs lidem com nada menos que 1,6 bilhão de versões de instalações de tecnologia para 336 produtos, fornecidos por 57 fornecedores.

Esse problema é agravado pela natureza cada vez mais dinâmica da maioria dos ambientes corporativos. O aumento das soluções de software de trabalho remoto, o interesse renovado no gerenciamento de equipes virtuais e o aumento gradual no uso de VPN nos últimos dez anos é uma indicação de que muitas empresas estão procurando desenvolver pilhas de segurança cibernética que possam ser implantadas efetivamente fora do local, com as complexidades adicionais que isso traz.

Neste artigo, vamos voltar ao básico. A construção de uma pilha de ferramentas de segurança cibernética eficaz baseia-se, em um nível fundamental, em vários princípios-chave. Tenha isso em mente ao construir e desenvolver sua própria pilha, e você poderá alcançar o equilíbrio entre simplicidade e funcionalidade que é a marca de uma grande pilha de ferramentas.

Como construir corretamente uma pilha de segurança

O primeiro e mais importante passo na construção de uma pilha de ferramentas de segurança cibernética é ter uma estratégia de segurança cibernética e governança da informação. Isso pode parecer óbvio, mas é um passo que muitas organizações ainda ignoram: 44% dos 9.500 executivos pesquisados ​​na Pesquisa Global de Segurança da Informação de 2018 da PwC disseram que não tinham uma estratégia geral de segurança da informação em vigor.

Sem uma estratégia de segurança cibernética completa e rigorosa, é quase impossível construir uma pilha de ferramentas que mitiga genuinamente as ameaças que você enfrenta. Qualquer pilha de ferramentas desenvolvida sem supervisão estratégica provavelmente sofrerá de vários problemas interligados. Será inadequadamente amplo para lidar com a amplitude do seu perfil de ameaças, rapidamente se tornará obsoleto devido ao crescente número de ameaças existentes ou não permitirá a supervisão suficiente de seus dados para atender à legislação de governança e conformidade.

Dois exemplos disso podem ser dados. O aumento vertiginoso do cryptojacking nos últimos anos pegou muitas empresas de surpresa, porque elas estão acostumadas a proteger dados em vez de seus recursos de computação e, sem auditorias regulares de ameaças, muitas têm dificuldade em responder. Da mesma forma, a escala crescente de censura na Internet na última década tornou muitas soluções de trabalho remoto herdadas quase inúteis, porque as empresas deram como certo que os funcionários externos têm acesso completo a todos os recursos e sistemas on-line de que precisam.

Nem tudo são más notícias, no entanto. Desenvolver uma estrutura de segurança cibernética não é apenas mitigar riscos: também pode melhorar a produtividade. Na pesquisa de 2016 da Tenable, 95% dos entrevistados com uma estrutura implementada viram benefícios, incluindo maior eficácia das operações de segurança, conformidade contratual, maturidade e a capacidade de apresentar de forma mais eficaz a prontidão de segurança para a liderança empresarial.

Descubra quais são as áreas de risco do seu negócio

Depois de ter uma estrutura de gerenciamento de riscos eficaz, é hora de avaliar honestamente as vulnerabilidades de segurança cibernética mais perigosas que sua empresa enfrenta e priorizar os riscos que terão o maior impacto na sustentabilidade de seus negócios.

A maioria das empresas de análise de segurança cibernética divide os tipos de ameaças enfrentadas pela empresa média em cinco elementos:

  • A segurança física de seus sistemas e hardware , que inclui estruturas de Controle de Acesso e Confiança Zero.
  • Segurança de perímetro de rede , que incorpora detecção de intrusão, mitigação disso e proteção de endpoint.
  • A segurança das comunicações internas. Este é um campo amplo que inclui táticas para limitar vazamentos e perdas de dados, bem como sistemas para combater ameaças internas, que continuam sendo algumas das vulnerabilidades mais perigosas que as empresas enfrentam.
  • A resposta a incidentes também deve ser parte integrante de qualquer estratégia de segurança cibernética. Mesmo a pilha de ferramentas de segurança cibernética mais segura não pode oferecer 100% de proteção contra todas as ameaças, e como você responde a ataques bem-sucedidos geralmente é o elemento mais importante na sustentabilidade contínua dos negócios.
  • Por fim, sua estratégia deve incluir a resposta de longo prazo a ataques bem-sucedidos , o que inclui um processo de análise forense cibernética, investigação e estratégias de litígio após um ataque.

Esses cinco elementos também estão contidos no que continua sendo a estrutura mais completa para planejar a estratégia de segurança cibernética: a estrutura do NIST. Essa estrutura inclui cinco princípios (identificar, detectar, proteger, responder e recuperar-se de ameaças) que refletem os anteriores e apresentam uma abordagem do início ao fim para lidar com ameaças cibernéticas.

Adote uma abordagem de segurança em várias camadas

Com uma estratégia de segurança cibernética em vigor, você pode começar a investir nas ferramentas necessárias para proteger seus dados (e sua equipe) contra ameaças cibernéticas. O valor de conceber seus sistemas como uma série de elementos e de seguir a estrutura do NIST ao lado disso é que essa abordagem destaca que sua rede não é um todo monolítico. Cada nível do seu sistema deve ser defendido, e cada uma dessas ferramentas defensivas deve se basear no último.

Há duas grandes lições a serem extraídas do tipo de análise que explicamos acima. Uma é que as empresas devem equilibrar seus gastos com segurança cibernética em todos os cinco elementos da segurança da rede, porque, em última análise, a segurança de seus sistemas é tão boa quanto a da parte mais fraca. A segunda é que aponta para um paradigma defensivo que foi popularizado pela NSA, mas agora é parte fundamental da estratégia de segurança cibernética da maioria das empresas: "defesa em profundidade".

Equilibrando sua pilha

Vamos tomar essas duas idéias por sua vez. O principal valor da avaliação de risco de acordo com a rubrica acima é que ela permite que as empresas equilibrem seus investimentos em ferramentas de pilha de segurança cibernética de acordo com o tipo de dados que possuem e onde suas vulnerabilidades são mais graves.

Para empresas que precisam proteger quantidades significativas de propriedade intelectual, por exemplo, as vulnerabilidades do sistema de backup provavelmente serão uma grande prioridade e a área na qual ferramentas de segurança cibernética mais avançadas precisarão ser implantadas. Esse tipo de empresa também deve se concentrar na proteção contra violações e na mitigação de intrusões, porque mantém dados valiosos (e, portanto, potencialmente vulneráveis).

Outro tipo de empresa, digamos, focada em fornecer ferramentas SaaS, precisará priorizar uma parte diferente de sua pilha. Uma empresa que fornece a maioria de seus serviços pela Web precisará se concentrar mais na proteção contra DDoS e na integridade do servidor. Em vez de o valor ser mantido em dados, nesse tipo de empresa a sustentabilidade é representada pelo tempo de atividade, e isso deve informar as decisões de compra quando se trata de construir uma pilha de ferramentas de segurança cibernética.

Defesa em profundidade

O conceito de "defesa em profundidade" é aquele que está inerentemente contido na ideia de uma "pilha" de segurança cibernética. Na prática, isso significa que suas defesas devem ser organizadas como uma série de camadas defensivas, cada uma construindo sobre a última. Significa também que os métodos utilizados por esses mecanismos defensivos devem ser bem diversificados.

A ideia central aqui é que os hackers devem receber uma série de defesas e contramedidas crescentes. Além de pensar em sua pilha para protegê-lo nos cinco níveis que abordamos acima, isso também significa que suas ferramentas devem usar o máximo possível das seguintes técnicas:

  • Endpoint ou software antivírus
  • Segurança de e-mail na nuvem ou proteção avançada contra ameaças
  • Autenticação e segurança de senha
  • Arquivamento
  • Biometria
  • Segurança centrada em dados
  • Continuidade de e-mail e DRPs
  • Criptografia
  • Firewalls (hardware ou software)
  • Senhas de hash
  • Sistemas de detecção de intrusão (IDS)
  • Registro e auditoria
  • Autenticação multifator
  • Scanners de vulnerabilidade
  • Controle de acesso cronometrado
  • Treinamento de conscientização de segurança na Internet
  • Rede privada virtual (VPN)
  • Sandboxing
  • Sistemas de proteção contra intrusão (IPS)

Defesa em profundidade também significa que as empresas não devem ver suas defesas como uma “muralha” impenetrável que deterá todos os invasores. Em vez disso, você deve aceitar que, eventualmente, algumas de suas defesas de primeira linha serão violadas.

Um bom exemplo disso é a segurança de e-mail. A grande maioria das empresas usará o e-mail fornecido pela Microsoft ou pelo Google. Ambos os sistemas vêm com vulnerabilidades de segurança bem conhecidas, e também é sabido que a grande maioria dos ataques cibernéticos começa com um e-mail de phishing.

Tentar impedir todos esses ataques no nível das caixas de entrada dos funcionários é essencialmente impossível, enquanto ainda fornece a flexibilidade e a funcionalidade que os funcionários precisam para trabalhar de forma produtiva. Em vez disso, as empresas devem olhar para o próximo nível de segurança: onde os e-mails são armazenados, que para a maioria das empresas será o armazenamento em nuvem.

Portanto, a criptografia de e-mail e o treinamento da equipe são essenciais na prevenção de ataques cibernéticos, garantindo a defesa em profundidade também significa implementar soluções de armazenamento em nuvem criptografadas para e-mail e fazer backup desses arquivos criptografados.

Domine a segurança da sua rede

Ao trabalhar com a estrutura acima, você reconhecerá imediatamente que construir uma pilha de segurança cibernética segura provavelmente envolverá investir em várias ferramentas de vários fornecedores. Essa diversidade – como apontamos – é fundamental para garantir fortes defesas de segurança cibernética, mas também pode causar problemas.

Isso ocorre porque há uma tendência das empresas de subcontratar serviços de segurança para os vários níveis de suas pilhas de segurança cibernética sem pensar cuidadosamente nas responsabilidades que cada fornecedor deve receber.

Além de investir em ferramentas de qualidade, portanto, sua estratégia de segurança cibernética também deve envolver um mapeamento cuidadoso de quais de seus fornecedores estão se responsabilizando por quais partes do seu sistema: tanto em termos operacionais quanto em possíveis litígios após um ataque cibernético.

Idealmente, seu relacionamento com seus fornecedores deve ser pensado como uma parceria comercial, e não como uma simples relação comprador-fornecedor. Os fornecedores de qualidade podem ser reconhecidos pelo tempo e esforço que levam para entender suas necessidades e pela capacidade de resposta a elas. Um fornecedor respeitável também poderá definir suas responsabilidades operacionais e legais precisas quando se trata de proteger seus dados.

Conclusão

Quando se trata de construir pilhas de segurança cibernética, muitas empresas ainda exibem "fixação de destino". Dependendo do setor em que trabalham, pode ser tentador se concentrar apenas em uma parte de sua infraestrutura de segurança cibernética: proteger dados se seu modelo de negócios for baseado em análises e aquisição de dados, por exemplo, ou tentar tornar suas plataformas de divulgação 100% seguras se você trabalha em marketing.

Como mostramos acima, esse tipo de abordagem é problemático porque não consegue realizar o insight central do modelo "pilha". Em vez de construir paredes supostamente impenetráveis ​​ao redor de sua rede, você precisa aceitar que eventualmente alguém irá invadi-la. Nesse ponto, eles devem ser confrontados com uma série crescente de dificuldades.

Ao adotar uma abordagem mais holística, você pode melhorar a segurança em todos os níveis de sua pilha – esteja você trabalhando com dados de marketing ou um ecossistema de IoT – e garantir que não haja brechas em sua armadura.