O paradigma de Assume Breach, a segurança antiga já provou não ser eficaz
Lamento. Nossas redes não estão seguras e, na verdade, já estão invadidas. O que fazemos para lidar com isso?
Esse, que sempre foi o maior terror da área de segurança de qualquer empresa, é na verdade o princípio central do “Assume Breach”, o novo paradigma que busca enfrentar de cara os hackers mais experientes, aqueles para quem muralhas de segurança são somente simples exercícios de alpinismo.
Em resumo, dado o cenário de ameaças de hoje, vamos reconhecer que uma violação já ocorreu em nossa rede ou que é apenas uma questão de tempo até que ocorra. Nossas estratégias e tecnologias de prevenção de segurança não podem garantir a proteção contra todos os ataques. É mais provável que nossa organização já tenha sido comprometida, mas ainda não a tenha descoberto.
É aí que entra o “Assume Breach”.
O conceito é uma mentalidade que orienta os investimentos em segurança, as decisões de design e as práticas de segurança operacional. Agora a gente trata aplicativos, serviços, identidades e redes, todos – internos e externos – como não seguros e provavelmente já comprometidos.
Operar com essa premissa reformula as estratégias de detecção e resposta de uma maneira que ultrapassa os limites da infraestrutura, pessoas, processos e tecnologias de qualquer organização. Isso porque, no atual cenário de ameaças, o foco somente na prevenção não é suficiente para lidar com adversários determinados e persistentes.
Os controles de borda da rede podem manter os amadores afastados, mas os invasores talentosos e motivados sempre encontrarão os meios para entrar nesses perímetros virtuais. Sempre. Como resultado, as organizações muitas vezes estão mal preparadas quando se deparam com a necessidade de responder à profundidade e amplitude de uma violação.
O Assume Breach oferece inúmeras vantagens que ajudam a explicar a segurança geral, exercitando e medindo recursos reativos no caso de uma violação. Com ele, o foco de segurança muda para identificar e abordar lacunas em:
- Detecção de ataque e penetração
- Resposta ao ataque e penetração
- Recuperação de vazamento de dados, adulteração ou comprometimento
- Prevenção de futuros ataques e penetração
Ou seja, agora a gente considera que a violação ocorrida descobriu até se os mecanismos de proteção, detecção e resposta foram implementados adequadamente. Com isso, podemos reduzir até mesmo ameaças potenciais dos “invasores experientes”.
Brinde: dois ataques que indicam que sua empresa JÁ ESTÁ INVADIDA:
Ataque Solarwinds. Um dos ataques mais conhecidos da história, foi do tipo de “cadeia de suprimentos de software”. Começou em setembro de 2019 e não foi descoberto até dezembro de 2020, cerca de catorze meses depois. Esse período de tempo não é incomum. De fato, o tempo médio necessário para detectar e conter uma violação de dados agora é de 280 dias.
Ataques do Lapsus$. Uma série de invasões realizadas desde dezembro de 2021 vem preocupando organizações brasileiras tão diferentes como Ministério da Saúde, Correios, Claro, Americanas, Submarino, Shoptime, Localiza (Brasil), Imperva e Vodafone (Portugal), Nvidia (EUA). Embora o grupo criminoso não costume pedir resgate de dados, a amplidão das invasões assusta e põe em alerta a segurança de todas as empresas nacionais. E um adendo: o Lapsus$ vem recrutando funcionários de empresas para facilitar suas ações criminosas.