A natureza é cheia de exemplos de organismos que detectam ameaças no ambiente e respondem de forma dinâmica a elas. Exemplos óbvios são o nosso sistema imunológico e o camaleão. Há diversos outros exemplos menos evidentes, como o estudado recentemente em um ecossistema na África do Sul formado por uma população de acácias e outra de antílopes. Os animais se alimentavam das folhas das árvores de forma moderada, em equilíbrio, até que em um determinado dia, por razões desconhecidas, a população de antílopes cresceu. Como consequência, a demanda pelas folhas das árvores também aumentou. Estas, sentindo-se ameaçadas, reagiram produzindo toxinas em suas folhas, as quais foram letais para os animais.

Nos focaremos neste último caso, pois vai além da tradicional visão de detecção de uma ameaça e resposta. Apresenta um terceiro elemento útil para análise: as acácias demonstraram alguma capacidade preditiva. Ao analisar o histórico de consumo de suas folhas e sua capacidade de regeneração, observaram uma tendência de aumento de consumo acima da sua capacidade de regeneração. A detecção da ameaça não foi “binária” e sim sofisticada a ponto de concluir que a partir de um ponto a sobrevivência das plantas estava em risco. Diante desta análise, uma nova “arquitetura” das suas folhas (com toxina) foi adotada.

No cenário empresarial, ocorre que as arquiteturas de Tecnologia da Informação (TI) de grandes organizações estão cada dia mais complexas. Não é exagero dizer que estas começam a rivalizar com a complexidade de alguns organismos, como as acácias. Proteger os dados críticos ao negócio neste tipo de ambiente se torna um trabalho cada vez mais desafiador: as arquiteturas de segurança se tornaram complexas, algumas vezes se encontram em silos, o que aumenta os custos, a chance de erros e falhas, além de diminuir a eficácia da arquitetura de segurança como um todo. A fluidez da atual paisagem de ameaças, o desaparecimento de fronteiras de rede claras, somados ao aumento do número de conexões dentro e fora da empresa aumentam a probabilidade e a velocidade de um ataque.

Muitos analistas e administradores de segurança já admitem, o tema não é SE um incidente de segurança vai ocorrer, mas QUANDO, e como será a sua capacidade de detectar e responder. Por isso algumas abordagens já partem da premissa que os sistemas estão comprometidos e exigem monitoramento contínuo, com mecanismos de resposta automática e imediata, visando conter ameaças ativas e neutralizar potenciais vetores de ataque.

Nesta linha, o Gartner prevê que os orçamentos em segurança nos próximos anos deverão focar-se cada vez mais nos temas de monitoramento e remediação contínuas e imediatas. Estima-se que em 2020, 60% dos orçamentos de segurança deverão ser alocados para esta questão.

Uma das abordagens para uma implementação eficaz deste modelo é a Arquitetura de Segurança Adaptativa (ASA), definida também pelo Gartner com os seguintes pilares:

1) Capacidade preventiva: este é o conjunto de políticas, ferramentas e processos que visam prevenir a ocorrência de ataques bem-sucedidos. Ainda que venha a crescer menos nos próximos anos, no que diz respeito aos temas de monitoramento e resposta contínua, não há dúvida que é importante prevenir. Mas observe a necessidade de modelos de prevenção Zero Trust, que podem ser dados por microssegmentação definida por software, aumentando a segurança sem aumentar os custos.

2) Capacidades de detecção: são os controles concebidos para identificar ataques que evadiram de forma exitosa as medidas preventivas. Hoje em dia, nesta área são necessários elementos que vão um passo além da simples correlação de eventos (dadas por ferramentas SIEM - Security Information and Event Management), incorporando algoritmos de Data Analytics, Machine Learning, detecção de padrões e comportamentos que estejam fora da normalidade das operações usuais etc.

3) Capacidades de resposta: proporcionam uma forma de responder à ameaça – seja encolhendo a superfície de ataque, diminuindo sua velocidade, atuando na sua remediação, entre outros aspectos. Um tema relevante aqui é a capacidade de resposta automática a uma determinada ameaça. Uma boa opção é integrar o sistema de detecção com uma tecnologia dinâmica como a microssegmentação, o que permite prontamente colocar em uma rede especial de quarentena um sistema comprometido, evitando a movimentação lateral do atacante ou o espalhamento de malwares na rede.

4) Capacidades preditivas: são aquelas que permitem à organização prever ataques, analisar tendências e passar de uma postura de segurança reativa a uma proativa. Como o panorama de ameaças é dinâmico e evolui de forma rápida, é fundamental uma combinação eficaz das técnicas de detecção avançadas apontadas acima com uma sofisticada rede de Inteligência de Ameaças – que agregue inteligência específica do setor da economia, fornecidas por fabricantes, identificadas por provedores globais de serviços de monitoramento de segurança, ameaças caçadas (“threat hunting”) em redes sociais, dark web, etc.

 

Leonardo Carissimi

Diretor de Soluções de Segurança da Unisys na América Latina

Leonardo Carissimi

Diretor de Soluções de Segurança da Unisys na América Latina