Quatro perguntas de segurança cibernética que todo CISO deve estar pronto para responder

Na parte um da nossa série de seis capítulos no blog, sobre como melhorar a sua estratégia de segurança cibernética, discutimos como a dependência de uma abordagem altamente compartimentada por parte do setor está diminuindo a segurança de todos, e compartilhamos as quatro principais perguntas que todos os CISOs precisam saber responder.

A infraestrutura de TI costuma crescer com a empresa. Novas ferramentas, aplicações, sistemas e perfis de usuários são inseridos no todo conforme surge a necessidade, geralmente sem grandes considerações estratégicas. Surgem silos organizacionais relacionados a esses acréscimos conforme as equipes descobrem que cada nova ferramenta requer novas habilidades de implantação e manutenção. Em pouco tempo, toda a operação pode parecer uma casa velha em ruínas, na qual cada geração de proprietários construiu um novo cômodo.

As ameaças ficam à espreita. Surgem vulnerabilidades imprevistas, tecnologias obsoletas, datacenters distribuídos, expansão de rede, profissionais gananciosos e usuários ingênuos. Com os componentes da infraestrutura de TI empresarial dispersos e compartimentados, fica difícil para qualquer pessoa ou equipe obter a visibilidade holística de toda a rede.

Leia a série completa no blog sobre Cyber Exposure (alguns posts estão disponíveis somente em inglês):

Quatro perguntas de segurança cibernética que todo CISO deve estar pronto para responder

Três dicas para identificar a lacuna de Cyber Exposure da sua organização

Cinco dicas para priorizar as vulnerabilidades com base no risco

Métricas e maturidade: análise comparativa da sua Cyber Exposure com o passar do tempo

Como as suas práticas de Cyber Exposure se comparam às dos seus colegas?

Cyber Exposure: como usar uma abordagem holística para o gerenciamento de vulnerabilidades

A falta de visibilidade dificulta a descoberta desses vetores de ameaça em silos, e dificulta ainda mais a abordagem depois de descobertos. Isso ocorre porque, na maioria dos casos, as ferramentas e as táticas disponíveis são concebidas apenas para atacar áreas de preocupação específicas e não integradas. Com frequência, vemos ferramentas de segurança sendo implantadas de forma dispersa por toda a organização. Vemos equipes de operações, segurança de aplicações, DevOps, segurança de rede, aprendizado de máquina, equipes de computação de alto desempenho, central de operações de segurança (Security Operations Center – SOC) e auditoria/conformidade buscando e implantando ferramentas próprias e distintas.E não existe escassez de ferramentas de segurança. Havia mais de 600 fornecedores na área de exposição da RSA Conference de 2018.

Embora essas questões não sejam nenhuma novidade, nunca foi tão urgente abordá-las, pois a superfície de ataque continua crescendo. No nosso trabalho com profissionais de TI e segurança cibernética, ouvimos com frequência os desafios de proteger todas as aplicações isoladas — e as plataformas de computação e armazenamento distribuídas — que estão em uso em toda a empresa. Dispositivos de tecnologia operacional (OT) e internet das coisas (IoT) apresentam os seus próprios nichos de problemas, pois essas soluções conectadas à internet costumam ser implantadas fora das dependências da organização de TI.

Na maior parte dos casos, as organizações acabam integrando aplicativos por meio de APIs e colocando uma infinidade de nuvens sob uma única plataforma de gerenciamento para gerenciar o lote todo de uma só vez. Mas mesmo essa abordagem é apenas um "quebra-galho". Ela não substitui uma estratégia de segurança cibernética holística, que enfatize a visibilidade de toda a rede e aplique insights granulares sobre as ameaças que podem estar à espreita entre eles, para que as organizações possam priorizar as respostas de forma eficaz. Chamamos essa abordagem de Cyber Exposure.

A Cyber Exposure é uma disciplina em ascensão para calcular e gerenciar a segurança cibernética na era digital. A Cyber Exposure transforma a segurança de uma visibilidade estática e em silos em uma visibilidade dinâmica e holística em toda a superfície de ataque moderna. É a base na qual deve ser criada uma estratégia de segurança cibernética que compreenda a totalidade da superfície de ataque moderna.

Quatro perguntas que todo CISO deve estar pronto para responder

A criação de uma estratégia de segurança cibernética holística usando a disciplina de Cyber Exposure permite responder, a qualquer momento, a cada uma dessas quatro perguntas sobre a sua organização:

• Até que ponto estamos seguros? E expostos? Para responder a essas perguntas, é preciso ter visibilidade de todos os aspectos da superfície de ataque da organização, incluindo recursos de nuvem, contêineres, sistemas de controle industrial e dispositivos móveis, que podem ou não estar no radar da TI. Isso envolve a elaboração de um inventário de onde existem ameaças específicas à sua empresa. Por exemplo, se sua organização for particularmente diligente na implantação de patches, a vulnerabilidade mais recente do Windows poderá não ser uma preocupação tão grande quanto seria para uma empresa que não aplica patches nos seus sistemas há sete anos. Ao chegar a um acordo de onde estão suas exposições, ou onde existe probabilidade de estarem, você obtém mais informações do que está em risco.
• O que devemos priorizar? As respostas a essa pergunta devem ter base em uma combinação de inteligência contra ameaças para entender o potencial de exploração do problema e a criticidade dos ativos e, assim, entender o contexto empresarial do ativo. Uma priorização de vulnerabilidades eficaz precisa compreender o contexto empresarial para otimizar seus esforços, seus recursos e seu orçamento. Ela permite que você concentre a proteção de áreas vulneráveis com maior probabilidade de custar mais caro para a sua organização em termos de mão de obra, penalidades, tempo, recuperação e reputação. Ela também ajuda a reduzir a fadiga de alertas, pois é possível priorizar como a sua equipe responde às vulnerabilidades com base na criticidade dos ativos afetados para a sua empresa e na probabilidade de uma determinada vulnerabilidade ser explorada.
• O que fazer para reduzir os riscos ao longo do tempo? A sua capacidade de responder a essa pergunta é uma medida do seu progresso. Você precisará identificar as métricas e os KPIs em relação aos quais você medirá os seus esforços. Essas métricas precisam poder ser vistas por unidade de negócios, área geográfica e tipo de ativo. O objetivo é entender como o seu perfil de exposição muda mês a mês, trimestre a trimestre e ano a ano, para que você possa ajudar os seus colegas de trabalho e a diretoria a entender se os investimentos da empresa em segurança cibernética estão valendo a pena.
• Como nos comparamos aos nossos colegas? Ao responder a essa pergunta, você é forçado a sair da bolha interna da sua empresa para ajudar a entender como as suas práticas de segurança cibernética se comparam às de outras pessoas da sua área e de outros setores. A classificação da sua organização em relação aos pares do setor e ao mais alto grau de segurança da categoria é um diálogo importante que cada Conselho de Administração deveria ter para gerar uma discussão mais estratégica e ajudar a garantir que o conselho esteja cumprindo sua responsabilidade fiduciária de oferecer a devida vigilância de riscos para a empresa. O risco cibernético não é diferente de outros riscos da empresa e deve ser gerenciado e medido da mesma forma.

A sua capacidade de responder precisamente a essas quatro perguntas é fundamental para entender a exposição total aos riscos e a eficácia das suas medidas de segurança cibernética. Mas, se você estiver lidando com uma infraestrutura de TI altamente compartimentada, poderá parecer assustador saber por onde começar para adotar uma estratégia mais holística.

Três práticas de segurança cibernética que você pode implantar hoje mesmo

Eis três dicas que você pode começar a usar hoje mesmo para ajudá-lo a iniciar a sua jornada rumo a uma estratégia de segurança cibernética holística.

1. De phishing a peixes, procure vulnerabilidades de forma mais ampla e profunda. Provavelmente, o próximo ataque virá de uma direção desconhecida e inesperada. O infame ataque no aquário do cassino, no qual hackers pegaram 10 GB de dados de um cassino pelos sensores conectados à internet em um aquário, é um exemplo perfeito. De fato, devido ao crescente número de dispositivos de IoT e as oportunidades para agentes mal-intencionados que os acompanham, as equipes de segurança terão que atualizar continuamente sua lista de vulnerabilidades. Mas os dispositivos de IoT não são os únicos locais ocultos que precisam ser iluminados e protegidos contra ameaças. Não se esqueça dos serviços e ambientes em nuvem, contêineres, sistemas de vigilância por vídeo, dispositivos de controle industrial, aparelhos de ponto de venda, sistemas HVAC e qualquer outro sistema conectado à internet que não costuma ser gerenciado pelas equipes de TI/SecOps. Por exemplo, em setembro, pesquisadores da Tenable revelaram a descoberta do Peekaboo, uma vulnerabilidade que possivelmente estava afetando centenas de milhares de câmeras conectadas à internet usadas em sistemas de vigilância por vídeo. Verifique se as suas equipes de segurança estão, de fato, fazendo buscas em todos os lugares e munidas com ferramentas projetadas para detectar vulnerabilidades conforme aparecem em novos lugares.
2. Nem todos os ativos são criados da mesma forma. É fundamental saber quais ativos são mais importantes para a sua empresa para responder às ameaças de forma contundente e apropriada. Um iPad usado pelo CFO da sua empresa pode ser um alvo mais valioso do que o iPad usado na recepção para registrar os visitantes. Tenha certeza de se concentrar nos ativos mais críticos primeiro. Agora, reserve um tempo para definir a criticidade de cada ativo e classificar a sua importância quanto ao tempo de resposta. Depois, atualize essas informações regularmente. Marcar os ativos é um bom ponto para começar a criar um inventário de ativos com base na importância. Lembre-se de incluir requisitos de conformidade, como GDPR, HIPAA e PCI, como parte da sua avaliação de criticidade dos ativos.
3. Priorize a correção. Entre as milhares de vulnerabilidades divulgadas todos os anos, apenas uma pequena parte é realmente explorada. Você precisa ter conhecimento das vulnerabilidades que estão sendo exploradas no mundo, bem como alertas precoces sobre as que provavelmente serão atacadas em um futuro próximo. Ter acesso a esse tipo de informação permite que as equipes de segurança priorizem a resposta à ameaça com base na criticidade do ativo, na inteligência contra ameaças e na análise das probabilidades.

Saiba mais

Leia a série completa no blog sobre Cyber Exposure (alguns posts estão disponíveis somente em inglês):

• Quatro perguntas de segurança cibernética que todo CISO deve estar pronto para responder
• Três dicas para identificar a lacuna de Cyber Exposure da sua organização
• Cinco dicas para priorizar as vulnerabilidades com base no risco
• Métricas e maturidade: análise comparativa da sua Cyber Exposure com o passar do tempo
• Como as suas práticas de Cyber Exposure se comparam às dos seus colegas?