O dilema da segurança gerenciada

segunda-feira, 21 de setembro de 2015

Você vai acreditar em mim ou em seus próprios olhos? 

Este é o dilema da segurança gerenciada onde as organizações enfrentam um contexto de ameaças tecnológicas a cada dia mais complexo e que coloca em risco o desenvolvimento dos processos produtivos. Nos referimos a ataques avançados persistentes (APT), vulnerabilidades zero day, espionagem industrial, hacktivismo... e, ao mesmo tempo, a necessidade de cumprir as regras do jogo (legislação e regulamentações) em matéria de segurança.

O desafio para as organizações é equilibrar as exigentes demandas dos processos produtivos e a gestão da crescente complexidade das ameaças, fazendo isso com a inteligência e escala requeridos em cada caso. Isto faz com que seja obrigatório não somente o desenvolvimento de ferramentas que permitam o gerenciamento destas ameaças, mas também ter à disposição profissionais especialistas em segurança ou, então, a terceirização deste serviço a especialistas que disponham de pessoal capacitado e das ferramentas adequadas para a gestão de sua segurança. O problema neste caso é que a organização perde visibilidade e controle sobre a sua própria segurança.

Na ElevenPaths consideramos que é possível estar um passo à frente neste eterno jogo de gato e rato. A gestão "tradicional" da segurança terceirizada baseia-se na operação de ferramentas de segurança como firewall, antivírus, detectores de intrusões (IDS e IPS), etc. além de um SIEM como ferramenta de coleta e correlação de eventos que geram todas essas ferramentas de segurança. O SIEM detecta e avisa o operador quando se produz algum incidente de segurança, mas a organização perde a visibilidade de sua própria segurança e a capacidade de resposta imediata.

O novo enfoque da gestão terceirizada da segurança deve permitir que a organização tenha um conhecimento imediato dos incidentes, bem como uma visão unificada de sua segurança, que permita uma resposta também imediata e à escala da ameaça e que minimize o impacto no negócio. Esta solução também deveria integrar tanto a informação obtida de todas as ferramentas desdobradas na própria organização, como a informação externa a esta. Por outro lado, a organização deveria ser beneficiada com um conhecimento global e coletivo que lhe permita antecipar incidentes que já lhe estão ocorrendo ou que ocorreram a outros.

O primeiro passo é melhorar a detecção de incidentes realizada pelos SIEMs. SandaS processa a informação que os SIEMs recebem com um conjunto de algoritmos próprios que permitem detectar atividades que poderiam passar despercebidas.

O portal de última geração trás um painel de controle que permite a organização visualizar em tempo real a informação relevante a sua segurança, para que seja feito um seguimento minuto a minuto do estado de sua segurança e de como esta sendo gerenciada.

Não basta detectar um incidente, é necessário também classificar a sua categoria de maneira uniforme e definir uma criticidade. SandaS permite personalizar o nível de criticidade segundo o contexto específico da organização e os elementos aos que afeta. Além disso, notifica de forma automática os atores relevantes nesse contexto, para um tratamento e resolução mais ágil e eficiente. Inclusive podendo executar automaticamente ações de resolução ou remediação, o que permite que os recursos sejam otimizados.

SandaS se apoia em múltiplos componentes da plataforma de segurança da ElevenPaths, como o framework de processamento Big Data Sinfonier que lhe permite a integração de fontes internas e externas, como eventos externos detectados por outros serviços de cibersegurança. Isto permite detectar mais rapidamente, e de forma mais ajustada ao contexto da organização, possíveis incidentes e prevenir ou reduzir o seu impacto.

Além disso, a qualidade mais inovadora do SandaS é seu enfoque colaborativo. Graças à sua escala global e ao grande volume de dados que maneja de fontes muito diversas, obtém um conhecimento global de indícios suspeitos em toda a sua rede de atuação. Esta inteligência lhe permite deduzir a existência de ameaças potenciais, detectar imediatamente incidentes que já estão ocorrendo e, sobretudo, evitar que estes incidentes ocorram naquelas organizações nas quais ainda não se materializaram.

Para completar esta visão da gestão da segurança seria necessário vinculá-la ao negócio. É necessário avaliar o risco que as ameaças e as vulnerabilidades representam para o negócio, bem como ser capazes de gerenciar o cumprimento das múltiplas regulamentações, normas e políticas. Isto nos permite tomar melhores decisões sobre a gestão dos incidentes e a definição de processos, procedimentos e políticas para evitar e gerenciar incidentes.

Por isso, recentemente ampliamos a nossa solução com capacidades de GRC (Governance, Risk and Compliance) através da aquisiçãoda plataforma GesConsultor, que se integra em nossa família de produtos como SandaS GRC.

Dê uma olhada no vídeo para conhecer mais detalhes da ferramenta:


Nas próximas matérias, daremos mais informações sobre as funcionalidades que os diversos componentes do SandaS e SandaS GRC oferecem através dos serviços de Segurança Gerenciada da Telefónica.

Nenhum comentário:

Postar um comentário