Com 2024 a começar, é uma boa altura para avaliar de que forma os líderes de segurança devem alterar as suas estratégias de cibersegurança no novo ano. Uma coisa é certa: os agentes de ameaças continuarão a tentar explorar ao máximo quaisquer fraquezas cibernéticas que possam encontrar, por isso garantir que a higiene cibernética da sua organização está na melhor forma irá continuar a ser fundamental. Para isso, a visibilidade da rede será essencial nos planos de segurança das organizações.
A visibilidade da rede será crucial para os estratégias de Zero Trust das organizações
Os líderes de segurança já estão a considerar a deteção e resposta de rede (NDR) como uma estratégia fundamental para modernizar as suas redes de forma rentável. A NDR não só desempenha um papel crucial numa estratégia “zero trust”, como também preenche as lacunas de ferramentas como EDR e SIEM.
Com o aumento do custo da defesa das organizações contra agentes de ameaças cada vez mais experientes, os líderes de segurança estão a tentar reduzir ao máximo o risco por dólar. A NDR ajuda nesse sentido, dando às organizações uma visibilidade de risco que elas não conseguem obter com outras ferramentas e fornecendo dados de tráfego leste-oeste para que as ferramentas EDR, XDR e SIEM funcionem de forma mais eficiente e eficaz.
Além disso, os líderes de segurança querem garantir que os investimentos em cibersegurança contribuem para os futuros planos de cibersegurança. É provável que esses planos incluam o cumprimento de requisitos de conformidade governamentais e controlos de segurança zero trust, o que requer a capacidade de visualizar todo o conjunto de endpoints, quer se trate de servidores ou dispositivos móveis no limite tático.
Por exemplo, no âmbito do zero-trust, existem sete pilares, ou áreas de foco, que são comummente aceites como necessários e que devem ser trabalhados em conjunto para se conseguir uma implementação eficaz do zero-trust. A visibilidade desempenha um papel sempre presente em cada pilar:
- Utilizador – Pode ver quem está a utilizar a sua rede?
- Dispositivo – Consegue identificar que dispositivos estão na sua rede?
- Dados – Consegue ver os diferentes tipos de dados que circulam na sua rede e para onde vão? Pode avaliar os dados encriptados para detetar ameaças?
- Aplicações/Workload – Consegue ver que aplicações estão a ser utilizadas?
- Rede/Ambiente – Tem uma imagem holística da arquitetura da sua rede?
- Visibilidade/Análise – Consegue monitorizar a atividade na sua rede de forma holística?
- Automatização/Orquestração – Consegue estabelecer uma linha de base da atividade normal da rede e, em seguida, aplicar IA para automatizar a deteção de desvios suspeitos do comportamento normal da rede e do utilizador e a aplicação de políticas?
Além disso, como a utilização de tecnologias móveis e da cloud continua a aumentar e a desgastar o perímetro tradicional da rede, a capacidade de monitorizar o tráfego da rede torna-se cada vez mais crítica. Mesmo as melhores firewalls e sistemas de deteção de endpoints não conseguem impedir a entrada de todos os intrusos, incluindo os internos mal-intencionados que utilizam as suas credenciais legítimas para perturbar, negar ou roubar. O tráfego Este-Oeste é onde irá descobrir os comportamentos pós-comprometimento, como o reconhecimento, o movimento lateral, o aumento de privilégios, as comunicações de comando e controlo, entre outros, que indicam um ataque na fase inicial. Se pretende seriamente reduzir o risco, então a visibilidade do tráfego este-oeste, e não apenas do tráfego norte-sul, é absolutamente essencial.
O NDR também oferece informações sobre o que não pode ser protegido, o que precisa ser corrigido de imediato e o que está bem protegido. Isso permite que os líderes comuniquem melhor a exposição de risco da sua organização ao conselho de administração e à equipa de gestão sénior e possam tomar decisões informadas sobre o conjunto das suas tecnologias. As aplicações antigas que não podem ser protegidas podem ser abordadas imediatamente, enquanto as que precisam de correção podem ser consideradas prioritárias com base na categoria de risco. A retirada de serviço e a consolidação de aplicações não só conduzem a uma melhor segurança, como também reduzem os custos e a complexidade e ajudam a orçamentar os upgrades tecnológicos.
A capacidade de impedir, detetar, negar, defender e recuperar rapidamente de ciberatividades maliciosas exigirá uma solução robusta. É provável que uma combinação de tecnologias, processos e recursos faça parte da sua estratégia de zero trust. O desenvolvimento de uma estrutura de cibersegurança escalável, resiliente, auditável e defensável também será crucial para proteger estrategicamente o seu ambiente. Mas tudo começa com a visibilidade. Afinal, se não soubermos o que estamos a proteger, como é que o podemos defender adequadamente?
Post original aqui.