É fácil se preocupar com a segurança cibernética, mas é mais difícil saber o que fazer

As empresas precisam de segurança cibernética que forneça uma base para operações eficazes e confidencialidade do cliente em um negócio onde o seu valor depende da sua reputação. Para cobrir todas as exposições de segurança, algumas empresas adquirem e integram um conjunto de soluções ao longo do tempo. No entanto, isso pode aumentar o risco de lacunas e redundâncias. As integrações de vários produtos podem exigir esforço e coordenação substanciais de especialistas que sabem como projetar e manter a solução geral.

Para garantir a segurança dos seus dados internos e dos clientes, você precisa compreender e gerenciar os riscos potenciais de segurança cibernética.

1. Muitos alertas = Nenhum alerta

O maior risco de uma solução de segurança cibernética desatualizada é o custo. O custo com pessoas é alto. Se levarmos em consideração pessoas altamente qualificadas, mais alto aind

a. Além das pessoas necessárias para instalar um sistema, você precisará de outras para monitorar, investigar e responder aos problemas.

Ross Durrer - Grant Thornton

“Quer você esteja apenas começando ou já expandindo a empresa por meio de fusões e aquisições, você precisa de muitas pessoas que vão cuidar das detecções, realizar as investigações e triagem, conduzir a remediação e entrar em contato com áreas de negócios”, afirma Ross Durrer, gerente sênior da Grant Thornton EUA.

O custo com pessoal pode ser elevado, mesmo que tudo funcione com eficiência máxima – o que muitas vezes não acontece. Dada a quantidade de ameaças e a complexidade das informações relevantes em torno de cada uma delas, os usuários podem sentir como se estivessem atravessando uma avalanche. Falsos positivos e pouco contexto podem significar que muitas pessoas gastam muito tempo em tarefas que não precisavam ser realizadas ou que não são o melhor uso do tempo.

Uma superabundância de alertas pode fazer com que as pessoas encarregadas de respondê-los fiquem insensíveis. Isso pode levar à fadiga de incidentes, onde a equipe começa a ignorar alertas, possivelmente ignorando algumas ameaças verdadeiras e arriscando a eficácia da sua segurança. 

“O excesso de alertas sobre eventos de segurança costuma decorrer de uma configuração padronizada de recursos de monitoramento e da falta de personalização dos sistemas de segurança tendo a própria natureza do negócio e dia a dia da organização como parâmetros. Por um lado, a empresa pode sentir-se protegida pelo uso de ferramentas e medidas de controle que trazem alertas sobre potenciais incidente, por outro, a pouca qualidade e alto volume de falsos-positivos podem encobrir eventos de segurança relevantes que justamente tem maior potencial de dado para a companhia.”

Everson Probst, Sócio Líder de Cibersegurança da Grant Thornton Brasil

2. Isolamento é o status quo

Em muitas empresas, o atual sistema de segurança cibernética precisa de uma atualização. As plataformas de segurança costumam ser isoladas e os respondentes devem usar diversas ferramentas para obter resultados para uma investigação.

Para muitas equipes de operações de segurança, a maior parte do monitoramento, registro e resposta são feitos a partir de um SIEM (gerenciamento de informações e eventos de segurança) ou ferramenta de análise, que é alimentada por tecnologia EDR separada (detecção e resposta de endpoint). “Há também enriquecimento de IP e outros enriquecimentos paralelos. Se você tiver uma equipe de caça ou uma plataforma de caça, isso também terá que entrar no SIEM ou na plataforma analítica”, disse Durrer.

O resultado é uma grande ineficiência no monitoramento, registro e resposta a incidentes, mesmo que os componentes individuais da solução sejam de alta qualidade. 

“A resiliência cibernética de uma empresa está conectada com sua capacidade de analisar informações de diversas fontes de forma rápida, centralizada e contextualizada. Avaliar e decidir sobre o investimento em segurança cibernética são assuntos estratégicos e devem ser realizados buscando atender a complexidade e sensibilidade do negócio. Não adianta a organização possuir ferramentas de alto padrão se o ecossistema de segurança não estiver delicadamente planejado e integrado”

Everson Probst, Sócio Líder de Cibersegurança da Grant Thornton Brasil

3. Integrar para informar

Cada empresa tem necessidades únicas, mas existem alguns temas comuns para soluções eficazes de segurança cibernética

Sua solução deve ter gerenciamento integrado de endpoint e detecção de ameaças que preencham os logs em sua plataforma de orquestração, automação e resposta de segurança (SOAR). Isso pode orientar as investigações e desencadear uma resposta na sua plataforma SIEM. Os logs precisam ser ricos e relevantes, integrando diversas fontes de dados internas e externas.

A IA tem o potencial de agilizar e aprimorar esse trabalho, ingerindo os logs e obtendo enriquecimentos relevantes que melhoram o contexto. Isso pode ajudar a reduzir a fadiga dos incidentes e acelerar as investigações de incidentes. A IA generativa também pode oferecer uma interface de usuário. “Você poderia pedir à IA que fornecesse uma descrição do incidente e fornecesse artefatos, endereços IP e informações de hospedagem”, disse Durrer. “Se indicar algo tão malicioso ou perigoso, você pode perguntar por quê. Em seguida, deverá extrair dados como pontuações de reputação de IP.”

A IA pode ser assustadora, mas introduza-a ao longo do tempo para garantir que funcione para sua equipe. “Você quer testar tudo antes de ir ao ar. Configure contingências como alertas, espere que eles disparem, veja se você tem informações suficientes para investigar. Talvez você precise extrair mais registros. Então, quando estiver pronto, você estabelece sua severidade e finaliza as decisões. Você escreveu seus POPs para poder convertê-los em incidentes.”

A IA é uma ferramenta poderosa. Mas a inteligência humana deve, em última análise, moldar as suas respostas. 

“Ainda existe uma resistência muito grande no mercado brasileiro em relação a IA. Víamos a mesma resistência sobre utilização de recursos em nuvem não faz muito tempo. Mas a IA é uma tecnologia em ascensão e fortemente utilizada por empresas que desenvolvem soluções em segurança cibernética. Ela pode enriquecer o processo de monitoramento e geração de alertas e apoiar as equipes especializadas em direcionar corretamente o esforço em análises. Portanto, ser capaz de integrar essas novas soluções ao ambiente de tecnologia é o novo desafio para as corporações para ganho de eficiência e tempo de resposta.”

Everson Probst, Sócio Líder de Cibersegurança da Grant Thornton Brasil

4. Confusão nas interfaces significa confusão nos resultados

Se suas soluções de segurança oferecem uma experiência de usuário ruim, isso pode causar outra forma de fadiga. Implantações onerosas, design não intuitivo ou informações confusas podem afetar diversos usuários

No mínimo, você precisa garantir que qualquer sistema seja facilmente implantado. Idealmente, ele virá com dicas para usuários iniciantes ou desconhecidos.

As soluções também devem ser capazes de filtrar alertas, oferecendo exibições ou cronogramas que visualizem as informações de maneira elegante, com exibições aninhadas que permitam aos usuários visualizar os dados em diferentes níveis de detalhe e relevância. 

“A tecnologia deve estar a nosso serviço. O intuito é facilitar o trabalho e mitigar riscos para a organização. Ainda que seja imperativa às empresas um processo estruturado de segurança cibernética, profissionais qualificados para apoiar em sua operacionalização e tecnologias para monitoramento e controle, ferramentas extremamente complexas com relatórios ou alertas de difícil análise e interpretação mais atrapalham que ajudam.”

Everson Probst, Sócio Líder de Cibersegurança da Grant Thornton Brasil

Características de soluções de alto desempenho

A segurança será sempre motivo de preocupação, mas também é uma pura despesa – uma apólice de seguro que não gera receitas. Nas empresas, muitas vezes há pressão para apertar o cinto nos gastos com este tema.

Para projetar um sistema de segurança cibernética de alto desempenho e econômico, concentre-se em quatro características: 

  • Integração do endpoint à remediação: Isso deve conectar o gerenciamento, a detecção, a coleta, o enriquecimento, a análise, a busca e a resposta do endpoint.
  • Automação de tarefas de baixo valor: a automação pode ajudar a resolver uma das principais causas de fadiga de incidentes em uma equipe de segurança cibernética.
  • Contexto rico e relevante: As investigações precisam de um bom ponto de partida, combinando fontes de informação robustas que sua equipe possa configurar para atender às suas necessidades.
  • Apresentação amigável: seu sistema é tão bom quanto a experiência do usuário, então veja como otimizar tudo, desde a implantação até a interface diária.

Seus clientes confiaram seus dados a você. Proteja-o com um sistema que integra a melhor tecnologia disponível, integração de dados e uma experiência de usuário que ajuda sua equipe a permanecer eficaz.

Cta cybersegurnaça