Como o “teatro” de segurança perde lacunas críticas na superfície de ataque e o que fazer a respeito
Bruce Schneier cunhou a frase teatro de segurança para descrever “medidas de segurança que fazem as pessoas se sentirem mais seguras sem fazer nada para realmente melhorar sua segurança”. Essa é a situação que ainda enfrentamos hoje quando se trata de defesa contra riscos de segurança cibernética.
O setor de seguros emprega atuários para ajudar a quantificar e gerenciar os riscos assumidos pelos subscritores de seguros. As organizações e indivíduos que, por sua vez, adquirem apólices de seguro também consideram seus próprios maiores riscos e a probabilidade de sua ocorrência e optam, de acordo com várias franquias e passageiros.
As coisas não funcionam da mesma maneira quando se trata de segurança cibernética. Por exemplo: o Gartner observou que a maioria das violações são o resultado de uma vulnerabilidade sendo explorada. Além disso, eles estimam que 99% das vulnerabilidades exploradas já são conhecidas pela indústria e não vulnerabilidades de dia zero novas .
Como é possível que vulnerabilidades conhecidas sejam um canal significativo para invasores quando as organizações gastam coletivamente pelo menos US $ 1 bilhão em varredura de vulnerabilidades anualmente? Entre outras coisas, é porque as organizações estão praticando uma forma de teatro de segurança: estão focalizando esses scanners de vulnerabilidade no que sabem e no que é familiar; às vezes, eles estão simplesmente tentando cumprir um requisito de conformidade.
Embora tenha havido um forte movimento da indústria em direção à eficácia e produtividade da segurança, com abordagens que priorizam alertas , investigações e atividades, ainda há um bom número de teatrais de segurança realizados em muitas organizações. Muitos simplesmente continuam conduzindo vários processos de segurança e mantendo soluções de segurança que podem ter sido valiosas em algum momento, mas agora não atendem às preocupações certas.
Abordar uma preocupação como teatro de segurança com profissionais de segurança pode resultar em atitude defensiva ou ira por perturbar um processo bem estabelecido, ou pior, os profissionais presumindo que há algum nível implícito de tolice ou inépcia. Em vez de criticar diretamente as práticas de teatro de segurança, uma abordagem melhor é considerar sistematicamente quais lacunas podem existir na postura de segurança de sua organização. Parte deste exercício requer que se pergunte o que você não sabe. Isso pode parecer um oxímoro: como saber o que não sabe?
A ideia de não saber o que você não sabe é um tópico que frequentemente aparece na lista de motivos dos CISOs que “os deixam acordados à noite”. O desafio desse tipo de problema de segurança é menos sobre a aplicação rápida de patches de software ou avaliação de vulnerabilidades da infraestrutura identificada. Aqui, a principal preocupação é identificar o que pode estar completamente sem solução: há algum aspecto do ecossistema de TI que está desprotegido ou pode servir como um canal eficaz para outros recursos? A questão é basicamente: “O que esquecemos?” ou “Qual ativo ou sistema de negócios pode ser completamente desconhecido, esquecido ou fora de nosso controle?” O problema não é a fraqueza da superfície de ataque conhecida. É sobre a superfície de ataque desconhecida que não está protegida.
Atacantes sofisticados são adeptos de desenvolver uma imagem completa de toda a superfície de ataque de uma organização. Existem inúmeras ferramentas, técnicas e até serviços de hacking que podem ajudar os atacantes nessa tarefa. A maioria dos invasores é pragmática e até mesmo orientada para os negócios, e seu objetivo é encontrar o caminho de menor resistência que proporcione o maior retorno. Freqüentemente, isso significa focar na parte menos monitorada e menos protegida da superfície de ataque de uma organização.
Os invasores são adeptos da localização de ativos ou sistemas desprotegidos e expostos à Internet. Freqüentemente, são ativos esquecidos ou desconhecidos que são uma entrada fácil para a rede de uma empresa e valiosos por si só. A ironia é que os invasores geralmente têm uma imagem mais verdadeira de uma superfície de ataque do que a equipe de segurança encarregada de defendê-la.
Curiosamente, a eficácia de uma organização de segurança costuma ser diminuída por suas próprias restrições, porque a equipe se concentrará no que sabe que precisa proteger, juntamente com os processos estabelecidos para isso. Os invasores não têm tais restrições. Em vez de seguir regras prescritas ou gerenciamento por tradição, os invasores primeiro executam o reconhecimento e buscam inteligência para encontrar os locais de maior fraqueza. Os invasores procuram esses pontos desprotegidos e os favorecem em vez de recursos que são ativamente monitorados e defendidos.
As organizações de segurança, por outro lado, normalmente começam e terminam suas avaliações com seus ativos conhecidos. O teatro de segurança os faz devotando muito foco ao conhecido e não o suficiente ao desconhecido.
Até mesmo práticas bem estabelecidas, como testes de penetração , avaliação de vulnerabilidade e classificações de segurança, resultam em um teatro de segurança porque giram em torno do que é conhecido. Para ir além do teatro para a eficácia real, as equipes de segurança precisam desenvolver novos processos para descobrir as coisas desconhecidas que fazem parte de seu ecossistema de TI. É exatamente isso que os atacantes têm como alvo. Poucas organizações são capazes de fazer esse tipo de descoberta e detecção hoje. Não é viável devido à carga de trabalho existente ou ao nível de especialização necessário para fazer uma avaliação completa. Além disso, é comum que o preconceito baseado nas percepções pré-existentes da postura de segurança da organização influencie a busca pelo até então desconhecido.
O processo de descoberta de ativos previamente desconhecidos e expostos deve ser feito regularmente. Automatizar esse processo, especialmente devido à variedade de nuvem, parceiros e subsidiárias de TI que devem ser considerados, o torna mais viável. Embora a automação seja necessária , ainda é importante que pesquisadores totalmente treinados estejam envolvidos para ajustar o processo, interpretar os resultados e garantir seu escopo adequado.
Adicionar um processo contínuo de identificação de ativos e sistemas desconhecidos, não controlados ou abandonados não apenas ajuda a fechar lacunas, mas também expande o alcance dos profissionais de segurança para focar não apenas no que eles sabem, mas também para começar a considerar o que não sabem.
