Cybersecurity (ou segurança cibernética na tradução livre) tem sido o tema do momento no mundo da Segurança da Informação. E não poderia ser por menos, hoje em dia toda e qualquer aplicação ou serviço que uma empresa deseja fornecer/utilizar está orientada a Internet, App mobile, Cloud, etc.
A questão inicial é que desde a década de 1990, quando surgiu a Internet (lembrando que em 1992 foi criado/desenvolvido o conceito de WWW – World Wide Web) temos nos preocupado com a segurança em territórios desconhecidos. Estatísticas de 1998 já indicavam que de cada 10 ataques a redes de computadores, pelo menos 7 se originavam de dentro das redes das próprias organizações. Então não podemos dizer que o assunto é novo! O que é novo é a forma como nossas organizações estão crescendo, fazendo negócios, se expondo ao desconhecido e encarando novos riscos.
Agora podemos retornar ao tema Cybersecurity.
Para se proteger, nossas organizações implantaram muitas soluções e controles de segurança da informação, sendo que grande parte de todo este arsenal está relacionado com infraestrutura técnica. As definições e siglas são as mais variadas possíveis, como Firewall, IDS, IPS, AntiX e por aí afora. O resultado e a segurança melhoraram, mas ainda assim temos incidentes de segurança da informação ocorrendo. O que falta então? Na verdade falta muita coisa, principalmente tática e estratégia.
As ações de segurança da informação quase sempre são reativas aos incidentes, pois em certo momento desta “Cyberwar”, abdicamos do direito de antecipar ações. Quando começamos a utilizar os Firewalls, nos deparamos com um problema: a grande quantidade de logs (ou registros) gerados e que muitas vezes declarávamos como inúteis. A questão é que nossos adversários, os “cyberatacantes” não abdicaram do mesmo direito. Eles se propõe a gastar várias horas na avaliação e descoberta de vulnerabilidades com o objetivo de realizar um ataque. Eles usam o conceito de Analytics ao extremo.
Então chegou o momento de resgatarmos nosso direito a antecipação e, ao invés de gastar recursos em “apagar o incêndio”, investir recursos na prevenção dos mesmos. Neste momento duas peças são fundamentais para isso: Informação e Inteligência.
- A informação: está a nossa disposição há mais de 20 anos, todo dia, toda hora, armazenada de maneira quase invisível nos logs (registros) dos dispositivos de tecnologia de nossas organizações, como: Firewalls, roteadores, sistemas de autenticação (diretório), aplicações de negócio, servidores de aplicação, computadores pessoais, etc.
- A Inteligência: está em como utilizar estas informações de maneira construtiva, eficiente e que possa ter como resultados ações de antecipação ou melhoria dos controles de segurança da informação.
Para tratar a questão da Informação existem algumas soluções de mercado, conhecidas como SIEM - Security Information and Event Management (em tradução livre: Gestão de Informações e Eventos de Segurança). Uma solução de SIEM atua primeiramente como um concentrador de logs. Para isso é preciso direcionar os logs dos dispositivos de tecnologia para o SIEM. Também é muito importante que o relógio destes dispositivos estejam sincronizados (posso estar falando do óbvio, mas muitas empresas ainda não fazem isso). Agora já podemos ter o primeiro resultado: muitos logs reunidos em um único lugar, sincronizados temporalmente. Não tem como não pensar em mineração de dados, não é?
É neste momento que entra a Inteligência. Como extrair informações relevantes de todos estes dados juntos? Soluções de Analytics ajudam muito neste momento, inclusive existem soluções combinadas disponíveis no mercado. Aplicar regras, extrair cenários, identificar incidentes de maneira automatizada e gerando alertas preditivos e específicos.
Estes resultados obtidos pelo uso de Analytics fazem com que as equipes de Segurança da Informação dediquem tempo e recursos em duas frentes muito importantes: melhoria dos controles e definição de novos controles de segurança. A defesa corporativa se torna mais eficiente, melhorando os resultados e protegendo mais intensamente a organização.
A ideia não é inventar segurança, mas inovar com o uso mais inteligente do que já possuímos.