O que é postura de segurança?

De acordo com o relatório do custo das violações de dados da IBM, o custo médio de uma violação de dados globalmente é de US$ 4,44 milhões. Uma postura de segurança geral sólida ajuda na defesa contra esses ataques, ao melhorar a prontidão da organização para detectar, responder e se recuperar de ameaças.

Para obter uma postura de segurança sólida, as organizações implementam controles de segurança direcionados e interligados para proteger vários aspectos de seus ecossistemas de TI, incluindo segurança de dados, nuvem e identidades.

Quanto mais eficazes forem os controles de uma organização para detectar ameaças, eliminar vulnerabilidades, interromper ataques e mitigar danos, mais sólida será sua postura de segurança.

A postura de segurança de uma organização representa a solidez geral de sua cibersegurança. Dentro dessa categoria abrangente, as organizações utilizam diferentes ferramentas e técnicas para proteger diferentes partes de seus ecossistemas de TI. Alguns dos tipos ou subcampos mais proeminentes da postura de segurança incluem:

• Postura de segurança de dados
• Postura de segurança da nuvem
• Postura de segurança de identidades

A postura de segurança de dados concentra-se na proteção de dados confidenciais, ao impedir o acesso não autorizado ou detectar e bloquear comportamentos suspeitos. Esses comportamentos suspeitos podem ser de usuários autorizados ou não autorizados, interfaces de programação de aplicativos (APIs), dispositivos de Internet das coisas (IoT), malware, ataques de phishing, ransomware ou outras fontes.

À medida que as organizações adotam novas tecnologias, como o desenvolvimento nativo da nuvem, inteligência artificial (IA) e o aprendizado de máquina (ML), os riscos e as vulnerabilidades da segurança de dados (incluindo o risco de terceiros) podem se multiplicar. Adicionar continuamente novas tecnologias aos sistemas digitais pode complicar o gerenciamento da segurança de dados e pode colocar as organizações em risco de violações de dados e de conformidade regulatória.

As ferramentas de gerenciamento da postura de segurança de dados (DSPM) identificam dados confidenciais em vários ambientes e serviços de nuvem, avaliando sua vulnerabilidade a ameaças à segurança e auxiliando na conformidade regulatória. O DSPM oferece insights e automação que ajudam as equipes de segurança a lidar rapidamente com problemas de segurança de dados e conformidade e evitar sua recorrência.

Em vez de proteger os dispositivos, sistemas e aplicações que armazenam, movimentam ou processam dados, o DSPM costuma se concentrar em proteger diretamente os dados. O DSPM complementa as outras soluções na stack de tecnologia de segurança de uma organização, incluindo soluções de segurança da informação (InfoSec).

À medida que as organizações adotam configurações de multinuvem (serviços de vários provedores de serviços de nuvem) e de nuvem híbrida (combinação de infraestrutura de nuvem pública e nuvem privada), suas superfícies de ataque aumentam. A postura de segurança na nuvem se concentra em reduzir a superfície de ataque ao proteger os ambientes de nuvem.

Sem medidas de segurança adequadas, a infraestrutura em nuvem pode ser altamente suscetível a incidentes de segurança. De acordo com o relatório do custo das violações de dados, 30% de todas as violações envolvem dados distribuídos em vários ambientes, como nuvens privadas, nuvens públicas e no local.

As aplicações em nuvem podem incluir centenas ou milhares de microsserviços, funções sem servidor, contêineres e clusters Kubernetes. Com cada nova conexão, torna-se fácil demais programar, distribuir e perpetuar configurações incorretas que deixam dados e aplicações vulneráveis a ameaças cibernéticas.

As ferramentas de gerenciamento da postura de segurança na nuvem (CSPM) podem automatizar e simplificar a identificação e a remediação de configurações incorretas e riscos de cibersegurança em ambientes e serviços de nuvem híbrida e multinuvem, incluindo infraestrutura como serviço (IaaS), plataforma como serviço (PaaS) e software como serviço (SaaS).

A postura de segurança de identidades se concentra em detectar e corrigir configurações incorretas de identidades e lacunas de visibilidade. Essa função é crítica para a postura de segurança geral de uma organização, especialmente porque a identidade se tornou o novo perímetro e um pilar fundamental da cibersegurança.

Muitas medidas de segurança tradicionais se concentram em impor controles de acesso no perímetro da rede. No entanto, o perímetro da rede tornou-se menos relevante para a segurança da rede com a adoção da computação em nuvem, software como serviço (SaaS) e ambientes de trabalho híbridos. Nesse novo cenário, a visibilidade e o controle totais das atividades de identidades humanas e de máquinas são fundamentais para mitigar ameaças cibernéticas.

O IBM® X-Force Threat Intelligence Index mostra que os ataques baseados em identidade, em que os agentes de ameaças sequestram identidades válidas para invadir uma rede, são um dos dois vetores de ataque mais comuns. Isso ocorre apesar dos investimentos significativos em soluções de segurança de infraestrutura, segurança de identidades e gerenciamento de vulnerabilidades.

Atualmente, os cibercriminosos não apenas hackeiam. Muitos fazem login explorando configurações incorretas e lacunas de visibilidade. Uma configuração incorreta de identidade ocorre quando a infraestrutura, os sistemas e os controles de acesso de identidades não estão configurados corretamente. As lacunas de visibilidade são riscos que podem ser ignorados pelos controles de identidades existentes de uma organização, deixando vulnerabilidades não detectadas que podem ser exploradas por agentes de ameaças.

Ferramentas de gerenciamento de acesso e identidade e soluções abrangentes de identity orchestration podem ajudar as organizações a proteger contas e impedir o abuso de privilégios válidos. 

Posturas de segurança sólidas surgem de programas de segurança sólidos. Programas de segurança abrangentes normalmente incluem estes componentes.

• Inventário de ativos
• Controle
• Controles de segurança
• Planos de resposta a incidentes
• Treinamento
• Melhoria contínua

Para proteger sistemas de TI e dados, uma organização precisa de um inventário completo de seus ativos: o que são, onde estão, como são vulneráveis e como os riscos podem ser mitigados. Esse inventário ajuda a definir a superfície de ataque a ser defendida e os controles que essa superfície requer.

Governança refere-se a frameworks e processos que ajudam as organizações a garantir o uso apropriado de sistemas de TI e a cumprir as leis e regulamentações relevantes.

Os processos de governança frequentemente se concentram no controle do acesso e no uso dos ativos da empresa, como informação de identificação pessoal (PII), dados financeiros, sistemas proprietários ou segredos comerciais. Os níveis de acesso geralmente são determinados com base na confidencialidade relativa dos dados e na necessidade de conhecimento de um indivíduo. Os usuários normalmente só têm acesso aos ativos de que precisam, nos níveis de permissão corretos, para realizar seus trabalhos.

As organizações em determinados locais ou setores também podem precisar cumprir estruturas regulatórias específicas, como o General Data Privacy Regulation (GDPR), a Payment Card Industry Data Security Standard (PCI DSS) ou a California Consumer Privacy Act (CCPA). Violações desses requisitos regulatórios podem resultar em multas governamentais caras e reações públicas adversas.

A automação de governança, risco e conformidade (GRC) pode ajudar a fortalecer e acelerar as tarefas contínuas de governança. As organizações também podem adotar frameworks específicas de governança e gerenciamento de riscos , como a National Institute of Standards and Technology Cybersecurity Framework (NIST CSF).

Uma arquitetura de segurança abrangente incorpora várias ferramentas de segurança complementares para proteger contra todos os tipos de ataques, incluindo phishing e engenharia social, ransomware, ataques de distributed denial-of-service (DDoS) , ameaças internas e outros. Os controles comuns incluem:

• Soluções de segurança de endpoint
• Firewalls
• Sistemas de detecção e prevenção de intrusões (IDPS)
• Gerenciamento de informações e eventos de segurança (SIEM)
• Orquestração, automação e resposta de segurança (SOAR)
• Data loss prevention (DLP) 
• Controles de gerenciamento de acesso e identidade (IAM) 
• Plataformas de inteligência de ameaças 

Muitas soluções de segurança de nível empresarial fornecem um alto grau de automação e verificam continuamente dados e ativos confidenciais onde quer que eles possam existir. O monitoramento automatizado e contínuo ajuda as organizações a rastrear recursos, descobrir e responder a ameaças em tempo real.

Um plano de resposta a incidentes (IRP) define as etapas que uma organização adota para combater os ataques em andamento. Esses planos descrevem as funções e responsabilidades dos membros da equipe de segurança, as ferramentas que devem usar e as tarefas que devem concluir para erradicar as ameaças.

Ao executar um IRP, as equipes de segurança frequentemente contam com soluções de segurança que executam avaliações de riscos, fornecem geração de relatórios em tempo real e têm dashboards que as ajudam a priorizar riscos potenciais de acordo com a gravidade. Essas soluções também podem fornecer instruções de remediação passo a passo ou playbooks pré-elaborados de resposta a incidentes que agilizam a resolução de ameaças.

Algumas soluções podem modificar automaticamente as configurações do sistema ou aplicar novos controles e patches para aumentar a solidez da cibersegurança e proteger melhor contra ataques contínuos.

Funcionários, stakeholders e outros usuários geralmente são o elo fraco da segurança. O treinamento regular de consciência sobre segurança pode ajudar a fortalecer a capacidade de uma organização de combater ameaças, ao familiarizar todos os usuários com os requisitos de governança e as melhores práticas de segurança.

O cenário de ameaças está sempre mudando. Para se manter atualizado sobre os riscos mais recentes e manter a resiliência cibernética, as organizações revisam regularmente as métricas de segurança, avaliam o desempenho da segurança, realizam testes de penetração e executam avaliações completas da postura de segurança.

Essas medidas ajudam as organizações a identificar riscos e desenvolver formas de impedir novos ataques. Isso permite um processo de melhoria contínua, no qual as organizações atualizam seus programas de segurança para responder melhor às ameaças em evolução.

A variedade cada vez maior de ataques e as superfícies de ataque corporativas em constante expansão podem dificultar a elaboração de estratégias de segurança adequadas e prejudicar a postura de segurança organizacional.

Especificamente, as organizações podem precisar considerar como as seguintes preocupações podem afetar a postura de segurança.

• Inteligência artificial (IA)
• Desafios do gerenciamento de acesso e identidade
• TI invisível

A IA pode ser usada para iniciar ataques cibernéticos, e os dados usados para treinar a IA podem ser um alvo tentador para violações de segurança.

Por exemplo, grandes modelos de linguagem (LLMs) podem ajudar os invasores a criar ataques de phishing mais personalizados e sofisticados. Sendo uma tecnologia relativamente nova, os modelos de IA também oferecem aos agentes de ameaças novas oportunidades para ataques cibernéticos, como ataques à cadeia de suprimentos e ataques adversários.

A resposta pode ser mais IA, em vez de menos. De acordo com o relatório do custo das violações de dados, as organizações que implementam IA de segurança e automação em seus centros de operações de segurança podem aumentar a segurança do sistema e reduzir custos.

Quando essas medidas foram implementadas extensivamente em fluxos de trabalho de segurança, como gerenciamento de superfície de ataque (ASM), red teaming e gerenciamento de postura, as organizações economizaram em média US$ 1,9 milhão nos custos de violação em comparação com aquelas que não usaram IA. 

Atualmente, a identidade é um pilar fundamental da cibersegurança. No entanto, as complexidades do gerenciamento das identidades e permissões de acesso de vários usuários em forças de trabalho distribuídas em ambientes híbridos e multinuvem podem ser uma fonte de riscos significativos à segurança.

• Configurações incorretas: se não forem configurados corretamente, os controles de IAM podem ser contornados por administradores engenhosos ou agentes de ameaças, reduzindo significativamente a proteção que eles oferecem.
  
  
• Contas de serviço esquecidas: uma conta de serviço é criada para ajudar a realizar ações, como executar aplicações, automatizar serviços e fazer chamadas de APIs autorizadas. Sendo assim, essas contas normalmente têm privilégios de sistema elevados. Se as contas de serviço inativas não forem devidamente desativadas, os invasores poderão usá-las para obter acesso não autorizado.
  
  
• Direitos inadequados: o excesso de direitos, também conhecido como "excesso de permissões", concede aos usuários mais privilégios ou permissões de acesso a dados do que eles precisam para realizar seus trabalhos. Esses privilégios elevados podem ser facilmente violados. Por outro lado, em um esforço para proteger dados confidenciais, as organizações podem conceder aos usuários permissões excessivamente restritivas, o que pode impedi-los de realizar seus trabalhos com eficiência.
  
  
• Higiene de senhas: as organizações que permitem senhas fracas ou comuns facilitam a invasão de contas por hackers por meio de simples suposições ou ataques de força bruta.

TI invisível refere-se a ativos de TI (como aplicativos, dispositivos e dados) utilizados em uma rede corporativa sem a aprovação, conhecimento ou supervisão do departamento de TI. Como esses ativos não são gerenciados, é mais provável que contenham vulnerabilidades não mitigadas que os hackers podem explorar.

A TI invisível vem em muitas formas, incluindo:

• Acesso invisível: o acesso invisível ocorre quando um usuário retém acesso não gerenciado usando uma conta local a uma aplicação ou serviço por conveniência ou para acelerar a solução de problemas.

• Ativos invisíveis: ativos invisíveis são aplicações, dispositivos ou serviços desconhecidos para as equipes e sistemas de TI. Isso torna a imposição de medidas de segurança, como controles de acesso, autenticação de usuários e verificações de conformidade, mais desafiadora.
  
  
• Dados ocultos: dados ocultos incluem conjuntos de dados e armazenamentos de dados que não são gerenciados pelas equipes de TI e segurança. À medida que as organizações expandem o acesso a dados para mais usuários que têm menos entendimento sobre segurança e governança de dados adequadas, o risco de dados ocultos aumenta. A ascensão dos sistemas em nuvem também facilita a transferência de dados confidenciais pelos usuários para armazenamentos de dados pessoais não autorizados.