Palavras geram mais ruídos do que clareza para segurança cibernética
Equipes de vendas falam sobre “sinergias” e “mudanças de paradigma”. Profissionais de tecnologia, sobre a “próxima geração”, o “disruptivo” e o “de ponta”. E inúmeras vezes pessoas inteligentes afirmam “aproveitar sua tecnologia para alavancar…”
A segurança da informação também tem a sua quota de buzzwords que geram mais ruído do que clareza na comunicação. Provavelmente você já os ouviu tanto cada uma delas que quase já não as registra mais.
Aqui estão dez termos que gostaríamos de ver aposentados permanentemente na área de segurança da informação.
Ciber (cyber)
‘Ciberespaço’. ‘Cíber segurança.’ “Defesa cibernética”. ‘Cibercrime’. ‘Exército cibernético’. ‘Cibernaut’. “Ciber detetive”. ‘Ciber-‘ é um prefixo útil para se referir a qualquer coisa no mundo online. Mas foi usado demais, a ponto da palavra resultante perder toda a conotação. Não há motivo para dizer “ciber shopping” quando o comércio eletrônico e o varejo online são palavras perfeitamente boas, que as pessoas podem entender.
Inicialmente, Ciber foi um prefixo útil para referenciar conceitos que se encaixam na fronteira entre tecnologia e sociedade. A ” Cibersegurança ” ajudou a aumentar a conscientização sobre como os conceitos de segurança se aplicavam às formas como as pessoas usavam a tecnologia. No entanto, colocar tudo sob o guarda-chuva ‘ciber’ deixou de ser útil. De fato, combinar tudo até o ponto em que um ataque à infraestrutura crítica é considerado par a par com um ataque de phishing ou uma campanha de desinformação não melhora a compreensão de ninguém a respeito dos desafios que enfrentamos. São problemas diferentes que requerem soluções diferentes. Mas quando todos são rotulados como ciber, é mais difícil identificar as abordagens necessárias para enfrentá-los.
AI
Nos foi prometido um mundo futurista, enriquecido por robôs inteligentes capazes de fazer coisas que os humanos têm que fazer manualmente hoje. O futuro da segurança depende da automação, mas isso não significa que todas as tecnologias de segurança que executem análises complexas sejam um sistema de AI. A inteligência artificial (AI, na sigla em inglês) tem uma definição muito específica para cientistas da computação. Estamos perigosamente perto de mergulhar todo um campo de estudo apenas para fazer todo o tipo de defesa à máquina com um som nervoso e legal.
“Machine learning”, “deep learning” e “AI” são cada vez mais usados como sinônimos ao descrever o que a tecnologia de segurança é capaz de fazer. Esta é uma ideia terrível! O “aprendizado de máquina” nos permite acessar e manipular dados usando múltiplos algoritmos e modelos e utilizar os mesmos dados para refinar os modelos sem que precisem ser explicitamente programados. “Deep learning” refere-se a redes que podem tirar dados não estruturados ou não rotulados e derivar padrões ou aprender algo que não sabíamos antes. Estes são subconjuntos de Inteligência Artificial, mas usá-los de forma intercambiável, ignorando as maneiras diferentes de melhorarem as equipes de defesa é uma ofensa.
APT
Originalmente, “APT” significava “ameaça avançada persistente”. Mas o acrônimo é cada vez mais usado para se referir a qualquer ataque que os defensores não notaram. Sim, o ataque era claramente uma ameaça, e frequentemente era persistente porque os atacantes passaram algum tempo na infraestrutura da organização. Mas raramente se enquadra na categoria de “avançado”.
‘APT’ tornou-se uma desculpa prática que as organizações usam para explicar por que não notaram um ataque em andamento ou impediram os atacantes de causar muito dano. Em vez de reconhecer que a segurança da informação é difícil e ter uma conversa honesta sobre as muitas coisas que os defensores devem fazer, as organizações se escondem atrás do termo ‘APT’ . Tornou-se quase tão sem sentido quanto o sem graça “levamos a sério a segurança”.
Inteligência de ameaça
O Gartner define a inteligência de ameaças como o “conhecimento baseado em evidências, incluindo contexto, mecanismos, indicadores, implicações e conselhos acionáveis, sobre uma ameaça ou perigo existente ou emergente para ativos que podem ser usados para a tomada de decisões quanto ameaças ou perigos.”
Isso é um bocado, e ainda deixa muitos no escuro sobre o que realmente pode significar.
Simplificando, a inteligência de ameaças é o que você obtém depois de coletar e agregar dados de diferentes fontes e enriquecê-los, aplicando informações relevantes, para depois analisar o pacote resultante atrás de respostas.
Os dados brutos são frequentemente rotulados como inteligência. Arquivos de log e sistemas para agregação de dados de eventos estão sendo rotulados como “inteligência de ameaça”. Coletar e analisar dados não são tarefas suficientes – o resultado tem de alimentar algum tipo de propósito comercial para ser chamado de “inteligência”.
A inteligência de ameaças exige um contexto, e deve ser entregue de uma forma que possa ser colocada em prática. A “inteligência contextualizada” contribui para a cacofonia do ruído sem adicionar nenhum significado novo.
Próxima geração
A segurança da informação não é o único culpado quando se trata de identificar cada produto como sendo de “próxima geração”. Mas certamente contribui para o problema. A frase já se referiu a um avanço na tecnologia. Isso refletia uma mudança na forma como um problema foi resolvido. Infelizmente, agora parece que toda tecnologia de segurança atual no mercado é a próxima geração.
A próxima geração é sobre como promover interfaces de usuário redesenhadas, recursos de fácil utilização e a capacidade de lidar com mais tráfego, usuários e pontos finais. O termo precisa ser recuperado para que ele se refira a novas arquiteturas e abordagens redesenhadas para lidar com ameaças emergentes.
Caso contrário, qual será a próxima onda de inovação? A próxima geração? Na verdade, isso explica por que tudo agora remete a “AI”.
Nuvem
Hoje em dia, tudo está na nuvem. Mas o que isso significa? Que você tirou um arquivo ou aplicativo do seu computador e o colocou em algum outro repositório, distante? Não importa se o aplicativo está sendo executado em uma máquina virtual ou se os dados são armazenados em um servidor em um datacenter diferente. Infraestrutura como serviço, software-como-serviço e plataformas de hospedagem são identificados como “nuvem”. Você com o poder da IBM: A plataforma da nuvem construída com expertise da indústria Patrocinado
Este termo engloba muitas questões difíceis, como como proteger o meio ambiente, como proteger os dados e como controlar quem está usando as aplicações. Aproveitar a infraestrutura de outra pessoa não significa que todos os seus problemas tenham acabado. Isso também não significa que você possa fazer as mesmas coisas que você fazia quando trabalhava localmente. O conceito do perímetro da rede é muito diferente ao falarmos sobre aplicativos em nuvem, e há toda uma série de diferentes desafios de identidade e autenticação uma vez que você deixa a segurança do seu datacenter.
O pêndulo de tecnologia está se afastando da computação em nuvem para a “Edge Computing”, onde você confia em seu próprio datacenter local – ou seja, seu próprio computador, seu próprio dispositivo de armazenamento. E aí?
Orientado a dados
A explosão da coleta de dados significa que todos estamos afogados em dados. Sensores, logs de aplicativos, eventos do sistema e detalhes de transações podem ser analisados para descobrir padrões. Praticamente, todas as tecnologias de segurança são direcionadas por dados, seja examinando amostras de malware e dados de eventos para detectar atividades maliciosas ou escutando registros de acesso e tentativas de login para detectar aquisições de contas e possíveis brechas. Jogue usuários na mistura, e você obtém dados de análise comportamental.
Ter dados não significa necessariamente que haja informações valiosas escondidas neles. Claro, existem maneiras de exibir os dados coletados que são úteis. Mas a existência de um banco de dados ou registro não necessariamente resulta em um produto de segurança “orientado a dados”. Assim como a “inteligência de ameaças” exige um contexto, o “controle de dados” implica que a informação seja usada de forma prática.
Tempo real
O tempo real é uma promessa de segurança que continua aparecendo porque a tecnologia continua ficando cada vez mais rápida e eficiente. A segurança agora é muito mais orientada por dados do que costumava ser, porque há muita informação sendo coletada. Mas analisar dados e executar uma carga útil leva tempo, não importa quão minúscula e eficiente seja essa janela de tempo.
O “tempo real” surge muito quando as análises se tornam uma parte maior da segurança, especialmente quando se trata de agregar padrões de usuários. Eu prefiro “perto do tempo real”, o que é mais honesto e reconhece que há um atraso ao coletar informações e exibi-las de forma que façam sentido.
Thought Leader
Um “thought leader” geralmente é alguém que influente e com autoridade. Muitas pessoas consideram o título como um emblema que vem com o sucesso profissional. O setor de segurança da informação está cheio deles. Mas nem todos estão na vanguarda da indústria. Alguns acompanham as tendências, tecnologias e filosofias. Mas há aqueles que são meramente bons com palavras-chave capazes de inflar as bolhas tecnológicas.
Surgem de várias formas, compartilhando ideias através de entrevistas com jornalistas, contribuindo com artigos de convidados, falando regularmente no circuito da conferência de segurança da informação, ou simplesmente se juntando a grupos de profissionais que comunguem da mesma opinião para compartilhar e resolver problemas.
Se alguém que você confia diz que alguém é um “thought leader”, essa é uma avaliação muito mais precisa do que alguém que se auto identifique como tal. A segurança da informação é um campo onde o que você fez é mais influente do que o que você diz.
Acionável
Esta é uma palavra que, de verdade, não tem significado. Isso não impede que o “acionável” seja usado – com frequência – em muitos contextos. Na maioria das vezes, pretende-se enfatizar que os defensores das empresas podem fazer algo com a tecnologia que estão descrevendo. Uma razão para investir no dispositivo “de ponta”, no último serviço ou no software complicado, em primeiro lugar. Tudo deve ser acionável! Defensores não querem inteligência de segurança ou um produto de segurança que não os permita agir rapidamente em resposta a uma ameaça ou problema. Ninguém quer observar um incidente de segurança e dizer: “Uau, isso simplesmente aconteceu.” Eles querem responder ao que aconteceu.
