O mercado de segurança da informação está em ebulição. Novas ameaças surgem e companhias têm de se proteger. “Líderes de Segurança e de Gestão de Riscos precisam aprender a trabalhar com as últimas tendências tecnológicas se quiserem definir, alcançar e manter programas eficazes que ofereçam, de forma simultânea, oportunidades de negócios digitais com a gestão de riscos”, afirma Neil MacDonald, vice-presidente, analista emérito e fellow emeritus do Gartner.
O Gartner listou as dez principais tecnologias para segurança da informação para ajudar empresas a se preparar para o que vem por aí.
1. Agentes de Segurança de Acesso à Nuvem
Agentes de Segurança do Acesso à Nuvem (do inglês, Cloud Access Security Brokers – CASBs) ajudam profissionais de Segurança da Informação a fazer um controle crítico do uso seguro, em conformidade com os serviços em nuvem de seus diversos provedores.
Muitos software como serviço (SaaS, na sigla em inglês) têm visibilidade e opções de controle limitadas. No entanto, a adoção de SaaS está se tornando comum em empresas, o que agrava a sensação de frustração das equipes de segurança que desejam ter visibilidade e controle das aplicações e do ambiente de TI como um todo.
Soluções CASB preenchem muitos dos espaços em branco dos serviços individuais armazenados em nuvem e permitem que os CISOs realizem suas tarefas simultaneamente, incluindo a gestão de fornecedores de infraestrutura como serviço (IaaS, na sigla em inglês) e de plataforma como serviço (PaaS, na sigla em inglês). Dessa forma, o CASB está de acordo com requisitos fundamentais para os CISOs estabelecerem políticas, monitorarem comportamentos e gerenciarem riscos de todos os serviços Cloud das empresas.
2. Detecção e resposta de endpoints (EDR)
O mercado de soluções de Detecção e Resposta de Endpoints (do inglês, Endpoint Detection and Response – EDR) está crescendo rapidamente para suprir as necessidades de proteção mais eficazes, detectando e reagindo mais agilmente diante de falhas.
Ferramentas de EDR registram diversos eventos de rede e Endpoints e armazenam essas informações localmente ou em uma base de dados centralizada. Como Analytics de Comportamento, as técnicas de aprendizagem por máquina e as bases de dados de conhecidos indicadores de comprometimento (IOC, na sigla em inglês) são usadas para buscar continuamente informações para identificação de falhas (incluindo ameaças internas) e para responder rapidamente a esses ataques.
3. Abordagens sem assinatura para prevenção de endpoints
Abordagens para prevenção de malwares baseadas apenas em assinaturas são ineficazes contra ataques avançados e específicos. Diversas técnicas que melhoram essas abordagens tradicionais têm surgido, incluindo a proteção de memória e a prevenção contra exploit, que impedem a entrada das formas mais comuns de ameaças nos sistemas, e a prevenção automatizada contra malwares baseados em aprendizado, que utiliza modelos matemáticos como assinaturas para a identificação e bloqueio de ameaças.
4. Analytics de comportamento de usuários e da empresa
O Analytics de comportamento de usuários e da empresa (do inglês, User and Entity Behavioural Analytics – UEBA) permite a realização de uma análise de segurança mais ampla, muito parecida com as Informações de Segurança e Administração de Eventos (do inglês, Security Information and Event Management – SIEM) que possibilitam um amplo monitoramento da segurança. As UEBAs fornecem Analytics centrados no usuário e capazes de analisar seu comportamento e outros fatores como endpoints, redes e aplicativos. A correlação das análises de vários fatores torna os resultados mais precisos e a detecção de ameaças mais eficaz.
5. Microssegmentação e visibilidade do fluxo
Quando ataques conseguem acessar os sistemas corporativos, eles podem se mover livremente pelas laterais (“leste/oeste”) para outros sistemas, antes mesmo de serem efetivamente detectados. Para resolver esse problema, há um requisito novo para a “microssegmentação” (segmentação mais granular) do tráfego (“leste/oeste”) nas redes corporativas.
Além disso, muitas soluções também fornecem visibilidade e monitoramento dos fluxos de comunicação. As ferramentas de visualização permitem que os administradores de operações e segurança compreendam padrões de fluxos, estabeleçam políticas de segmentação e monitorem eventuais divergências. Diversos fornecedores de tecnologia oferecem criptografia opcional do tráfego da rede (geralmente, túneis IPsec point-to-point) entre cargas de trabalho para a proteção de dados em movimento e oferecem isolamento criptografado entre cargas de trabalho.
6. Testes de segurança para DevOps (DevSecOps)
A segurança precisa se tornar parte integrante dos fluxos de trabalho das empresas (DevOps — DevSecOps), alinhando o time de desenvolvimento com a equipe de operações, em relação a processos, ferramentas e responsabilidades. Os modelos operacionais DevSecOps estão surgindo e usam certificados, modelos e padrões para conduzir a configuração implícita da infraestrutura de segurança, incluindo políticas como os testes de aplicativos durante o desenvolvimento ou a conectividade da rede.
Além disso, diversas soluções realizam avaliações automáticas para encontrar os pontos fracos durante o processo de desenvolvimento, antes mesmo de o sistema ser liberado para produção. A segurança, sendo conduzida por modelos, padrões ou por um conjunto de ferramentas, terá o conceito e o resultado desejados, com uma configuração automatizada, transparente e em conformidade com a infraestrutura de segurança desejada pela empresa e baseada em políticas que refletem as cargas de trabalho atuais.
7. Soluções de orquestração do Centro Operacional de Segurança baseado em inteligência
O Centro Operacional de Segurança (do inglês, Security Operations Centre – SOC) baseado em inteligência vai além do monitoramento focado em eventos e de tecnologias preventivas. Um SOC desse tipo deve ser usado para informar cada aspecto das operações de segurança.
Para cumprir os desafios do novo paradigma de detecção e resposta, um SOC baseado em inteligência também precisa ir além das defesas tradicionais, com uma arquitetura adaptada e com uso de componentes que sejam relacionados ao contexto. Para apoiar as mudanças requeridas nos programas de Segurança da Informação, o SOC tradicional deve se desenvolver para se tornar um modelo baseado em inteligência, com a automação e a orquestração dos processos, posicionando-se como um facilitador fundamental.
8. Navegador remoto
A maioria dos ataques começa direcionando um malware entregue via e-mail ou pelo acesso a endereços (URLs) ou a sites de risco para os usuários finais. Uma nova abordagem relacionada a esse risco é o acesso remoto ao navegador por meio de um “servidor de navegação” (geralmente em Linux) que funciona localmente ou em Nuvem.
Ao isolar a função de navegação do resto do Endpoint e da rede da empresa, o malware fica fora do PC do usuário final e a empresa reduz significativamente sua área de ataque ao deslocar o risco para as divisões do servidor que podem ser facilmente reinicializadas a cada sessão de navegação, ou a cada abertura de uma nova página.
9. Tecnologia deception
Tecnologias Deception são definidas pelo uso de artifícios ou truques destinados a impedir ou eliminar processos cognitivos do invasor, interromper suas ferramentas de automação, atrasar suas atividades ou evitar o progresso da falha.
As capacidades de fraude criam, por exemplo, vulnerabilidades, sistemas, compartilhamentos e cookies enganosos que, quando acionados, começam a invasão, já que um usuário legítimo não deveria ver ou tentar acessá-los. As tecnologias Deception estão surgindo para redes, aplicativos, Endpoints e dados com os melhores sistemas combinando diversas técnicas. O Gartner prevê que, até 2018, 10% das empresas usarão ferramentas e táticas com tecnologia Deception contra invasores.
10. Serviços universais de segurança
A área de TI e os departamentos de Segurança das empresas estão sendo acionados para estender suas capacidades de proteção para a tecnologia operacional e para internet das coisas (IoT, na sigla em inglês). Dessa forma, novos modelos devem surgir para entregar e administrar a confiabilidade em escala. Os serviços de segurança devem ser projetados para elevar e apoiar as necessidades de bilhões de aparelhos.
Companhias que procuram uma confiabilidade distribuída em larga escala devem focar no que inclua a entrega de segurança, a integridade dos dados, a confidencialidade e a identidade e autenticação do aparelho. Algumas abordagens de ponta usam a confiabilidade distribuída e arquiteturas de cadeia de bloqueio para administrarem a integridade dos dados em larga escala.
