Em 2017, o nível de ameaças para TI nas empresas continua alto, com notícias diariamente na imprensa sobre brechas e ataques sérios. Com os invasores cada dia mais sofisticados, as companhias precisam melhorar também sua capacidade de proteger o acesso e contra ataques.
O alerta é de Neil MacDonald, vice-presidente de Pesquisas e Analista Emérito do Gartner. Segundo ele, os líderes de segurança e risco precisam avaliar e ter contato com as tecnologias mais recentes para se protegerem contra os ataques avançados, viabilizar melhor a transformação dos negócios e adotar novos estilos de computação, como nuvem, mobilidade e DevOps.
Para ajudar as companhias nessa missão, o Gartner listou 11 tecnologias em alta que ajudam na guerra contra os cibercriminosos. Confira:
Os data centers modernos suportam cargas de trabalho executadas em máquinas físicas, virtuais, containers, infraestrutura de nuvem privada e, quase sempre, incluem cargas em uma ou mais infraestruturas de nuvem pública como a dos provedores de serviços.
As plataformas para proteção de carga de trabalho em nuvem híbrida oferecem informações para os responsáveis pela segurança de forma integrada para proteger essas cargas, usando um console de gerenciamento único e uma só política de segurança, independentemente de onde essa carga seja executada.
Praticamente todos os ataques bem-sucedidos começam pela Internet pública e aqueles via navegador encabeçam a lista quando as vítimas são os usuários. Os arquitetos da segurança da informação não conseguem impedir esses ataques, mas podem conter os danos causados por eles isolando as sessões de navegação de Internet do usuário final de outros endpoints e redes das empresas.
Isolando a navegação, o malware é mantido fora do sistema do usuário final e a empresa reduz substancialmente as áreas de ataque, mudando o risco para as sessões no servidor, que podem ser restauradas para um bom estado a cada nova sessão de navegação, aba aberta ou URL acessada.
As tecnologias de deception são definidas pelo uso de disfarces, armadilhas e/ou truques para driblar ou embaralhar os processos cognitivos, despistar as ferramentas de automação, atrasar as atividades ou detectar o ataque de um invasor.
Ao usar tecnologias de deception por trás do firewall, as empresas podem detectar melhor os invasores que invadiram suas defesas com alto nível de confiança nos eventos detectados. Essas implementações, então, podem cobrir várias camadas da estrutura de tecnologia, entre elas o endpoint, a rede, os aplicativos e os dados.
As soluções para detecção e resposta de endpoint (EDR) reforçam os controles preventivos tradicionais do endpoint, como um antivírus, monitorando esses pontos em busca de indícios de comportamento incomum e atividades indicativas de intenções maliciosas. Até 2020, 80% das grandes empresas, 25% das médias e 10% das pequenas terão investido em recursos de EDR.
As soluções para análise do tráfego rede (NTA) monitoram o tráfego, fluxos, conexões e objetos para identificar comportamentos que indiquem intenção maliciosa.
As organizações que estão em busca de uma abordagem em rede para identificação de ataques avançados que consigam burlar a segurança do perímetro deveriam considerar NTA como uma forma de identificar, gerenciar e fazer uma triagem desses eventos.
Os fornecedores de soluções de detecção e respostas gerenciadas (MDR) oferecem serviços para compradores que desejam melhorar a detecção de ameaça, a resposta aos incidentes e os recursos de monitoramento contínuo da empresa, mas que não contam com conhecimento ou recursos necessários para fazer isso.
As demandas das pequenas e médias empresas e de microempresas têm sido bem altas porque os serviços MDR chamaram a atenção dessas companhias que não investem muito em recursos de detecção de ameaças.
Uma vez que os invasores tenham conseguido entrar na empresa, eles podem se movimentar lateralmente, praticamente desimpedidos, para outros sistemas. A microssegmentação é o processo de implementação de isolamento e segmentação para fins de segurança dentro de um Data Center virtual.
Assim como as portas divisórias de um submarino, a microssegmentação ajuda a limitar os danos de uma possível brecha. Ela vinha sendo usada para descrever, na maioria das vezes, a comunicação lateral (de um lado para outro) entre servidores da mesma camada ou zona, mas evoluiu e agora é o termo usado para apresentar a maior parte das comunicações de Data Centers virtuais.
O perímetro definido por software (SDP) refere-se ao conjunto lógico de participantes diferentes conectados à rede dentro um ambiente computacional seguro. Os recursos normalmente ficam escondidos da detecção do público.
O acesso é limitado por um intermediário a determinados participantes do ambiente, removendo os ativos da visibilidade pública e, assim, reduzindo a área de superfície de um ataque. O Gartner estima que, até o final de 2017, pelo menos 10% das grandes empresas vão usar a tecnologia SDP para isolar ambientes confidenciais.
Os intermediários de segurança no acesso à nuvem (CASBs) atendem às falhas resultantes do aumento substancial do serviço em Cloud e uso de mobilidade. As soluções CASBs oferecem aos profissionais de segurança da informação um ponto único de controle via diversos serviços em Nuvem, simultaneamente, para qualquer usuário ou dispositivo.
A crescente importância de SaaS (Software as a Service) aliada a preocupações recorrentes com segurança, privacidade e conformidade continuam aumentando a urgência no controle e visibilidade dos serviços em Cloud.
Os arquitetos de segurança da informação precisam ser capazes de agregar automaticamente controles de segurança sem necessidade de configuração manual durante todo o ciclo de DevSecOps da forma mais transparente possível para as equipes de DevOps.
Isso precisa ser feito de maneira que não interfira na agilidade, mas cumpra com os requisitos de conformidade com as legislações e regulamentações e gerencie os riscos.
Os controles de segurança precisam ser capazes de trabalhar de forma automatizada com as ferramentas DevOps para atingir o objetivo desejado.
As ferramentas de análise de composição do software verificam especificamente o código-fonte, os módulos, estruturas e bibliotecas que um desenvolvedor está utilizando para identificar e fazer o inventário dos componentes OSS e identificar qualquer vulnerabilidade de segurança conhecida ou problemas de licenciamento antes que um aplicativo seja liberado para produção.
Os containers usam um modelo de sistema operacional (OS) compartilhado. Um ataque a uma vulnerabilidade no OS do host poderia comprometer todos os containers.
Essa tecnologia não é insegura por natureza, mas está sendo implementada de forma insegura pelos desenvolvedores, com pouco ou nenhum envolvimento e orientação por parte das equipes de segurança. As soluções tradicionais em rede e no host não enxergam os containers.
As ferramentas para containers protegem seu ciclo de vida completo, da criação à produção, e a maioria das soluções de segurança para eles combina funcionalidades de varredura de pré-produção com monitoramento e proteção na execução.
