Apesar de ter servido muito bem na última década, é hora de se perguntar se Defense in Depth é a abordagem certa para o futuro
Quando foi aplicada pela primeira vez na indústria da cibersegurança há 15 anos, a defesa em profundidade (da sigla em inglês DID – Defense in Depth) revolucionou os negócios. Hoje, a ideia de utilizar um conjunto de medidas de segurança cibernética para proteger uma rede é uma prática aceitável e os líderes tradicionais da área a defendem religiosamente, principalmente os que atuam com serviços financeiros e governo.
Mas, apesar de ter servido muito bem à indústria na última década, é hora de se perguntar se essa é a abordagem certa para os próximos 15 anos. Eu penso que, para que a DID seja eficaz futuramente, é necessário repensar a estratégia da Indústria de proteção à rede.
Se você pesquisar os ataques mais divulgados recentemente, o fator comum entre eles é o uso de APTs (Ameaças Avançadas Persistentes) altamente sofisticadas desenvolvidas por hackers com expertise. Essas pessoas malintencionadas estão se mostrando com tempo e com recursos suficientes para criar ferramentas que combatem as medidas de segurança usadas no modelo de DID. Sejam hackers patrocinados por organizações escusas ou cibercriminosos com fins lucrativos, eles sempre mapeiam completamente os recursos de DID de seus alvos e planejam formas de burlá-los.
O que há de novo agora?
Atualmente, as ferramentas avançadas de ciberataques estão amplamente disponíveis na deep web, onde é possível encontrar credenciais de usuários, botnets e diversas ferramentas que um cibercriminoso poderia utilizar. Os desenvolvedores ainda oferecem aos clientes garantias de credenciais válidas e utilizáveis para aumentar a chance de sucesso de um ataque. Além disso, muitas dessas ferramentas agora são automazidas para que os cibercriminosos possam lançar um grande volume de ataques avançados simultaneamente contra um alvo.
Isso gerou um aumento tão significativo de ciberataques que o modelo de DID não pode acompanhar. O ponto fraco mais preocupante neste modelo é o local de infiltração. As redes de hoje registram milhões de eventos todos os dias, então, para uma equipe de segurança, fica praticamente impossível identificar, analisar e responder às ameaças como deveriam. E mesmo que uma equipe impedisse 999 de mil ataques tentando comprometer o perímetro da rede, o ataque que não fosse impedido ainda poderia causar sérios problemas.
Não desista do perímetro
O grande volume de ataques fez com que algumas equipes de segurança abandonassem a ideia de impedir que os ataques penetrem juntos na borda da rede. Para eles, a melhor abordagem é dar foco na detecção e remediação de um ataque, depois que já comprometeu o perímetro. Mas essa é uma receita fadada ao fracasso. Para as equipes de segurança, fica impossível saber quais as últimas ferramentas disponíveis no mercado do cibercrime que os hackers podem usar para as violações.
Além disso, seria necessário uma equipe grande para detectar e corrigir tudo o que estiver inundando a rede, e a maioria das empresas não tem verba nem acesso a profissionais qualificados para isso. Então, mesmo que a DID inclua prevenção, ainda não é a melhor forma ou a única de proteger as redes.
Se o modelo de DID passer ser mais eficaz daqui para frente, ainda assim os fornecedores de tecnologia de cibersegurança precisam trabalhar melhor para bloquear os ataques. Nesse sentido, o caminho mais abrangente é adotar uma política de segurança zero trust e automatizar os processos de segurança. O conceito zero trust inclui aplicações, dados e informações de usuários para estabelecer como os dados se movem dentro e pela rede, ao invés de confiar na porta e em políticas de segurança baseadas apenas em protocolos.
Já a automação de segurança requer integração minunciosa da informação sobre a ameaça e uma plataforma de segurança de APT que inspeciona todo o tráfego da rede a fim de aplicar políticas baseadas em usuário, dados e aplicações. Dessa forma, combinando uma política zero trust, com políticas de segurança para bloquear a maioria dos ataques e a tecnologia SIEM (sigla em inglês para Gerenciamento de Informação e Evento), profissionais da cibersegurança teriam tempo para caçar os poucos ataques que podem estar prestes a acontecer.
A chance do modelo DID permenacer relevante é modernizá-lo, adotando segurança automatizada e o conceito de zero trust. É a melhor forma das equipes potencializarem os esforços rumo à evolução da cibersegurança.
*Arthur Capella é gerente geral da Palo Alto Networks no Brasil
