Quanto mais ampla a visibilidade transparente dentro da rede, melhor as chances de uma detecção antecipada. Independentemente de ser hackeado ou não, suas chances de passar ileso pelo ambiente conectado são muito pequenas hoje em dia. E isso é assustador, por diversos motivos.
Veja a CIA, por exemplo: a agência conduz extensas investigações sobre o histórico de seus candidatos. Chega a submetê-los ao polígrafo para obter autorizações de segurança e determinar o acesso a informações confidenciais. Eu vi (o filme) Entrando numa fria. O processo de seleção parece infalível. E, mesmo assim, com todos esses indicativos, recentemente um agente interno conseguiu tirar da CIA uma série de ferramentas secretas de hackeamento.
O demônio anterior
É preocupante que nossas agências de inteligência não possam se proteger de ameaças e escândalos internos. Mas, conforme relatado pela Reuters, “as agências governamentais estimam que há uma ameaça de pessoa má intencionada para cada 6.000 a 8.000 funcionários.” Mesmo se alguns cálculos rápidos fizerem a porcentagem de possíveis ameaças parecer baixa, pense no fato de que o governo federal, estadual e local emprega cerca de 22 milhões de pessoas. E apenas uma violação é preciso para uma grande repercussão.
Além disso, acho que os Doors estavam certos: people are strange. E, em menor ou maior grau, a maioria das pessoas é corruptível. Desde os impuros, dispostos a vender o país (e até mesmo a mãe) por dinheiro e fama, até os puros – motivados por uma ideologia ou religião equivocada. Então, novamente, independentemente do motivo, quando se trata de cibersegurança, o objetivo continua o mesmo: parar os caras maus.
Então, se a prevenção total não é de longe uma opção, o que é? Talvez seja hora de mudar o foco e, em vez disso, se especializar na detecção, previsão e resposta de ameaças. Juntos, esses pilares podem fundamentar a arquitetura moderna de segurança; voltada plenamente para um monitoramento contínuo e abrangente, aliado à uma análise avançada de comportamento para separar as laranjas podres e as prestes a apodrecer.
Marcação cerrada sobre a atividade na rede
De novo, como foi evidenciado pelo vazamento na CIA, em algumas situações, não importa o quão preparado estivermos, nem quantas políticas e procedimentos colocamos em prática, ou quão saudáveis tentamos ficar: coisas ruins ainda acontecem. Isso veio à minha mente durante uma consulta médica recente.
Duas agulhas para biópsia estavam saindo do meu seio esquerdo quando o radiologista me perguntou o que eu fazia para ganhar a vida. Creio eu que tenha sido uma tática de distração e, talvez, eu tenha murmurado alguma coisa sobre cibersegurança… antes de desmaiar (não curto muito agulhas). Quando reanimei, me ocorreu que as funções de um diagnóstico de mamografia parecem muito com as soluções para visibilidade de tráfego de rede. Ambas são designadas a ajudar na detecção de anomalias (os potenciais demônios internos), que podem exigir uma verificação mais aprofundada.
Mesmo que a mamografia não possa curar o câncer e a visibilidade de tráfego não revitalize dados roubados, eles podem fazer um trabalho incrível ao promover uma consciência melhor sobre a situação. E esse é o primeiro passo em direção para descobrir um potencial problema e permitir que outras ferramentas – tanto analíticas como de segurança – investiguem e determinem se uma anomalia é benigna ou maligna. Com esse diagnóstico feito, as empresas podem usar essa inteligência para informar um curso de ação.
Em outras palavras, as soluções precisam entender o contexto para diferenciar os bons e os maus. O que se traduz na necessidade de 100% de visibilidade sobre o tráfego de rede. Sem isso, uma ferramenta de defesa contra malwares não pode determinar se um arquivo executável tem intenções benéficas ou nocivas; ou um software para proteção de vazamento de dados ficam incapazes de decidir se um documento está ou não autorizado a sair do servidor. Então, qual a utilidade de ter essas soluções se você não possui uma infraestrutura adequada para fornecer informações fundamentais para que as mesmas desempenhem seu trabalho?
Quanto mais ampla a visibilidade transparente dentro da rede, melhor as chances de uma detecção antecipada. Se pudermos pegar o bandido antes que tenha chance de manipular ou extrair dados (estágio 0), nossos negócios estarão muito melhor preparados caso ele já tenha invadido todos os sistemas, fugido com as informações mais valiosas da empresa e nos deixado sem nada, a não ser uma caveira vermelha piscando em sua tela (estágio 4).
A realidade é que nunca pensamos que vai acontecer conosco, que jamais seremos hackeados e coisas ruins só ocorrem nas outras companhias. Porém, cedo ou tarde chegará a nossa vez. Estaremos preparados para reconhecer quando formos atacados? Mais do que isso: teremos recursos para reagir apropriadamente?
*Erin O’Malley é gerente sênior de marketing de soluções da Gigamon
