Exemplos recentes mostram que a IA e outras ferramentas de medição podem fornecer avaliações significativas
Eu odeio fazer isso, mas considere o seguinte exercício de pensamento: transporte-se de volta ao outono de 2020, quando literalmente o mundo inteiro estava esperando por uma vacina de Covid. Sabíamos que havia alguns candidatos (na verdade, uma vacina de mRNA foi formulada no final de janeiro) e estávamos apenas esperando a prova – os estudos de eficácia. A maior parte do mundo ficou exultante ao descobrir, no início de dezembro de 2020, que as taxas de eficácia eram de 95%. Claro, algumas pessoas precisavam saber que uma vacina típica contra a gripe fornece cerca de 60% de eficácia.
Agora, considere como você se sentiria se, em vez de conduzir ensaios de controle randomizados que testaram os resultados da vacina, a Pfizer e a Moderna tivessem afirmado que a vacina funcionaria porque os cientistas que a criaram tinham credenciais fortes, o ambiente do laboratório era gerenciado adequadamente, os procedimentos foram impecavelmente seguidos, e toda a papelada estava em ordem. Não tenho certeza sobre você, mas eu teria ficado arrasado e provavelmente irado.
Seguimos um padrão como esse rotineiramente na segurança cibernética. Mas vou poupá-lo do tédio da auditoria de conformidade.
Medindo a eficácia da segurança cibernética
Agora imagine um mundo em segurança cibernética onde realmente medimos a eficácia de nossos programas. Onde utilizamos a potência e escalabilidade dos computadores para realizar os mesmos tipos de testes considerados requisito mínimo em outras áreas. Onde gerenciamos nossos ambientes de controle e avaliamos os resultados para determinar a força de nossos programas.
Uma reação comum a uma proposta como essa é ser sarcástico ou até mesmo desdenhoso, lembrando ao instigador (é assim que costumamos chamar aqueles de nós que propõem tais coisas) que os ambientes de computador são incrivelmente complexos e uma abordagem como essa seria impossível. Como se sequenciar os 3 bilhões de pares de bases do genoma humano e usar isso como modelo de referência para 7 bilhões de humanos cheios de células se dividindo, neurônios disparando e substâncias químicas interagindo fosse simples.
A verdade é que os ambientes de computação são realmente mais fáceis de medir. O júri ainda está em dúvida sobre os benefícios da inteligência artificial na segurança cibernética (pelo menos em um sentido amplo). No entanto, uma vitória rápida é que, para alavancar a IA, ela deve ser capaz de ingerir os dados que está analisando. Uma vez que os dados são disponibilizados, é trivial para os computadores contar as instâncias e elementos de atividade pertinentes que poderiam ser facilmente utilizados para esse tipo de objetivo.
Casos de uso de eficácia de segurança cibernética
As oportunidades para experimentos de eficácia são abundantes. Por exemplo, uma organização pode aplicar as mesmas técnicas que a Microsoft fez em seu Security Intelligence Report volume 20: “O MSRT informou que os computadores que nunca foram encontrados executando software de segurança em tempo real durante o 2H15 tinham entre 2,7 e 5,6 vezes mais chances de serem infectados com malware do que os computadores que sempre foram protegidos”. Um olhar mais atento a esses dados revela uma pontuação de eficácia de cerca de 64%.
Ou você pode realizar um experimento como o Google e a Universidade de Nova York que concluíram: “Mostramos que os desafios baseados em conhecimento impedem apenas 10% das tentativas de sequestro enraizadas em phishing e 73% das tentativas de sequestro automatizadas. Os desafios baseados em dispositivos fornecem a melhor proteção, bloqueando mais de 94% das tentativas de sequestro baseadas em phishing e 100% das tentativas de sequestro automatizadas”.
Embora nenhum desses estudos demonstre o nível de rigor dos estudos de eficácia feitos para as vacinas Covid, eles podem ser facilmente replicados e aplicados a ambientes corporativos específicos.
A prática atual de usar auditorias de conformidade com PCI para demonstrar a qualidade do programa não fez nada para impedir que a Target fosse violada (e foi essencialmente revogada retroativamente após o incidente). A substituição de auditorias periódicas por dados empíricos de medição contínua revolucionaria nossa compreensão de diligência e negligência e forneceria informações importantes sobre as melhores maneiras de proteger nossos ambientes. A ressalva aqui é que nenhuma abordagem é infalível. Caramba, mesmo com replay instantâneo, é incrível a frequência com que os árbitros recebem chamadas “erradas” (geralmente quando a chamada é contra meus Eagles). Mas uma abordagem empírica que pudesse medir a natureza e os tipos de atividade ocorrendo em tempo real, o número e os tipos de controles sendo aplicados e os resultados finais forneceria um nível objetivo de análise empírica acima dos métodos existentes.
Uma vez me disseram que a eficácia da segurança cibernética “não era algo [importante]” e não tive resposta, é porque era verdade. Então, vamos torná-lo algo.
