Nota: O seguinte artigo irá ajudá-lo com: Como as ferramentas SIEM de nuvem de última geração podem dar visibilidade crítica às empresas para uma busca eficaz de ameaças
Como do sistema, outro dia tive uma grande prova de e técnico em que não consegui ar o portal da minha empresa por meio da conexão VPN do meu escritório em casa. Levou algum tempo para resolver, durante o qual o analista com quem trabalhei se desculpou profusamente, explicando que eles tiveram que implementar alguns mecanismos de segurança extremamente rigorosos para proteger a empresa, já que quase todos os nossos funcionários trabalham remotamente.
VEJO: Política de proteção contra roubo de identidade (TechRepublic )
Esse é um tema comum agora, à medida que a pandemia continua, e disciplinas inteiras estão sendo implementadas para lidar com essas preocupações de segurança, mas também permitem que os trabalhadores permaneçam produtivos.
Conversei com Augusto Barros, VP de soluções da Securonix, provedora de análises e operações de segurança, para saber mais sobre as soluções disponíveis para esse desafio mundial.
Scott Matteson: Quais são os desafios ao lidar com as ameaças predominantes às forças de trabalho virtuais?
Augusto Barros: As equipes de segurança não são estranhas a um cenário de ameaças em constante mudança. No entanto, como o resto do mundo, eles não estavam preparados para o avassalador ataque de novos desafios que resultaram da pandemia do COVID-19.
A tríade SOC, ou seja, a combinação de resposta de detecção de rede (NDR), gerenciamento de informações e eventos de segurança (SIEM) e detecção e resposta de endpoint (EDR), tradicionalmente permitia que as equipes de segurança obtivessem informações sobre ameaças contra seus ambientes locais.
No entanto, no início da pandemia do COVID-19, as empresas correram para implantar rapidamente soluções para permitir o trabalho remoto, comprometendo significativamente a visibilidade das equipes de SOC e o o à telemetria nas fontes de dados. Isso não apenas deixou as equipes cegas para muitas ameaças novas e emergentes que resultaram desse cenário, mas também prejudicou sua capacidade de determinar uma linha de base para o comportamento normal do usuário.
VEJO: Engenharia social: uma folha de dicas para profissionais de negócios (PDF grátis) (TechRepublic)
Essa nova realidade também desafiou as ferramentas tradicionais de SIEM no local, que estão lutando para coletar os logs de todas as soluções recém-implantadas. Essa imensa quantidade de dados requer muitas alterações de coleta e conteúdo atualizado para lidar com um grupo de ameaças emergente e exclusivo.
Scott Matteson: O que torna o combate às ameaças virtuais diferente das operações físicas no local?
Augusto Barros: As equipes de segurança tradicionalmente optam por uma combinação de ferramentas conhecidas da tríade SOC, que aproveita dados de logs, redes e terminais para fornecer uma visão holística do ambiente local de uma organização. O pensamento é que as capacidades de cada ferramenta equilibram as limitações de outra. Em termos leigos, eles respondem pelos pontos cegos um do outro.
No entanto, quando a mudança para a nuvem foi drasticamente exacerbada pelas empresas que mudaram rapidamente para o trabalho remoto, essas ferramentas ficaram aquém de fornecer uma visibilidade clara de vários ambientes e camadas de tecnologia.
Por exemplo, as ferramentas de NDR no local tradicionalmente detectam anomalias no comportamento da rede monitorando o tráfego de uma estação de trabalho de escritório para a Internet. No entanto, com todo o tráfego de rede se movendo para a força de trabalho remota, o uso dessas ferramentas para monitorar as forças de trabalho que operam em dispositivos e redes pessoais provou ser inútil.
Embora as ferramentas de EDR normalmente compensem esse déficit fornecendo visibilidade em dispositivos gerenciados, elas não podem implantar agentes em um dispositivo pessoal se uma organização conceder o a recursos corporativos.
Além disso, a necessidade de se adaptar e dimensionar rapidamente à nova realidade forneceu a oportunidade perfeita para acelerar o push to cloud, mas as ferramentas tradicionais de gerenciamento de eventos e informações de segurança (SIEM) desatualizadas não são capazes de coletar e processar com eficiência o alto volume de telemetria gerado pelos vários serviços em nuvem adotados como parte desse impulso.
Os serviços em nuvem recém-adotados, como software como serviço (SaaS), infraestrutura como serviço (IaaS) e plataforma como serviço (PaaS), oferecem às organizações recursos normalmente fornecidos por um data center tradicional, como rede privada virtual (VPN) terminação e filtragem de conteúdo da web, direto da nuvem. Embora conveniente, isso se tornou o calcanhar de Aquiles do SIEM local tradicional, que não pode coletar todos os logs e monitorar com eficácia as ameaças novas e emergentes.
Scott Matteson: Quais são os remédios envolvidos?
Augusto Barros: As organizações devem adotar uma nova mentalidade centrada na nuvem, apoiada por uma combinação de novas soluções de segurança prontas para lidar com o alto volume e a velocidade dos dados que fluem pelos ambientes de nuvem. As organizações devem se concentrar em ferramentas como SIEM de última geração, ferramentas focadas em nuvem, como corretor de segurança de o à nuvem (CASB) e gerenciamento de postura de segurança na nuvem (CSPM), e serviços de rede e segurança consolidados modernos, como borda de serviço de o seguro (SASE) , que permitem abordagens de arquitetura de segurança modernas.
VEJO: 5 linguagens de programação que os engenheiros de nuvem devem aprender (PDF grátis) (TechRepublic)
Essas ferramentas escaláveis incluem modelos de licença não baseados no volume de dados ingeridos, mas em outras variáveis, como número de usuários monitorados. O CSPM e o CASB podem ajudar os usuários a adotar novas práticas de aplicação de políticas, ajudando as organizações a navegar por configurações e serviços de segurança complexos de provedores de nuvem pública e cobrir quaisquer lacunas de visibilidade dos vários serviços IaaS, PaaS e SaaS adotados.
Além disso, onde os usuários estão operando em dispositivos pessoais e ando recursos cooperativos, as ofertas do SASE ajudam na transição de controles, como gateways da Web seguros para um modelo baseado em nuvem, de qualquer lugar do mundo.
As empresas não precisam mais debater a perda de visibilidade por um preço melhor ou resiliência de rede aprimorada.
Scott Matteson: Como as ferramentas SIEM de nuvem de última geração desempenham um papel?
Augusto Barros: As soluções SIEM legadas baseadas em dispositivos são limitadas por sua arquitetura fixa, o que significa que não podem ar o esforço da equipe de segurança para reduzir o tempo médio de detecção (MTTD) e o tempo médio de resposta (MTTR) se o SIEM atingir um limite de escala.
Por outro lado, os SIEMs nativos da nuvem são construídos em arquitetura escalável. Ao contrário de seus antecessores, eles são equipados com conteúdo de detecção de ameaças criado para fins específicos, não apenas para lidar com a carga de novos serviços em nuvem, mas também para monitorar e detectar novos vetores de ameaças relacionados à nuvem. Essas soluções baseadas em nuvem oferecem melhor desempenho, análises mais precisas e detecção de ameaças aprimorada porque podem aumentar ou diminuir dinamicamente com base nas necessidades da equipe de SOC.
Os provedores de MSS e MSR também estão adotando essa abordagem para gerenciar sua nova realidade. Muitos daqueles que confiam no EDR estão expandindo seu portfólio de tecnologia para dar conta de pontos cegos, adicionando ferramentas SIEM de nuvem de última geração a seus back-ends, onde podem agregar dados de ferramentas de EDR existentes com dados de outras fontes.
As plataformas SIEM modernas podem oferecer análises de comportamento de usuários e entidades (UEBA) e análises avançadas, bem como melhorar a triagem de alertas e resposta a incidentes, aproveitando a funcionalidade de orquestração, automação e resposta de segurança nativa (SOAR).
VEJO: 5 linguagens de programação que os desenvolvedores de soluções de aplicativos devem aprender (PDF grátis) (TechRepublic)
Os SIEMs modernos permitem que as equipes de SOC pesquisem rapidamente os eventos de segurança, sejam os dados históricos ou em tempo real. No geral, essas soluções atingem o objetivo final da equipe de SOC: correlação mais rápida, visibilidade clara, análises mais precisas e maior contexto de ameaças.
Scott Matteson: Essas ferramentas funcionam para operações virtuais e físicas?
Augusto Barros: Um SIEM de próxima geração pode ser implantado na nuvem ou em plataformas de hardware comuns e permite que melhorias nessa plataforma sejam incorporadas com segurança.
No entanto, em vez de empurrar uma solução local baseada em hardware para o cliente, as implantações de SIEM de próxima geração devem corresponder à estratégia geral de TI da organização. Antes da pandemia do COVID-19, as empresas já estavam percebendo os benefícios, flexibilidade, agilidade e economia de custos oferecidos pelas estratégias de TI híbridas e em nuvem; agora, mais do que nunca, essa epifania soa verdadeira. Atualmente, as empresas possuem pouco ou nenhum hardware, demonstrando ainda por que as soluções SIEM de próxima geração devem permitir opções de implantação virtuais e baseadas em nuvem. Ter fontes de dados locais também não é um obstáculo para aproveitar um SaaS SIEM.
Scott Matteson: O que vem em 2021?
Augusto Barros: À medida que as organizações continuam a pressionar os grupos de segurança para mover as ferramentas para a nuvem, veremos soluções de força de gravidade de dados que exigem a coleta de grandes volumes de dados da infraestrutura e dos aplicativos se aproximarem das fontes de dados.
As equipes de SOC precisarão evoluir suas ofertas e integrar outras tecnologias para oferecer e a serviços de nuvem recém-adotados e expandir seu perfil de endpoint para Internet das Coisas (IoT) e dispositivos móveis. Mais e mais provedores de MDR (detecção e resposta gerenciadas) começarão a adotar soluções SIEM, UEBA e SOAR em seus back-ends à medida que percebem a necessidade de serviços de segurança que funcionem mesmo quando não podem implantar um agente.
Scott Matteson: Você tem alguma recomendação para tecnólogos e usuários finais?
Augusto Barros: O grande número de funcionários operando em dispositivos pessoais oferecerá pouca ou nenhuma visibilidade para as ferramentas tradicionais de EDR. Dê preferência a soluções SIEM de última geração que podem ser consumidas como um serviço para minimizar a sobrecarga e o gerenciamento. Essa abordagem permite que as organizações expandam o monitoramento para entidades além dos endpoints, com forte foco nas identidades dos usuários, e digiram dados de nuvem suficientes para realizar a caça às ameaças de maneira eficaz e precisa.
As organizações devem entender que este desafio não é diferente de qualquer outro na história. Tentar fazer com que práticas antiquadas funcionem em uma nova era é ineficiente. ar por essa transição não é opcional. Tanto as equipes de segurança quanto as organizações devem adotar ferramentas modernas para dar e à nova era de negócios digitais baseada em nuvem.