Empresas de diversos setores e tamanhos precisaram se reinventar para enfrentar as mudanças impostas pelo cenário da pandemia. Essas mudanças foram sentidas, sobretudo, na forma como as pessoas colaboram, já que interações até então presenciais passaram a ser feitas de forma remota ou híbrida.
Segundo o IDC, cerca de 20% das empresas em todo o mundo têm mais de um quarto de sua força de trabalho atuando em casa. Essa tendência criou três grandes desafios para a segurança cibernética:
• Redes privadas virtuais (VPN) precisaram ser implantadas para proteger a comunicação entre os usuários finais e as organizações e os seus dispositivos pessoais precisaram de proteção adequada.
• Aumentou a pressão sobre os profissionais responsáveis pela segurança cibernética das organizações, que tiveram que dar maior ênfase aos fluxos de trabalho, considerando que as equipes na ponta não estavam mais protegidas pelos sistemas corporativos.
• Aumentou a preocupação com a proteção de dados pessoais, dados sensíveis e dados estratégicos. Muitas empresas tiveram que definir e estabelecer novas estratégias para suas redes, suas nuvens e seus dados, visando proteger a migração de ativos locais e de armazenamento de dados para nuvens públicas, nuvem híbrida e multicloud híbrida. Uma estratégia adequada de segurança dos dados é necessária para cada um desses ambientes, considerando também que cada tipo de dado tem características diferentes e geralmente apresentam vários níveis de importância e necessidades de acesso.
Segundo o IDC, a pandemia do COVID-19 também acelerou a adoção de tendências emergentes de TI e cibersegurança, entre quais:
Transformação digital. Nos últimos anos a transformação digital focou em proporcionar às empresas uma maior velocidade aos seus negócios. As estratégias e processos de segurança cibernética não acompanharam essa evolução na mesma proporção. Logo, as organizações perceberam que a disrupção causada pela pandemia poderia afetar diretamente os seus modelos de negócio, minando a sua competitividade. Alguns setores que dependem da presença física de seus clientes, como a indústria de táxis, a indústria cultural, empresas de turismo em geral e o comércio baseado em lojas físicas demorarão muito tempo para se recuperar.
Valor dos dados. Uma parte essencial de toda transformação digital é obter insights a partir dos dados. No entanto, para aproveitar as vantagens da computação e do armazenamento em nuvem, é preciso dedicar uma atenção especial para esse ativo valioso.
Redes multicamadas. A definição de rede agora inclui nuvens privadas, públicas e híbridas, dispositivos móveis, software de contêiner, aplicativos diretos de usuários, dispositivos de IoT, aplicativos de código aberto e ativos convencionais, atrás de um firewall de rede que rastreia o estado operacional e as características das conexões de rede que o atravessam. Isso deixa a equipe de segurança sem alternativa, a não ser monitorar continuamente as várias camadas de rede para ter uma resposta adequada no caso de um incidente.
Agentes criminosos. As superfícies expostas a um ataque cibernético aumentam rapidamente e os agentes maliciosos estão cada vez mais sofisticados e criativos. O volume e a diversificação das técnicas e os métodos de ataque estão se multiplicando.
Integração entre as ferramentas de segurança cibernética. Cada ferramenta de segurança traz consigo um novo conjunto de alertas, widgets e fluxos de trabalho para os analistas aprenderem, além de apresentarem diferentes painéis para cada recurso. A análise dos alertas dos vários sistemas fica comprometida, pois vêm sem contexto suficiente para que seja criado um plano eficaz de resposta a incidentes. Um analista pode precisar reunir três ou quatro alertas e emitir falsos positivos antes de começar uma correção.
Escassez de especialistas em segurança cibernética. Montar uma boa equipe de segurança é uma coisa, manter os talentos na empresa pode ser ainda mais difícil. Os profissionais de segurança geralmente trabalham sob muita pressão e, normalmente, não dispõem de ferramentas adequadas para suas atividades. Se os sistemas de segurança cibernética não forem automatizados, as responsabilidades dos analistas se tornam ainda mais complexas e, às vezes, impossíveis de alcançar.
A melhor abordagem para escolher uma plataforma de segurança cibernética
O primeiro fator a considerar em uma plataforma de cibersegurança moderna é se ela é nativa da nuvem, mas não restrita a software como serviço (SaaS). A plataforma deve fornecer flexibilidade para atuar onde uma organização escolher: no local, em uma nuvem pública ou privada, ou em uma arquitetura híbrida. Uma arquitetura flexível também oferece suporte às operações em ambientes híbridos, incluindo várias nuvens e soluções on-premises.
Apesar de várias empresas não quererem abrir mão da segurança oferecida por suas infraestruturas locais, pois seus diferentes aplicativos e sistemas de computação e armazenamento foram projetados para arquiteturas legadas e seria difícil replicá-los em ambientes de nuvem, a transformação digital e o trabalho a partir de casa são tendências cada vez presentes e demandam que a visibilidade de Infrastructure as a Service (IaaS) não seja mais apenas uma boa prática sugerida, mas uma necessidade para os negócios atualmente.
Um dos pontos mais importantes, que não pode ser negligenciado na escolha da plataforma é a sua independência do fornecedor. As organizações não devem ficar “engessadas” com as soluções de um único fornecedor, e uma vantagem fundamental para qualquer ferramenta ou plataforma que se pretenda incorporar é não precisar "eliminar” ou “substituir" as ferramentas de segurança existentes.
A plataforma também deve incluir análises para prevenção de perda de dados e gerenciamento da integridade dos arquivos (File Integrity Management, FIM). Várias ferramentas apresentam funcionalidades para a proteção de dados contra acessos impróprios ou ofuscação. No entanto, a capacidade de identificar se os dados estão saindo de uma rede deve ser um item básico.
A consistência dos alertas deve ser gerenciada e verificada na plataforma mesmo antes de um analista considerar uma investigação. Uma plataforma inteligente deve ser o sistema nervoso central das informações que entram e saem das ferramentas de gerenciamento de informações e eventos de segurança (Security Information and Event Management, SIEM), endpoints, firewalls e ferramentas de inteligência de ameaças, bem como qualquer outro software que integre a infraestrutura de TI. Em última análise, a plataforma precisa eliminar sinais inconsistentes e correlacionar alertas mais evidentes.
Além disso, o processo de investigação de incidentes está intimamente ligado ao fluxo de trabalho. Quando for feita uma pesquisa sobre uma família específica de malware, o painel deve mostrar o que se sabe sobre aquele tipo de ameaça, sem a necessidade de ações adicionais. Os playbooks são muito úteis também, sugerindo o que fazer a seguir nas investigações e onde iniciar a resposta.
Uma plataforma integrada
O IBM Cloud Pak for Security é uma plataforma de segurança nativa da nuvem, automatizada e unificada que usa os seguintes componentes encontrados em outras tecnologias IBM:
IBM Security QRadar e QRadar on Cloud. O QRadar on-premises é uma ferramenta SIEM aprimorada com gerenciamento de vulnerabilidade de dispositivo, algoritmos de análise de comportamento de vários usuários (User Behavior Analytics, UBA), detecção e resposta de rede (Network Detection and Response, NDR) e IBMX-Force Threat Intelligence integrado na mesma plataforma.
IBM Security Resilient. Este software fornece recursos aprimorados de orquestração, automação e resposta de segurança (Security Orchestration, Automation and Response, SOAR). SOAR é mais do que automação. Com o IBM Cloud Pak for Security, automação e orquestração são a porta de entrada entre o dispositivo discreto e a inteligência de ameaças externas do IBM X-Force. Sem essa plataforma abrangente de registro, medir o tempo médio para detectar e o tempo médio para responder é impossível. A plataforma SOAR também é extensível e novos playbooks podem ser acessados por meio do IBM Security App Exchange.
IBM Security Guardium. Esse amplo conjunto de ofertas de segurança inteligente de dados oferece aos clientes a visibilidade, automação e escalabilidade de que precisam, ao mesmo tempo em que cumpre as exigências de compliance.
Watson. A inteligência artificial do Watson agora está integrado às operações de segurança cibernética. O Watson atua no backend, trabalhando para refinar os alertas e direcionar os analistas através do processo de investigação.
Conclusão
Uma plataforma unificada para gerenciamento de ameaças é mais eficiente do que a soma de vários sistemas de informação diferentes. Os insights devem levar a conclusões e as vulnerabilidades devem ser corrigidas. O aprendizado obtido em cada caso deve ser registrado para analisar as novas situações que aparecerem. O IBM Cloud Pak for Security foi projetado para oferecer uma abordagem eficaz para as equipes de segurança, pois a solução oferece um único painel de controle e um fluxo de trabalho unificado.
Trata-se de uma plataforma que adiciona inteligência contra ameaças externas aos dados de entrada de várias ferramentas de segurança. A ênfase nos dados e na conformidade é uma prioridade para identificar vulnerabilidades e detectar incidentes, ajudando a estabelecer uma postura adequada de segurança. O Cloud Pak for Security foi projetado para funcionar com as plataformas de segurança existentes e ferramentas de código aberto.
Veja também o artigo “IBM FLASHSYSTEM: MAXIMIZE A EFICIÊNCIA DE SUA INFRAESTRUTURA DE ARMAZENAMENTO DE DADOS” aqui em nosso blog.
Veja o artigo