Por mais que a mitigação de ameaças seja até certo ponto uma tarefa especializada envolvendo especialistas em segurança cibernética, o dia a dia dessas mitigações geralmente ainda se resumem aos administradores de sistemas. Para eles, no entanto, não é uma tarefa fácil. Na TI corporativa, as equipes de administradores têm uma ampla missão, mas recursos limitados.
Para os administradores de sistemas, encontrar tempo e recursos para mitigar uma ameaça crescente e em constante movimento é um desafio. Neste artigo, descrevemos as dificuldades implícitas na mitigação de ameaças corporativas e explicamos o porque as ferramentas de mitigação automatizadas e específicas são o caminho a seguir.
Gerenciamento de ameaças é uma tarefa árdua
Há uma variedade de especialistas que trabalham no gerenciamento de ameaças, mas a implementação prática das estratégias de gerenciamento de ameaças geralmente se resume aos administradores de sistemas. Seja no gerenciamento de patches, detecção de intrusão ou remediação após um ataque, os administradores de sistema normalmente carregam o peso do trabalho.
É uma tarefa impossível, dada a natureza crescente da ameaça. Para se ter uma ideia, somente em 2021, 28.000 vulnerabilidades foram divulgadas. É um número tão grande que, de fato, uma grande proporção nunca chegou ao ponto de entrar na lista de Vulnerabilidades e Exposições Comuns (CVE). Isso é especialmente relevante em um setor focado no rastreamento de CVEs, testando sua presença em nossos sistemas e implantando patches que mencionam números de CVE específicos.
Você não pode se proteger contra o que você não sabe que é vulnerável. Se uma determinada vulnerabilidade não tiver um CVE anexado e todas as suas ferramentas/mentalidades/processos estiverem focados em CVEs, algo falhará. Os motivos para não atribuir um CVE a uma vulnerabilidade são muitos, e estão fora do escopo deste artigo, mas nenhum deles reduzirá o trabalho que deve ser feito em segurança.
Mesmo se uma organização tivesse uma equipe de três dígitos de administradores de sistema, seria difícil acompanhar essa lista de vulnerabilidades em constante crescimento. Não estamos falando de interações em que uma vulnerabilidade pode afetar um sistema secundário em execução em sua infraestrutura de uma maneira que não seja tão óbvia.
Com o tempo, ele se derrete em um “ruído de fundo” de vulnerabilidades. Há uma suposição de que a correção ocorra metodicamente, semanalmente ou talvez diariamente – mas, na realidade, as informações relevantes e detalhadas nos anúncios CVE nunca chegam ao topo.
Equipes sobrecarregadas assumem riscos
Com tarefas de segurança, incluindo patches, tornando-se um exercício tão esmagador, não é de admirar que os administradores de sistema comecem a usar alguns atalhos. Talvez um administrador de sistema perca essa interação entre uma nova exploração e um sistema secundário, ou deixe de testar corretamente os patches antes de implantar a correção mais recente – qualquer uma pode falhar em evitar um colapso em toda a rede.
Manipuladas sem cuidado, as tarefas de gerenciamento de segurança, como aplicação de patches, podem ter consequências. Uma pequena mudança voltará e assombrará as equipes de segurança daqui a alguns dias, semanas ou meses, quebrando outra coisa que eles não esperavam.
E, novamente, apontando para a aplicação de patches, os recursos necessários para fazê-lo de forma consistente geralmente não estão lá. A aplicação é particularmente difícil, pois aplicar um patch implica reiniciar o serviço subjacente. As reinicializações são demoradas e disruptivas e, quando se trata de componentes críticos, a reinicialização pode simplesmente não ser realista.
O resultado final é que as tarefas essenciais de segurança simplesmente não são realizadas, deixando os administradores de sistema com uma sensação incômoda de que a segurança não é o que deveria ser. Também vale para monitoramento de segurança, incluindo testes de invasão e verificação de vulnerabilidades. Sim, algumas organizações podem ter especialistas para realizar essa tarefa – chegando a ter equipes vermelhas e equipes azuis.
Mas, em muitos casos, o monitoramento de segurança é outra tarefa para administradores de sistemas que inevitavelmente ficarão sobrecarregados e acabarão tomando.
A situação está piorando
Pode-se pensar que tudo o que precisa acontecer é que os administradores de sistema fiquem à frente do fardo – desça e apenas faça isso. Trabalhando no backlog, talvez obtendo alguma ajuda extra, os administradores de sistema poderiam gerenciar a carga de trabalho e fazer tudo.
Mas há um pequeno problema aqui. O número de vulnerabilidades está crescendo rapidamente – uma vez que a equipe tenha lidado com problemas conhecidos, sem dúvida enfrentará ainda mais. E o ritmo das vulnerabilidades está se acelerando, mais e mais são relatadas a cada ano.
Tentar acompanhar significaria que as equipes aumentariam em tamanho, digamos, 30% ano a ano. Não é apenas uma batalha que uma equipe humana com abordagens manuais vencerá. Claramente, alternativas são necessárias, porque uma batalha contínua dessa natureza simplesmente não será vencida aumentando o tamanho das equipes ano após ano de maneira quase exponencial.
A automação do gerenciamento de ameaças é fundamental
O bom da computação, obviamente, é que a automação geralmente oferece uma saída para as restrições de recursos persistentes – e esse também é o caso do gerenciamento de ameaças. Na verdade, se você quiser ter alguma chance de progredir contra o ambiente de ameaças crescentes, é fundamental implantar a automação para tarefas no gerenciamento de vulnerabilidades. Desde o monitoramento de novas vulnerabilidades até a aplicação de patches e relatórios.
Algumas ferramentas ajudam em aspectos específicos, outras ajudam em todos esses aspectos, mas a técnica das ferramentas tende a cair à medida que a ferramenta se torna mais abrangente. Ferramentas mais especializadas tendem a ser melhores em sua função específica do que ferramentas que podem fazer tudo de uma vez só.
Por exemplo, a aplicação de patches pode e deve ser automatizada. Mas a aplicação de patches é uma daquelas tarefas de segurança que precisam de uma ferramenta dedicada, que possa ajudar os administradores de sistema aplicando patches de forma consistente e com o mínimo de interrupção.
Uma abordagem desanimada não funcionará, porque a aplicação de patches ainda seria dificultada pela aceitação de janelas de manutenção. Isso removeria das equipes de TI a flexibilidade de responder em tempo “quase real” a novas ameaças, sem afetar as operações de negócios da organização.
Não são apenas os patches que precisam ser automatizados, é claro. Assim como os cibercriminosos usam a automação para investigar vulnerabilidades, as equipes de tecnologia também devem confiar na verificação de vulnerabilidades automatizada e contínua e nos testes de penetração. Dentro dessa esfera de automação também devem vir firewalls, proteção avançada contra ameaças, proteção de endpoint e assim por diante.
Não há lugar seguro para se esconder
Claramente, o problema das ameaças está piorando, e rapidamente – muito mais rápido do que as organizações poderiam esperar aumentar suas equipes de segurança, se realmente quisessem resolver esses problemas manualmente. Ficar em um canto específico em termos das soluções em uso também não oferece nenhum consolo, em parte porque as soluções agora estão tão integradas ao código compartilhado em tantas plataformas que uma única vulnerabilidade pode ter um impacto quase universal.
Além disso, como pesquisas recentes descobriram, a lista dos dez produtos mais vulneráveis excluiu alguns produtos notáveis. Por exemplo, o Microsoft Windows, anteriormente visto como um dos sistemas operacionais mais vulneráveis, não está nem entre os dez primeiros – que é dominado por sistemas operacionais baseados em Linux. Confiar no que se pensa ser alternativas mais seguras não é uma boa ideia.
Ele destaca como a única segurança real pode ser encontrada na automação de segurança. Desde a verificação de vulnerabilidades até a aplicação de patches, a automação é realmente a única rota que pode ajudar os administradores de sistemas sobrecarregados a obter um grau de controle sobre uma situação explosiva – na verdade, é a única solução gerenciável.
Fonte: thehackernews.com
Comentários
Postar um comentário