… ComputerWeekly, sim! Etay Maor (diretor sênior de estratégia de segurança da Cato Networks) publicou um artigo, no qual contesta a afirmação de que “quanto mais ferramentas de segurança você tiver, melhor será a postura de segurança da sua organização”. Se por um lado, a maior oferta de ferramentas promove uma maior disponibilidade de recursos para o uso, por outro lado ela também acaba gerando complexidades que se não forem administradas de forma eficiente, trazem mais problemas relacionados a gestão da segurança, em um contexto geral…
“There is a common misconception that the more security tools you have, the better your organisation’s security posture. It’s no wonder, then, that enterprises average more than 70 security point offerings, and it shouldn’t come as any surprise that with each offering that is added to the mix, complexity rises and efficiency decreases. While this may not be a huge issue for Fortune 100 companies, with their nearly limitless security budgets, everyone else suffers.”
— by ComputerWeekly.
Em sua visão, a abordagem de segurança em camadas adotada pelas organizações se tornaram o ponto crucial, já que muitas vezes a adoção de ofertas desconexas acabam resultando na falta de integração destas ferramentas, forçando os profissionais a atuar neste processo de integração, que por sua vez nem sempre conseguem obter resultados precisos durante os processos. Tarefas como a coleta e a correlação de diferentes sensores, a filtragem e normalização de dados em alto volume, a verificação de falsos positivos e a avaliação das informações relevantes, acabam se tornando complexas de tal forma, que fica praticamente impossível executá-las com a perfeição desejada. Eis, o perigo!
Antes mesmo do ataque ser lançado, a maioria dos agentes de ameaça reside na rede das organizações durante um bom tempo (de semanas a meses), sendo o este o importante fator conhecido como tempo de permanência. Embora a TI tenha muitas oportunidades para detectar, mitigar e até mesmo evitar os ataques, na prática isto não ocorre devido ao fato de que as soluções não filtraram e/ou manteram corretamente as informações, que nos permitem identificar as ocorrências de eventos importantes dentro de nossas redes. Por fim, o próprio trabalho do analista de segurança é comprometido, já que agora ele terá maiores dificuldades de realizar o seu trabalho de forma mais simples e prática, devido as complexidades trazidas pelas novas adições de soluções e recursos.
Por fim, o autor do artigo declara que “em vez de tentar constantemente adicionar novos recursos e funções às nossas defesas cibernéticas, devemos ser capazes de usar os que já temos de uma forma mais simples (mas não simplista), mais abrangente e mais maneira gerenciável”. A primeira vista parece algo fácil de entender, mas na prática não é, pois exige uma mentalidade estratégica e flexível para avaliar os diferentes cenários, bem como as ações proativas para realizar as mudanças necessárias, na elaboração e implementação de um plano de defesa “simples e gerenciável”, tal como desejado pelo autor. Mas infelizmente, pecamos em tomar medidas reativas que são mais fáceis e baratas de executar, além de entregar retorno imediato. Mas infelizmente, elas acabam comprometendo a longo prazo!
Sem contar a necessidade de obter a aprovação da direção… &;-D