Por que a detecção de ameaças precisa de segmentação Zero Trust

Este artigo foi publicado originalmente em channelfutures. com.

Na última década, a cibersegurança se tornou infinitamente mais complexa. Consequentemente, muitas organizações recorreram a provedores de serviços gerenciados de segurança (MSSPs) para ajudar a protegê-los. Até agora, seu foco estava quase inteiramente na detecção e resposta a ameaças, mas essa decisão teve algumas consequências negativas e não intencionais.

Para a maioria das organizações — comerciais, sem fins lucrativos ou do setor público — a segurança cibernética não é uma competência essencial. É por isso que muitos terceirizaram parte ou a totalidade para um MSSP. E essa terceirização não inclui apenas operações de segurança; geralmente é toda a função de segurança cibernética, incluindo compras e planejamento estratégico.

Quando o cliente de um MSSP tem uma violação de segurança de alto perfil, como um ataque generalizado de ransomware, as conversas subsequentes não são agradáveis. Todo o motivo pelo qual uma empresa terceiriza sua função de segurança para um MSSP é evitar esses resultados e sua consequente publicidade, custos e danos à marca.

AI: Panaceia ou uma ferramenta que precisa de ajuda?

Muitos fornecedores convenceram as organizações de que a resposta às suas orações é a detecção de ameaças baseada em IA. Eles foram levados a acreditar que, se gastarem dinheiro suficiente em IA, capturarão esses atacantes extremamente sorrateiros. Eles entraram em uma toca de detecção baseada em IA, mas os resultados que esperavam não se materializaram. Eles não aconteceram.

Embora eu concorde que a detecção de ameaças baseada em IA é um grande avanço para nosso setor, ela precisa de alguma ajuda para realizar o trabalho. Entrar Segmentação Zero Trust.

Se você pré-segmentar a rede antes de caçar ameaças, a tarefa de detecção — seja ela assistida por IA ou não — se torna muito mais simples e rápida. Você reduz o tamanho da superfície de ataque onde precisa procurar ameaças. A segmentação preventiva elimina muitos dos caminhos que, de outra forma, permitiriam que os invasores se movessem lateralmente pela rede interna.

A metáfora que uso é que, em vez de procurar uma agulha em um palheiro grande e complexo, você cria muitos micropalheiros. Então, suas ferramentas podem olhar dentro desses micropalheiros em paralelo, então é provável que você encontre essa agulha muito mais cedo.

O que um navio pode nos ensinar sobre segmentação

Anos atrás, em minha primeira missão ativa como aspirante da Marinha dos EUA, embarquei no USS McCloy, cuja missão principal era caçar, detectar e deter submarinos inimigos na costa dos EUA. Eu tinha acabado de terminar meu primeiro ano de faculdade como estudante de engenharia elétrica e estava treinando para me tornar oficial da Marinha dos EUA. Eu mal podia esperar para aprender sobre a sofisticada tecnologia de detecção de submarinos inimigos da Marinha e conhecer membros da equipe de elite de detecção de ameaças da McCloy.

Então, imagine minha surpresa no primeiro dia, quando recebi algumas chaves e chaves de fenda, emparelhadas com um colega da tripulação, e recebi a tarefa de garantir que todas as cerca de 30 “escotilhas” de aço (também conhecidas como portas) do McCloy estivessem em forma de navio. E se não estivessem, para fazer qualquer reparo. Chega de ajudar meus companheiros de navio a caçar adversários maliciosos!

Ao cumprir minha missão, pensei na frase “fechar as escotilhas”. Originou-se no 19^o século em que, no início de uma grande tempestade ou outro risco de vazamento de água, os capitães dos navios ordenavam que sua tripulação fechasse todas as portas do navio e as bloqueasse com varas de madeira ou “ripas”. Hoje, essa frase é uma metáfora da sabedoria de tomar medidas imediatas e decisivas no início de qualquer grande risco.

Percebi que todos os especialistas de elite em tecnologia e caça a ameaças da McCloy's correriam o risco de falhar em sua missão se as escotilhas da McCloy's não existissem para protegê-los. Graças à arquitetura de segmentação embutida do McCloy e às escotilhas que funcionam bem, uma brecha no casco não se transformaria em propagação lateral de água de corredor em corredor e de sala em sala, afundando o navio.

O equivalente cibernético de fechar as escotilhas

No filme de 1990 “The Hunt for Red October”, o Red October era um submarino russo com a mais avançada tecnologia de detecção e prevenção. No equivalente cibernético atual, não estamos caçando submarinos indescritíveis, mas sim adversários cibernéticos cada vez mais furtivos e sofisticados em redes eletrônicas.

Os caçadores de ameaças cibernéticas devem segmentar suas redes com “escotilhas” eletrônicas para evitar o movimento lateral de intrusões. Se você tiver uma violação na sua rede, não quer que o malware ou o ransomware se espalhe, e é por isso que você deve dividir a rede em compartimentos individuais que funcionam como barreiras.

A segmentação é uma ferramenta de segurança, além da detecção e resposta gerenciadas (MDR), que Os MSSPs podem oferecer como um serviço, Segmentação Zero Trust como serviço.

Em meu próximo blog, explicarei melhor por que a segmentação (e, mais especificamente, a segmentação baseada em host) é um complemento perfeito para uma detecção e resposta gerenciadas robustas. Não é bom apenas para clientes MSSP, mas também para o MSSP.