As circunstâncias extraordinárias que estamos a viver actualmente, colocaram uma pressão repentina sobre a componente digital e da sua importância no dia a dia dos cidadãos e das empresas. O teletrabalho, a crescente necessidade de mobilidade e a multiplicidade de arquitecturas e soluções existentes para atender essas mesmas necessidades leva a uma variedade de cenários de ataque e defesa elevadíssima. Hoje em dia não é tanto o “se” mas sim o “quando” é que um ciberataque irá acontecer, e, daí vem que transversalmente a qualquer arquitectura ou solução, a Ciber-Resiliência estabelece-se como o novo paradigma.
O crescente do número de ataques cibernéticos – como ransomware, fuga e publicação de dados confidenciais – mostra que é imperativo haver uma mudança na abordagem, como a segurança digital é implementada nas organizações, porque não bastam apenas as novas tecnologias para enfrentar os desafios. É necessária uma combinação harmoniosa entre tecnologias, processos de monitorização contínua, face às ameaças externas e internas, e a capacidade de responder e gerir os quase inevitáveis ataques.
As Pequenas e Médias Empresas (PME) estão muito expostas, não apenas por terem as mesmas necessidades das grandes empresas, mas principalmente pela falta de recursos especializados para lidar com segurança digital. A variedade de tecnologias que as PMEs muitas vezes possuem, aliada à falta de tempo e recursos, faz com que existam sistemas descontinuados, dispositivos sem as últimas actualizações de segurança, más práticas na gestão dos privilégios e na identificação dos utilizadores, entre outros cenários que irão afectar a segurança da sua informação e causar danos reputacionais muitas vezes irrecuperáveis.
Atualmente, o mercado de Gestão de Segurança da Informação, conhecido como Managed Security Services (MSS) é baseado na gestão e operacionalização de ferramentas de segurança, onde equipas locais ou remotas gerem as plataformas de segurança da organização. Esta gestão baseia-se num processo de ‘acção – reacção’ pouco eficiente e eficaz, geralmente lento e baseado em prioridades e tempos de resposta definidos pelas próprias organizações.
No entanto, começa a surgir uma tendência para que essas equipas passem a trabalhar, não numa perspectiva baseada em ferramentas, mas numa perspectiva baseada em capacidades.
Esta mudança de paradigma tem a designação de MDR (Managed Detection and Response). O MDR não trata de terceirizar a gestão dos sistemas de cibersegurança – por exemplo dos Firewalls, SIEM’s, NAC, Anti-vírus, entre outros – mas sim de encontrar, gerir e tratar dos 10% de problemas que são ignorados pela segurança tradicional de uma forma preemptiva. Isso significa, entre outros, alterar o modo como as ferramentas recolhem e processam os dados para responder de forma pronta e eficaz aos eventos de segurança. Com esta abordagem, é possível diminuir drasticamente o tempo de detecção e resposta de um evento de segurança, sendo que o mercado aponta para um tempo médio de 200 dias no caso do MSS e de algumas horas no caso do MDR.
Sendo o MDR uma solução de Operações de Cibersegurança (SecOps) focada na operacionalização de resposta a incidentes e/ou detecção de intrusões, o seu objectivo é monitorizar a infraestrutura tecnológica dando a devida resposta aos incidentes de segurança, assegurando assim a confidencialidade, disponibilidade e integridade dos dados e a não-violação dos perímetros de segurança.
Sublinha-se que a solução de MDR a adoptar não deve focar-se apenas numa tecnologia (por exemplo, a protecção de endpoints) mas deve seguir uma abordagem holística e contínua, assente num processo simples, mas rigoroso de gestão de eventos e incidentes de segurança.
O MDR não só necessita de uma stack tecnológica adequada, mas também de uma capacidade
pró-activa de ciber inteligência para precaver possíveis ameaças e enriquecer/alimentar os mecanismos de reacção contra as mesmas. Tal capacidade é construída com base em informação concreta referente às técnicas, tácticas e procedimentos utilizados por atacantes ou grupos de atacantes activos na Internet. A ciber inteligência permite efectuar uma análise pró-activa e uma correlação automatizada entre ameaças externas e internas de forma a antecipar possíveis ataques, alargando a superfície de detecção e a diminuição do tempo de reacção a novos vectores de ataque.
Soluções MDR como a aqui brevemente descrita, tornam efectivamente as organizações mais resilientes à crescente tendência de ciberataques nesta nova economia digital.
A 27 de Novembro de 2020, foi publicada no Jornal Expresso a notícia que a rede de restaurantes Portugália foi alvo de um ataque informático, montado a partir do Gana, tendo sido roubados 2,5 milhões de euros de uma conta bancária do grupo.
Este é um exemplo onde se percebe facilmente que uma solução de MDR teria possivelmente prevenido e certamente minimizado o impacto do ataque informático realizado a essa organização.
Com soluções tendencialmente mais eficientes em termos de custo, portanto mais baratas, poder-se-ia justificar que um pequeno investimento em cibersegurança teria sido benéfico para esta organização (e muitas outras).
Caso queiram colocar alguma questão,
mbrown@cipher.com