Relatório do escritório do diretor de tecnologia
Modernização da TI: transição da segurança para o gerenciamento de riscos
Adotar uma abordagem baseada em riscos para a segurança requer uma mudança significativa na maneira como pensamos sobre a segurança e ativos digitais. Mas essa mudança é necessária devido à rápida evolução das ameaças digitais e à incapacidade dos modelos de segurança existentes de mitigá-las, ou de, sequer, acompanhá-las.
De pacotes para cargas úteis a processos
Estruturas de arquitetura corporativa tradicionais foram criadas sem a segurança em mente. É uma verdade absoluta que a segurança, em geral, é uma consideração posterior, sendo desenvolvida amplamente em um modelo reativo. Ou seja, agentes mal intencionados criavam ataques para os quais fornecedores e líderes de tecnologia criavam mitigações. Isso ocorre devido à natureza da transformação digital. Em seus estágios iniciais, o foco estava na geração de produtividade e eficiência por meio de aplicações. Essas aplicações eram, em sua maioria, fixas e estáticas, residindo em um data center isolado. Havia pouco risco de ataque externo porque não havia pontos de entrada no data center até que a era da Internet surgiu.
Em sua forma inicial, a segurança se concentrava em proteger aplicações expostas na Internet nas camadas mais baixas da pilha da tecnologia: a rede. Muitos pacotes por segundo indicavam algum tipo de ataque de negação de serviço. A resposta da segurança? Firewalls capazes de bloquear a origem do ataque. Portas e protocolos se tornaram a base para as políticas de segurança, com limites baseados no volume e na velocidade dos pacotes que tentavam usar alguma aplicação. O foco da segurança nesse estágio era evitar a interrupção cortando um ataque usando regras estáticas simples.
Os ataques evoluíram rapidamente face a uma forte defesa. À medida que as aplicações se tornaram mais ricas e mais capazes, os invasores descobriram vulnerabilidades em pilhas de software. A indústria começou a ver ataques integrados na carga útil de mensagens trocadas entre usuários e aplicações, cada um deles buscando explorar alguma vulnerabilidade conhecida que causaria um apagão, ofereceria acesso não autorizado ou exfiltraria dados. A indústria da segurança, novamente, respondeu a essas novas formas de ataque criando soluções capazes de detectar e neutralizar ataques integrados. O foco da segurança nesse estágio era detectar e neutralizar ataques integrados em transações.
À medida que a economia digital se expandia, se aprofundando e ampliando em cada aspecto de nossas vidas, a oportunidade para invasores também se expandia. O valor dos dados e o acesso a contas corporativas e de consumidores crescia exponencialmente. Por exemplo, uma estimativa de milhares de contas de videogame de empresas como Steam, EA Sports e Epic “são roubadas todos os meses, com bancos de dados de contas em massa negociados em canais privados do Telegram por quantias entre US$ 10.000 e US$ 40.000” (BitDefender). Hoje, a tomada de controle de contas está desenfreada em todos os setores, de jogos a serviços financeiros, de saúde e governamentais. Durante o ano de 2021, estima-se que as fraudes custaram para o governo dos EUA 87 bilhões de dólares em benefícios federais (CNBC). A perda é atribuída principalmente ao programa de desemprego pela pandemia, que foi amplamente operado por meio de serviços digitais.
O desenvolvimento de bots especializados projetados para ajudar consumidores a adquirir um exemplar de uma versão limitada de produtos está crescendo. Esses bots aproveitam a tecnologia e a velocidade para garantir que os consumidores possam adquirir um produto online em menos tempo que um ser humano precisa para selecionar o tamanho e a cor certa. Apresentados como uma tecnologia de ajuda para consumidores, esses bots foram quase que imediatamente utilizados por agentes mal intencionados para esgotar rapidamente recursos com a finalidade de revender por um preço maior. Bots de tênis, bots de presentes de natal e outros bots especializados buscam cada vez mais produtos e fornecedores específicos de alta demanda.
“Graças aos sites de revenda como StockX e GOAT, os tênis colecionáveis se tornaram uma classe de ativo, em que o preço corresponde superficialmente à velocidade com que um item esgota. Bots de tênis sofisticados, que podem custar milhares de dólares, são o segredo para criar a escassez artificial que torna um tênis valiosos e, por sua vez, faz uma marca parecer legal.” (New York Times)
A indústria da segurança deve responder agora a ataques que miram processos comerciais, como o login em um serviço ou a compra de produtos, além dos ataques existentes que miram aplicações e serviços de rede. Métodos tradicionais de inspeção e avaliação são incapazes de detectar ataques contra processos de negócios legítimos. Eles não são vulnerabilidades nem estão sujeitos a explorações de protocolos. Esses são processos expostos como uma capacidade digital que é vulnerável à exploração por pessoas com os meios para obter, ou o dinheiro para comprar, o conjunto certo de credenciais.
As ferramentas que protegem os processos também devem ser capazes de diferenciar entre consumidores humanos e software. Essa tarefa fica mais difícil pela realidade como o software (como bots) é usado por consumidores que buscam eficiência e invasores que buscam vantagem. A segurança deve evoluir novamente e, dessa vez, deve mudar rumo ao gerenciamento de riscos.
Adotar uma abordagem de gerenciamento de riscos não significa abandonar iterações de segurança anteriores. Na verdade, os ataques em cada camada da pilha de tecnologia são constantes e devem ser corrigidos. Uma abordagem de gerenciamento de riscos não exclui o uso de tecnologias para impedir ataques volumétricos ou aqueles fornecidos por conteúdo mal intencionado. Uma abordagem de gerenciamento de riscos não se concentra tanto nos detalhes da implementação quanto se concentra em como as ameaças são identificadas e o risco é determinado.
Ao abordar a segurança com uma mentalidade baseada em riscos, as organizações podem se distanciar de respostas frenéticas a ataques. Em vez disso, elas podem tomar decisões de segurança deliberadamente que estejam alinhadas com os resultados comerciais e considerar a tolerância aos riscos dos negócios.
Modernização da segurança: mudando para o gerenciamento de riscos
As empresas digitais de hoje se conectam com clientes e parceiros fornecendo experiências digitais mediadas por aplicações modernas. Portanto, a proteção das aplicações é crucial para a tarefa de modernização da segurança. Essas aplicações — e, no próximo nível da granularidade, as cargas de trabalho e serviços que são seus blocos de construção — agregam valor ao criar, enriquecer e/ou fornecer acesso aos ativos digitais da empresa de uma maneira ou de outra; assim, elas são o foco central de uma mentalidade de segurança moderna. A cibersegurança, como ela é comumente chamada hoje, se concentra basicamente na proteção das aplicações e das APIs que expõem essas aplicações para conectar usuários de todos os tipos aos ativos digitais que impulsionam um negócio digital.
Líderes de tecnologia conhecem muito bem as ferramentas e técnicas necessárias para implementar a segurança reativa e proativa. A pergunta é: “como você muda sua organização para uma abordagem baseada na avaliação dos riscos que depende amplamente da identidade e de ativos?”
Há duas tecnologias essenciais para essa mudança: autenticação e controle de acesso. A autenticação fornece políticas com o componente de identidade, enquanto o controle de acesso fornece a governança de ativos digitais.
Autenticação é, essencialmente, o processo de determinar e verificar a identidade de um consumidor de aplicação. No passado, eles eram principalmente humanos que buscavam acesso a aplicações monolíticas que residiam em um data center privado. Como resultado, todos os sistemas e serviços de autenticação residiam dentro desse mesmo data center. Hoje, aplicações modernas usam uma arquitetura distribuída e APIs expostas; portanto, a autenticação deve evoluir. Agora a autenticação deve reconhecer não apenas consumidores humanos, mas também proxies humanos como agentes automatizados. Além disso, como as aplicações distribuídas são compostas por serviços com origem em diversas nuvens, a autenticação deve existir em um mundo de armazenamentos de identidade entre empresas federados. Resumidamente, embora a autenticação ainda seja um elemento essencial da defesa básica, a natureza expandida dos serviços digitais de hoje requer uma visão evoluída da identidade e da maneira como a identidade é validada.
Controle de acesso tem sido e continua sendo o processo de determinação de quem, ou o que, pode acessar o recurso de uma empresa. Mas, assim como com a autenticação, a funcionalidade exigida pelo controle de acesso também evoluiu junto com aplicações corporativas. As primeiras versões do controle de acesso estavam na camada da rede; possíveis consumidores da aplicação estavam “dentro” ou “fora” de um perímetro definido pelos endereços IP da rede. Mas hoje, com consumidores móveis acessando aplicações distribuídas fornecidas em diversos pontos de entrega, não há um perímetro puro e estático para definir a noção de dentro e fora. Portanto, o controle de acesso deve ser expressado em termos de identidade do usuário, conforme validado pela autenticação. Consumidores de aplicações modernas não podem mais ser separados com base no local de rede, mas são classificados com base em sua identidade.
Essas tecnologias, quando combinadas com um inventário completo de todos os principais ativos digitais, podem ser usadas para execução em decisões feitas em relação ao risco da concessão do acesso a um determinado ativo. Essas decisões são baseadas em uma compreensão de como esses ativos são expostos em conjunto com a quem esses ativos devem, ou não, ser expostos.
Assim, a primeira etapa na modernização da segurança é criar ou aprimorar o inventário de ativos com foco nos meios pelos quais esses ativos são acessados e porquê. Além disso, os líderes de tecnologia devem ter em mente que essas aplicações são os meios principais pelos quais todos os dados são acessados e, portanto, o inventário também deve ser capaz de mapear ativos para essas aplicações que interagem com eles.
Em seguida, os líderes de tecnologia precisarão colaborar com líderes comerciais para estabelecer perfis de risco/recompensa para os principais ativos. Os perfis de risco/recompensa resultantes devem alinhar as ações de segurança com os resultados comerciais. Por exemplo, a pesquisa da AiteNovarica demonstra que “comerciantes perdem 75 vezes mais receita para negações falsas do que para fraudes”, fazendo com que o risco do que é conhecido como uma falsa negação potencialmente se sobreponha ao risco de permitir uma transação.
Portanto, as interações relacionadas a essa transação devem ser permitidas ou negadas com base na tolerância aos riscos da organização. Fatores que podem influenciar a decisão incluem o valor da transação e a certeza associada à legitimidade do usuário. O sistema está 50% certo de que o usuário é legítimo? A certeza é maior? Menor? Cada organização determinará sua tolerância aos riscos e, com base nessa tolerância, ajustará seus perfis para aplicar a segurança dentro desses limites. Um perfil de risco/recompensa orienta humanos e sistemas a determinar como abordar possíveis riscos. Organizações mais avessas ao risco tenderão a classificar os riscos como mais altos e a aplicar controles para evitá-los. Por outro lado, organizações com uma tolerância maior aos riscos classificarão a recompensa como um fator maior na determinação de como aplicar os controles de segurança.
Aqui, a granularidade — da avaliação no nível transacional — implica a capacidade de avaliar continuamente interações digitais e adaptar decisões de segurança com base no contexto em tempo real conforme avaliado em relação às políticas. Essa abordagem é uma capacidade essencial de abordagens Zero Trust, pois são as principais tecnologias usadas para aplicar decisões: autenticação (quem) e controle de acesso (o que), conforme descrito neste white paper, Segurança do Zero Trust: qual a importância do Zero Trust (além do simples acesso).”
A capacidade de avaliar continuamente interações digitais depende de uma estratégia de observabilidade e dados de nível corporativo, ou seja, a organização tem uma estratégia e está se movendo para permitir a observabilidade de toda a pilha além de um meio de conectar e correlacionar interações entre armazenamentos diferentes se não estiver centralizando dados em um único local.
Assim, uma mudança para o gerenciamento de riscos gira em torno da adoção de três tecnologias específicas: identidade, observabilidade e controle de acesso com uma abordagem Zero Trust abrangente governando a execução.
A modernização da TI deve incluir a segurança
Um recurso essencial de um negócio digital é a segurança — a segurança de seus ativos digitais, de seus dados e das informações financeiras e pessoais de seus clientes.
Em um negócio digital, quase todas as interações são realizadas digitalmente e, portanto, a segurança deve ser um cidadão de primeira classe dos negócios e, para a TI, da arquitetura da empresa. Para a maioria dos casos, isso significará avaliar as práticas de segurança, ferramentas e políticas — muitas pessoas fazem isso de maneira personalizada para combater ataques que surgem e ameaças emergentes — com atenção em sua relevância em um ambiente principalmente digital. Uma abordagem mais deliberada e abrangente será necessária para proteger completamente todos ativos digitais e interações necessários para a organização prosperar em uma economia digital.
Muitas das facetas da operação como um negócio digital não foram consideradas quando as organizações colocaram suas bases tecnológicas em vigor na forma de uma arquitetura corporativa. A segurança é uma dessas facetas menos consideradas.
À medida que avançamos rapidamente rumo a um mundo onde o digital é o padrão, é necessário que as organizações modernizem a TI para suportar e permitir o ritmo da mudança e da tomada de decisões sobre os dados necessário para prosperar no futuro. Uma etapa significativa é a modernização da arquitetura corporativa. Isso deve incluir uma abordagem mais dominante, abrangente e, definitivamente, mais adaptada em relação à segurança: uma abordagem de gerenciamento de riscos.
Para saber mais sobre a modernização da arquitetura, em especial a segurança, para atender a negócios digitais, confira nosso novo livro O’Reilly, “Arquitetura corporativa para negócios digitais”.