O cenário atual do mercado de segurança cibernética
O mercado de segurança cibernética, embora movido por um objetivo comum de proteção, apresenta uma diversidade de abordagens. Observa-se a coexistência de duas correntes distintas: uma que confia na inviolabilidade de suas barreiras de segurança e outra que adota a filosofia do “Assume Breach“, que considera a possibilidade de que os atacantes já tenham conseguido ultrapassar as defesas.
A forma como um CISO ou um conselho administrativo lida com essa dualidade influencia a cultura de segurança da organização, impactando diretamente a eficácia das estratégias de defesa e a alocação do orçamento destinado à segurança cibernética.
O que o mercado está mostrando?
A adoção do modelo “Assume Breach” não é uma novidade, mas uma resposta prática ao aumento das ameaças cibernéticas. Essa abordagem se fundamenta em alguns pontos críticos:
- Ataques a credenciais: A maioria dos incidentes não resulta da exploração de vulnerabilidades complexas, mas do uso de logins e senhas legítimas que foram comprometidas.
- Ameaças silenciosas: O tempo médio que um atacante permanece na rede antes de ser detectado é elevado, utilizando ferramentas administrativas para evitar alertas de segurança.
- Detecção de borda ineficaz: Quando um ataque se assemelha ao comportamento legítimo de um usuário, as ferramentas de segurança têm dificuldade em identificar a ameaça.
Assim, a questão se transforma: em vez de perguntar “como impedimos a entrada?”, a nova indagação é “o que devemos monitorar se eles já estiverem aqui?”.
O que significa, na prática, a abordagem “Assume Breach”?
É importante esclarecer o que essa abordagem não representa:
- Não implica aceitar que dados foram comprometidos ou que a segurança foi violada.
- Não significa abandonar investimentos em prevenção e controles básicos, como atualizações e autenticação multifator.
- Não se trata de uma postura reativa.
Por outro lado, o que realmente representa essa abordagem inclui:
- Reconhecimento de que a prevenção 100% eficaz é uma meta irrealista.
- Desenvolvimento de controles de segurança com a consciência de que falhas são inevitáveis.
- Foco na resiliência, que envolve visibilidade, segmentação para limitar impactos e agilidade na resposta a incidentes.
Portanto, “Assume Breach” não é um sinal de falha na defesa, mas um reconhecimento das limitações da detecção preventiva.
O que muda com a adoção dessa premissa?
- Arquitetura: Adoção de micro-segmentação e arquitetura de confiança zero, além de controles para evitar movimentação lateral.
- SOC e Monitoramento: Menor ênfase no volume de alertas e maior foco em correlações e comportamentos suspeitos.
- Gestão de Identidade: Monitoramento contínuo do comportamento das identidades dentro da rede.
- Resposta a Incidentes: Desenvolvimento de cenários para contenção rápida, visando reduzir o tempo de resposta.
A segurança cibernética moderna vai além de ferramentas e controles; é um processo baseado na gestão de riscos e em suposições realistas. A estratégia de defesa deve partir do reconhecimento de que as barreiras podem falhar e que a maturidade organizacional reside na capacidade de reagir rapidamente e mitigar impactos antes que se tornem críticos.
Fonte por: Its Show