A âncora do Enterprise Security é popularmente conhecida como "Defesa em profundidade" arquitetura. A Defesa em Profundidade (DID) é um conceito defensivo clássico usado nas forças armadas que encontrou aceitação na comunidade Infosec no início dos anos 2000. A implementação/versão do DID da Infosec evoluiu para lidar com as ameaças à medida que o cenário de ameaças progredia ao longo do tempo.
Antes do advento da internet, os computadores tinham apenas proteção antivírus porque a principal ameaça eram os vírus. Os vírus foram transferidos pela mídia (disquete, etc.). Com a internet, todos os computadores estavam conectados e ameaças como worms se espalhavam pelas redes, então precisávamos proteger as redes, e precisávamos policiar quem entrava nas redes em primeiro lugar, e assim por diante.
Em sua forma atual, a arquitetura DID cresceu para acomodar muitas camadas e ainda está evoluindo. Assim, a arquitetura DID se traduziu em segurança em camadas – Perímetro, Rede, Endpoint, Aplicativo, Usuário, Dados, Políticas, etc. Para cada camada, foi desenvolvido um controle separado e distinto para proteção contra ameaças àquela camada. Por exemplo, os controles técnicos de segurança incluíam soluções como Firewalls, Gateways Web Seguros, IDS/IPS, EDR, DLP, WAF e anti-malware produtos.
Além de implantar a solução de segurança em camadas para o cenário de ameaças em evolução ao longo do tempo, as soluções eram de propriedade, gerenciadas e operadas por diferentes grupos dentro da empresa. Por exemplo, o Solução de firewall era de propriedade da equipe de infraestrutura sob TI. Outro grupo era proprietário da solução de e-mail e outro grupo era proprietário da solução de segurança de endpoint. Isso criou uma solução em camadas que existia independentemente de todas as outras soluções. Assim, o conceito de uma solução autônoma com todos os aprendizados ficou dentro da equipe responsável por ela – em um silo.
Outro atributo único, as melhores soluções, também caracterizou a solução em camadas. Como as soluções evoluíram, a inovação veio de diferentes fontes e disciplinas, e um conjunto diferente de fornecedores forneceu cada nova camada de solução.
A abordagem de segurança DID ou em camadas funcionou bem para ameaças de vetor único, ou seja, quando a ameaça entrou e saiu no mesmo vetor. Um exemplo clássico dessas primeiras ameaças são os ataques baseados em redes detectados por IDS / IPS, ameaças de e-mail como Spam por gateways de e-mail, etc.
No entanto, à medida que as ameaças se tornam mais complexas e o advento de ferramentas automatizadas de geração de malware, Botnet e programação remota, o modelo de segurança em camadas está desmoronando. Isso ocorre porque a suposição inerente à segurança em camadas – que todas as proteções e controles estão perfeitamente alinhados para detectar todas as ameaças e não há pontos cegos – está se provando falsa. Existem pontos cegos que nenhum dos controles tem visibilidade. Como resultado, os invasores estão usando os pontos cegos a seu favor, dificultando a detecção dessas atividades maliciosas.
A partir de nossa experiência em lidar com uma ameaça multivetorial, fica claro que todos os controles envolvidos em uma ameaça multivetorial têm visibilidade apenas de seus silos e nada além disso. Lembre-se de que isso ocorre por design e pela forma como a solução atual foi criada.
Além disso, toda a configuração subjacente de infraestruturas separadas, silos de dados e mecanismo de resposta significa que gerenciar o controle diretamente é um problema de segunda ordem (n**2 – n). No entanto, ter uma camada em cima de tudo para funcionar é um problema de primeira ordem (2n) a ser resolvido.
As opções para abordar os pontos cegos são as seguintes:
- Faça com que cada controle cubra seu vizinho que não tem interesse em fazer.
- Contrate mais analistas para estender a visibilidade além dos silos manualmente
- Obtenha uma ferramenta que pode fornecer visibilidade dos controles e seus dados nos silos e detectar essas ameaças multivetoriais usando coleta, correlação, detecção e resposta automatizadas de dados.
Se você escolheu a opção 3, acertou!
Não importa o nome, a solução no nº 3 é um envelope que abrange todos os controles para detectar, correlacionar, coordenar e fornecer ações de resposta para ameaças nos silos.
E essa é a maneira mais eficiente de otimizar sistemas de segurança em camadas com vários controles.
Seu nome é Open XDR.
Open XDR é o tecido conjuntivo entre os controles de segurança projetados para permitir que as equipes de segurança compreendam as grandes quantidades de dados gerados por seus controles de segurança. A razão pela qual é chamado de “Aberto” não é trivial; é uma característica definidora da solução. Open XDRs pode ingerir dados de qualquer controle de segurança, incluindo qualquer EDR uma organização implantou. Em seguida, o uso de recursos de detecção específicos pode eliminar essas ameaças multivetoriais que podem levar sua organização à primeira página do jornal (ou site de notícias) se não forem detectadas.
Embora não haja bala de prata na defesa cibernética, Open XDR é uma nova abordagem promissora para a segurança que minimiza os pontos cegos e torna a equipe de segurança mais eficaz.
