A hora de racionalizar as camadas de proteção de segurança

A hora de racionalizar as camadas de proteção de segurança. Depois de anos da equipe de TI batendo com a cabeça contra a parede, o grande volume de hacks e violações de dados chegando às manchetes quase diariamente obrigou os executivos seniores a se sentarem e prestarem atenção. Tornou-se inegável que toda organização corria o risco de uma violação e que um ataque bem-sucedido poderia resultar em danos financeiros e de reputação significativos.

Como resultado, as empresas investiram em uma variedade de ferramentas e soluções, na tentativa de se proteger contra todo e qualquer tipo de ataque. No entanto, estamos começando a ver uma mudança no mercado à medida que os CISOs e os gerentes de segurança estão deixando de comprar cada vez mais soluções e, ao invés disso, estão se concentrando na consolidação e simplificação de suas soluções de segurança.

A correlação entre soluções “Single-point” e falsos positivos

Hoje, quando um CISO se junta a uma nova empresa, eles herdam um portfólio de soluções que geram mais ruído do que uma equipe de segurança poderia gerenciar.

A primeira geração de ferramentas de segurança foram soluções “single-point”, protegendo um único vetor. Para se proteger de um ataque crítico, as organizações foram obrigadas a adquirir dezenas delas e costurá-las para criar uma colcha de retalhos de soluções que protegessem seus negócios e funcionários.

Como muitas soluções desse tipo tomam decisões baseadas em um único ponto de inteligência, elas tendem a errar do lado da precaução, levantando um alerta toda vez que percebem algo incomum. No entanto, sem qualquer grau de certeza de que o que eles viram é realmente malicioso, muitos dos alertas levantados serão falsos positivos.

O resultado, são mais alertas de segurança do que a equipe de segurança  poderia esperar investigar, o que é prejudicial tanto para a segurança da organização – como as verdadeiras ameaças se tornam uma agulha no palheiro – quanto para a qualidade do trabalho das pessoas encarregadas investigando alertas.

A título de ilustração, a InfoSecurity Magazine cita que uma empresa típica empregará entre 10 e 50 ferramentas de segurança diferentes. Estas ferramentas criarão uma média de 17.000 alertas por semana , aos quais as equipes de segurança terão que reagir. Apenas 16% desses alertas são considerados confiáveis, no entanto; Investigar esse enorme volume de falsos positivos pode levar até 21.000 horas, custando à organização média cerca de 1 milhão de libras (mais de R$5 Milhões) por ano. 

A tarefa de investigar alertas é especialmente complicada pelo fato de que, com soluções de “single-point“, os dados são freqüentemente isolados dentro da solução e não podem ser referenciados ou facilmente extraídos. Não há dúvida de que a abordagem de patchwork para proteção era melhor do que nenhuma proteção. Mas os tempos mudaram e os CISOs estão agora procurando encontrar uma maneira de reduzir o ruído e melhorar a eficiência de sua postura geral de segurança.

Racionalizando a Segurança Cibernética

As organizações estão agora trabalhando para racionalizar suas soluções de segurança, reduzindo para aquelas que podem fornecer informações confiáveis ​​e contexto para os ataques. Isso significa que a economia da segurança está mudando. Os produtos de “Single-point” não estão mais em voga, em vez disso, as organizações desejam menos soluções e priorizam as que reduzem o ruído e ajudam os analistas a identificar ameaças reais.

Pelo que vale a pena, acreditamos que a indústria se consolidará em três camadas principais. Uma boa camada de coleta e agregação de registros, uma boa camada de Gerenciamento de Identidade e Acesso e uma camada de detecção e resposta a ameaças cibernéticas. A camada de detecção e resposta a ameaças cibernéticas deve ser capaz de acessar todas as camadas da pilha de tecnologia para conduzir a detecção de ameaças cibernéticas e a resposta autônoma.

O maior nível de precisão proporcionado por essa abordagem em três frentes significa que os CISOs e suas equipes de segurança enfrentarão menos alertas falsos positivos, permitindo que dediquem mais tempo para lidar com ameaças reais antes que se tornem um problema.

Quando se trata de parar os ataques cibernéticos à medida que crescem em número e sofisticação, menos é mais. Mais soluções de segurança levam a mais ruído, sobrecarregando os analistas encarregados de proteger uma organização. Em um ambiente cada vez mais caótico, a simplificação e a consolidação são o melhor meio de proporcionar maior eficiência, maior precisão e maior segurança geral.

A arquitetura de proteção de Endpoint da CrowdStrike

Buscando atender a esta mudança e consolidação das ferramentas de proteção a CrowdStrike projetou uma nova abordagem e arquitetura para superar as limitações das soluções de segurança de terminais existentes e fornecer proteção de endpoint de próxima geração:

  • Veja o quadro geral em vez de se concentrar em desafios pontuais, como malware, e evite ficar cego por ataques sem malware
  • Obtenha a escalabilidade, adaptabilidade e velocidade necessárias para derrotar as ferramentas e técnicas em constante mudança dos invasores
  • Operacionalize em horas e liberte sua equipe da esteira de implantação, manutenção e atualizações
  • Use pessoas, processos, tecnologia e inteligência em conjunto para obter a proteção mais eficaz

É por isso que a CrowdStrike projetou uma nova abordagem e arquitetura para eliminar essas falhas e fornecer proteção de terminal de próxima geração.

A plataforma CrowdStrike Falcon® é pioneira na proteção de endpoints gerenciados a partir da nuvem. Ele fornece e unifica Higiene TI, antivírus de última geração, detecção e resposta de endpoint (EDR), gerenciamento de ameaças e inteligência de ameaças – tudo entregue por meio de um único agente leve.

Usando sua arquitetura nativa em nuvem, a plataforma Falcon coleta e analisa mais de 1 trilhão de eventos de terminal por semana a partir de milhões de sensores implantados em 176 países.

A plataforma CrowdStrike FALCON utiliza a solução “CLOUD-DELIVERED ENDPOINT PROTECTION” onde toda a distribuição e gerenciamento é feita a partir da nuvem e graças a sua inovadora tecnologia apresenta baixíssimo consumo dos links de comunicação.

A nuvem CrowdStrike entrega solução de proteção de endpoints que impede, detecta e responde a ataques em tempo real, enquanto dá a visibilidade completa em atividades relacionadas a tais ataques. Falcon Platform basicamente envolve 2 peças:

  • Sensor Falcon (Agente)
  • Plataforma Falcon (CrowdStrike Cloud)

O Sensor Falcon (pequeno e leve) e a nuvem (grande e potente) funcionam perfeitamente para oferecer proteção e visibilidade em tempo real, mesmo quando o agente não está conectado à Internet.

A simplicidade da arquitetura do CrowdStrike finalmente lhe dá a liberdade de substituir e retirar as camadas de segurança complicadas que roubam o desempenho que entulham seu ambiente.

CrowdStrike Falcon

A plataforma CrowdStrike Falcon® é pioneira na proteção de endpoints e servidores gerenciados a partir da nuvem. Ele fornece e unifica IT Hygiene, antivírus de última geração, detecção e resposta de endpoint (EDR), gerenciamento de ameaças e inteligência de ameaças – tudo entregue por meio de um único agente muito leve. Usando sua arquitetura nativa em nuvem, a plataforma Falcon coleta e analisa mais de 1 trilhão de eventos de terminal por semana a partir de milhões de sensores implantados em 176 países.

  • FALCON DISCOVER

IT Hygiene – O Falcon Discover identifica sistemas não autorizados e aplicações em qualquer lugar em seu ambiente, em tempo real, permitindo uma correção mais rápida para melhorar sua postura de segurança

  • FALCON PREVENT

Next-Generation Antivirus (NGAV) – O Falcon Prevent protege contra ataques de malware e malware-free e é testado e certificado por terceiros, permitindo organizações substituir seu AV de forma rápida e simples.

  • FALCON INSIGHT

Endpoint Detection & Response (EDR) – O Falcon Insight fornece uma visibilidade do endpoint contínua e abrangente, que incluí detecção, resposta e análise forense, para garantir que nada é perdido e possíveis violações possam ser interrompidas.

  • FALCON OVERWATCH

Managed Threat Hunting – A equipe 24/7 do Falcon OverWatch aumenta seus recursos internos de segurança para identificar atividades maliciosas no primeiro estágio possível, impedindo adversários sigam em suas infiltrações.

  • FALCON INTELLIGENCE

Threat Intelligence – A Falcon Intelligence rastreia a atividade adversária de forma global, fornecendo relatórios e análises customizados e acionáveis que podem ser operacionalizados facilmente para melhorar sua postura geral de segurança.

  • FALCON DEVICE CONTROL

Device Control Habilita o uso seguro e responsável de dispositivos USB com total visibilidade e controle preciso e granular da utilização de dispositivos USB

Sem a necessidade de fazer download de assinaturas constantemente, consumindo larga faixa de banda nos links de comunicação, o agente Falcon (pequeno e leve) e a nuvem (grande e potente) funcionam perfeitamente para oferecer proteção e visibilidade em tempo real, mesmo quando o agente não está conectado à Internet. A simplicidade da arquitetura do CrowdStrike finalmente lhe dá a liberdade de substituir e retirar as camadas de segurança complicadas que roubam o desempenho que entulham seu ambiente.

A plataforma Foalcon oferece:

  • Monitoramento contínuo – no Windows, macOS e Linux
  • Sempre protegido sem atualizações de assinaturas problemáticas
  • Identifique sistemas e aplicativos não autorizados em tempo real
  • Obtenha informações sobre os adversários que atacam seus endpoints
  • Evite ataques sofisticados instantaneamente – diretamente no endopoint

Clique e contate a MindSec para obter mais informações e conferir todo o potencial da ferramenta CrowdStrike

Fonte: InfoSecurity Magazine & Blog Minuto da Segurança

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Segurança Cibernética e sua Carreira

Deixe sua opinião!