- 1. Compreender a sopa de letras da segurança dos terminais
- 2. As limitações do SOAR
- 3. A história repete-se: a evolução do XDR e da gestão da identidade
- 4. Gestão das ameaças e património híbrido
- 5. As pessoas são a força motriz da XDR e da integração da identidade
- Implementar uma solução ITDR optimizada para aumentar o XDR
À medida que as empresas adoptam o trabalho híbrido e a digitalização, o ponto final e a identidade estão a aproximar-se cada vez mais. Ambas as profissões estão a evoluir e, para tirar o máximo partido desta evolução, as pessoas de ambos os lados terão de se unir. Num episódio recente do podcast Hybrid Identity Protection, discuto esta evolução com o co-fundador e COO da Remediant, Paul Lanzi. Também discutimos por que razão a integração entre XDR e identidade é um factor de mudança para as equipas de segurança modernas.
"Do ponto de vista de um profissional de identidade, a segurança dos terminais e dos servidores sempre foi, historicamente, um problema de outra pessoa. Normalmente, não tem havido muita interacção com as equipas de identidade, mas isso está a mudar. Em breve, a equipa de segurança de terminais virá falar consigo e terá de estar preparada." -Paul Lanzi, co-fundador e COO, Remediant
Leitura relacionada
1. Compreender a sopa de letras da segurança dos terminais
O sector da cibersegurança tem a reputação não merecida de estar carregado de acrónimos a um nível ridículo. É uma verdadeira sopa de letras de tecnologias, processos e sistemas. Os dois mais presentes actualmente são, sem dúvida, EDR e XDR.
A ideia básica de EDR - abreviatura de detecção e resposta de endpoint - é bastante simples. À medida que os autores de malware se tornaram mais espertos, aprenderam a contornar a detecção baseada em assinaturas e a arquitectar infecções que se podiam espalhar muito mais rapidamente do que os antivírus conseguiam lidar. A EDR surgiu como uma potencial resposta a este problema, uma solução de segurança capaz de actuar em todo um ambiente para travar os agentes de ameaças e disseminar dados de ameaças entre organizações.
A XDR, ou detecção e resposta alargadas, pretende ser uma evolução da EDR. Enquanto as soluções EDR se centram na segurança dos terminais, as soluções XDR destinam-se a explorar outras partes da pilha infosec. Infelizmente, dado que a tecnologia ainda é relativamente nova, é frequentemente utilizada como uma ferramenta de marketing.
"De acordo com Peter Firstbrook, um analista da Gartner que cobre este espaço, cerca de 80% das soluções XDR lançadas nos próximos anos não terão, de facto, capacidades XDR básicas", afirma Lanzi. "Por isso, é compreensível que ele tenha sido um pouco crítico em relação a essas abordagens apenas de marketing para uma nova categoria de produto. Mas ainda há algo a fazer".
2. As limitações do SOAR
Tal como o XDR pretende ser uma evolução do EDR, a orquestração, automatização e resposta de segurança (SOAR) pretende ser uma evolução da gestão de informações e eventos de segurança (SIEM). Enquanto o SIEM se centra essencialmente na detecção e alerta de eventos, o SOAR, pelo menos teoricamente, acrescenta capacidades de atenuação e resposta à mistura. Infelizmente, devido aos imensos recursos e conhecimentos de engenharia necessários para implementar essas capacidades, a maioria das empresas não as conseguiu concretizar.
"Penso que a hipótese é boa", reflecte Lanzi. "Se se está a integrar com uma solução para aceder aos seus feeds de eventos, porque não adicionar capacidades de resposta? A realidade é que muitos SOARs são utilizados para recolher eventos e emitir alertas semelhantes aos SIEMs, mas a parte da resposta revelou-se muito difícil de implementar para todas as empresas, excepto as maiores."
"Isto é parte do que o XDR está a tentar resolver", continua. "A promessa é que você pode tomar essas ações de resposta como parte de sua pilha de infosec, mas isso não exigirá o grau de alimentação e engenharia que uma solução SOAR exigiria. É uma integração de um clique em vez de uma implementação que requer uma equipa completa de engenharia de segurança."
3. A história repete-se: a evolução do XDR e da gestão da identidade
Actualmente, a integração entre o XDR e a gestão de identidades ainda está nas fases iniciais. Digamos, por exemplo, que a sua empresa utiliza o Active Directory e que determina que o dispositivo de um funcionário foi comprometido. Para evitar que os agentes de ameaças utilizem as credenciais desse funcionário para executar um ataque ou para se espalharem lateralmente na rede, tem a opção de utilizar o XDR para bloquear completamente a conta desse funcionário.
Não se trata exactamente do controlo minucioso a que os profissionais de identidade estão habituados, mas, de acordo com Lanzi, essa funcionalidade surgirá com o tempo, à medida que se verificarem mais pontos de integração entre soluções XDR, directórios e armazenamentos de identidade.
"É a mesma coisa que vimos nas acções de resposta a endpoints e no software antivírus antes disso", diz Lanzi. "Nos primórdios das soluções antivírus, por exemplo, era possível eliminar um ficheiro comprometido ou deixá-lo em paz e deixá-lo à solta. Isso acabou por evoluir, com novas acções como a colocação em quarentena, a remoção da infecção e a manutenção do ficheiro, e assim por diante - soluções com mais nuances do que simplesmente matar o ficheiro."
"A minha hipótese é que isto irá acelerar significativamente num futuro próximo", acrescenta. "Eu diria que nos próximos dezoito a vinte e quatro meses."
4. Gestão das ameaças e património híbrido
Existe uma grande variação na funcionalidade e nas opções de implantação no que diz respeito às soluções XDR. Essa variação é intencional. Os ecossistemas empresariais modernos são incrivelmente diversificados; alguns são exclusivamente locais, outros são baseados na nuvem e muitos são híbridos.
O que todos estes ambientes partilham é a necessidade de gestão de ameaças e o valor das capacidades de resposta de identidade nesse domínio.
"Também vimos o malware espalhar-se usando credenciais híbridas comprometidas", observa Lanzi. "Existem alguns grandes exemplos de organizações que não só têm a sua infra-estrutura local infectada, como também a sua infra-estrutura híbrida. O problema da propagação de malware por identidade existe tanto na nuvem como no local."
5. As pessoas são a força motriz da XDR e da integração da identidade
"Historicamente, os profissionais de identidade não têm tido muitos motivos para colaborar com os profissionais de segurança de terminais", conclui Lanzi. "Isso vai mudar - e é uma boa ideia estabelecer relações com antecedência. No outro dia, estava a falar com alguém sobre o facto de grande parte do trabalho que é feito nas empresas se dever às redes informais que existem e não às relações formais de comunicação."
Por outras palavras, é provável que o XDR já esteja no roteiro da sua equipa de segurança de terminais. Portanto, é crucial que os profissionais de identidade trabalhem para estabelecer um relacionamento com seus colegas agora - e não apenas para ajudar a facilitar a implementação. Ao abrir linhas de comunicação, poderá também garantir que qualquer solução XDR que a sua organização escolha funcione eficazmente com a sua pilha de identidade.
Tradicionalmente, tem havido uma grande separação entre a gestão de endpoints e a gestão de identidades. Mas, como qualquer pessoa que tenha passado algum tempo a trabalhar no sector da cibersegurança poderá atestar, a tradição não significa muito. Vivemos num mundo em que até a tecnologia mais avançada pode tornar-se obsoleta em apenas alguns anos.
Para prosperar neste mundo, nós, enquanto profissionais da identidade, temos de aceitar a mudança - e trabalhar abertamente com aqueles que a facilitam.
Implementar uma solução ITDR de ponta para aumentar o XDR
A utilização indevida de credenciais é um dos principais métodos que os atacantes utilizam para aceder aos sistemas e atingir os seus objectivos. Entre as principais prioridades dos CISO da Gartner para 2022, as soluções de deteção e resposta a ameaças de identidade (ITDR) podem aumentar o XDR com uma proteção abrangente dos sistemas de identidade. Recentemente incluída no Hype Cycle da Gartner para Operações de Segurança, a ITDR é uma categoria relativamente nova com um grupo diversificado de fornecedores e estratégias. Dê preferência a soluções ITDR que ofereçam cobertura em todo o ciclo de vida de um ataque à identidade - antes, durante e depois do ataque.
A Gartner também salienta a necessidade de se preparar para o inesperado. Por exemplo, surgirão novas explorações de dia zero contra o AD. É fundamental incluir o AD no planeamento da gestão de vulnerabilidades e ameaças e da resposta a incidentes da sua organização, e confiar nas capacidades de prevenção e detecção não é suficiente.
Certifique-se de que a sua solução ITDR consegue conter ataques com correcção automática, reverter acções maliciosas e manter-se à frente do adversário. Nos piores cenários, as soluções ITDR que incluem a recuperação de ransomware específica do AD e capacidades forenses pós-violação melhorarão significativamente a preparação cibernética.