As piores violações de segurança raramente começam com alarde. Em vez disso, os ataques mais perigosos são aqueles que escapam silenciosamente do perímetro e começam a se espalhar sem que os defensores percebam. É a quantidade de tempo que os invasores passam sob o radar do sistema que transforma uma intrusão em um desastre.
No entanto, apesar de anos de investimento em ferramentas de prevenção, ainda vemos organizações lutando constantemente para detectar e conter os invasores, uma vez lá dentro.
Vice-presidente de Estratégia Industrial da Illumio.
Muitas vezes, a lacuna não é a falta de visibilidade ou de alertas de segurança, mas sim a falta de clareza. Nos ambientes híbridos atuais, a resiliência depende menos do bloqueio de todas as ameaças e mais da detecção das disponíveis.
A lacuna entre a detecção e a visibilidade real está aumentando
Não é nenhum segredo que as equipes de segurança estão se sentindo cada vez mais sobrecarregadas e é fácil perceber o porquê quando você começa a analisar os números.
Nossa pesquisa mostra que uma organização típica é exposta a mais de 2.000 alertas todos os dias, muitos dos quais são ruídos que oferecem pouco valor real.
Os analistas passam mais de 14 horas por semana perseguindo falsos positivos, e dois terços dos líderes admitem que suas equipes não conseguem acompanhar. Alertas perdidos se traduzem em oportunidades perdidas para impedir os invasores antecipadamente.
A complexidade da instrumentação aumenta o problema. Embora a maioria das organizações hoje use múltiplas plataformas de detecção e resposta em nuvem, descobrimos que quase todas (92%) ainda relatam lacunas significativas de capacidade.
Mais dados não significam necessariamente melhor detecção, e sistemas sobrepostos criam visibilidade fragmentada e informações conflitantes. Sem um contexto significativo para unir estes sinais, os defensores são obrigados a juntar as peças de uma história em vez de ver o que é realmente importante.
Por que o movimento lateral continua sendo o ponto cego favorito do atacante
O desafio de separar o sinal do ruído é amplo para os atores da ameaça, que dependem cada vez mais de táticas baixas e baixas. Uma vez dentro de uma organização, em vez de agir imediatamente, eles tendem a percorrer a rede, aumentando privilégios, analisando cargas de trabalho e procurando sistemas confidenciais.
Pequenas interrupções neste movimento lateral transformam-se em grandes crises operacionais e continua a ser uma das fases de ataque mais difíceis de detectar.
Está valendo a pena para os ciberataques, com quase 9 em cada 10 organizações nos contando que sofreram um incidente de movimento lateral no ano passado. Em média, estas violações resultaram em mais de sete horas de inatividade, prolongando ainda mais a interrupção operacional contínua e a recuperação total.
Estes incidentes persistem porque o tráfego leste-oeste em ambientes híbridos modernos permanece pouco compreendido. Mesmo quando as organizações acreditam que estão monitorando efetivamente as comunicações internas, quase 40% desse tráfego não possui o contexto necessário para uma análise confiável.
Os invasores prosperam quando os defensores estão sobrecarregados, em dúvida ou incapazes de distinguir a atividade legítima dos primeiros sinais de uma intrusão que se espalha pela rede.
A importância da observabilidade
A defesa eficaz contra estas ameaças requer uma observabilidade profunda. Tem havido um impulso constante nessa direção por parte de órgãos da indústria, com o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido, por exemplo, emitindo recentemente orientações.
O NCSC sublinha que as organizações não podem procurar ameaças que não conseguem ver e que os indicadores tradicionais de envolvimento são insuficientes. Em vez disso, os defensores precisam de visibilidade de comportamentos, padrões, identidades, cargas de trabalho e tráfego leste-oeste para encontrar sinais sutis que revelem um invasor já em ação.
Isto é consistente com a nossa análise da falta de contexto para o tráfego interno, apesar da dependência generalizada nas capacidades de monitorização.
A observabilidade deve ir além da recolha de mais registos. É necessário compreender como os sistemas se relacionam, se comportam e mudam ao longo do tempo e conectar esses insights antes que um invasor possa fazê-lo.
Por que o contexto, a correlação e a contenção devem substituir a busca de alertas
Ao longo dos anos, vimos programas de segurança reagirem ao aumento do volume de ataques coletando mais dados. Mas longe de mantê-lo sob controle, esta abordagem muitas vezes serve apenas para aumentar a fadiga do estado de alerta.
Como grandes porções do tráfego de rede ainda carecem do contexto necessário para uma investigação significativa, os analistas analisam alertas de baixa prioridade em vez de se concentrarem no comportamento do invasor.
O que as equipes de segurança precisam é de uma visão conectada de seu ambiente, e não de sinais isolados. Modelos contextuais, como gráficos de segurança, ajudam a mapear relacionamentos entre cargas de trabalho, identidades, dispositivos e fluxos de dados.
Eles transformam indicadores dispersos numa imagem coerente. Um alerta de baixo nível em um sistema pode fazer sentido quando vinculado a comportamento suspeito em outro lugar, revelando a intenção do invasor em vez de anomalias isoladas.
Passar da busca de alertas para a compreensão dos caminhos é essencial para conter as violações. Quando os defensores conseguem ver como os sistemas interagem e onde estão os ativos mais confidenciais, eles podem identificar os caminhos que um invasor pode seguir.
Essa clareza permite que as equipes joguem com confiança, diminuindo ou interrompendo os movimentos laterais antes de expandir.
Dimensionamento responsável de IA, automação e feedback humano
À medida que os ambientes se expandem, o volume e a complexidade dos dados de segurança excedem o que os analistas humanos sozinhos conseguem lidar. É aqui que a IA e a automação desempenham um papel crítico.
Muitas organizações estão usando IA e aprendizado de máquina para melhorar a precisão das detecções e acelerar os tempos de resposta, considerando esses recursos essenciais para detectar movimentos laterais mais cedo e aliviar o fardo da fadiga de alertas.
No entanto, é um erro acreditar que investir em IA resolverá tudo sozinho. A IA é mais eficaz quando aumenta, e não substitui, a experiência humana. Os sistemas automatizados podem correlacionar sinais em ambientes híbridos, enriquecendo-os com contexto e filtrando ruídos, proporcionando aos analistas um ponto de partida mais preciso.
Combinada com uma abordagem de gráfico de segurança, por exemplo, a análise baseada em IA pode mapear continuamente todas as cargas de trabalho e conexões em tempo real, destacando padrões comportamentais que seriam impossíveis de descobrir manualmente.
Isto cria um multiplicador de força que permite decisões mais rápidas e seguras e apoia a rápida contenção exigida pela resiliência moderna.
Os gráficos de segurança alimentados por IA podem conectar os pontos dos eventos de rede e conectá-los, estabelecendo uma narrativa onde analistas humanos ocupados podem ver alertas isolados.
Por exemplo, uma carga de trabalho que acessa um banco de dados que nunca foi acessado antes pode ser redirecionada para uma identidade mal configurada, expondo um caminho de ataque que já está sendo explorado.
O que isso significa para líderes de negócios e de TI
Para os líderes, tudo começa com o reconhecimento de que a resiliência depende do que acontece após a entrada de um invasor. Isso significa investir na observabilidade em todo o conjunto híbrido, não apenas nos registros de perímetro, mas também nas identidades, nas cargas de trabalho, nos serviços de nuvem e no tráfego leste-oeste que mostram como os ataques estão se desenrolando.
Requer também uma mudança nas estratégias de detecção de comportamentos e relacionamentos, apoiada pela caça às ameaças e pela investigação baseada em hipóteses. A automação e a IA podem ajudar, mas apenas quando se baseiam em dados contextuais de alta qualidade.
Finalmente, o sucesso não deve ser medido pelo número de ameaças bloqueadas, mas pela rapidez com que as organizações conseguem detectar, conter e recuperar de uma intrusão.
A violação é inevitável para operar nos ambientes híbridos móveis atuais. O que importa é a rapidez com que uma organização consegue reconhecer quando algo está errado e limitar o impacto.
Apresentamos o melhor software de criptografia.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
