@umbertorosti
Nos dias 14 e 15 de agosto a Safeway estará novamente patrocinando o Gartner Security and Risk Management Summit e já estamos nos preparando para discutir junto aos nossos clientes alguns temas importantes sobre segurança e gerenciamento de riscos.
O vice-presidente e analista da Gartner, Neil MacDonald, durante o Gartner Security and Risk Management Summit 2018 em National Harbor, MD. divulgou uma pesquisa apontando os principais projetos que os CISOs devem se concentrar e aconselhou: “Concentre-se em projetos que reduzam o maior volume de riscos e tenham o maior impacto nos negócios”.
Percebemos que alguns temas são projetos novos para a maioria dos CISOs, mas vemos que isso não é apenas para a nossa realidade: mundialmente a estatística também está em menos de 50% de adoção de empresas.
Em nossa experiência atual não é de surpreender que o gerenciamento de contas privilegiadas seja o número 1 desse relatório. Temos encontrando a real necessidade do mercado para esse tema e já estamos implementando novos projetos de consultoria com algumas soluções de tecnologia que trabalhamos atualmente.
Abaixo o Top 10:
1. Gerenciamento de contas privilegiadas
Este projeto tem o objetivo de dificultar o acesso de invasores a contas privilegiadas e permitir que equipes de segurança monitorem comportamentos para acesso incomum. No mínimo, os CISOs devem instituir a autenticação obrigatória de multifator (MFA) para todos os administradores. Recomenda-se também que os CISOs usem o MFA para acesso de terceiros, como contratados.
Dica: Fase em usar um sistema de abordagem baseada em risco (alto valor, alto risco) primeiro. Monitore comportamentos.
2. Gerenciamento de vulnerabilidades
Inspirado pela abordagem de avaliação de risco e confiança adaptativa (continuous adaptive risk and trust assessment (CARTA) approach) do Gartner, este projeto é uma ótima maneira de lidar com o gerenciamento de vulnerabilidades e tem um potencial significativo de redução de riscos. Considere explorar quando o processo de correção é quebrado e as operações de TI não conseguem acompanhar o número de vulnerabilidades. Você não pode corrigir tudo, mas pode reduzir significativamente o risco priorizando os esforços de gerenciamento de riscos.
Dica: Exija que seu fornecedor de assistente virtual / máquina virtual forneça isso e considere a atenuação de controles em sua análise, como firewalls.
3. Anti-phishing ativo
Destinado a organizações que continuam a ter ataques de phishing bem-sucedidos contra seus funcionários. Isso requer uma estratégia de três frentes: controles técnicos, controles de usuário final e redesenho de processos. Use controles técnicos para bloquear o máximo de ataques de phishing possível. Mas faça dos usuários uma parte ativa da estratégia de defesa.
Dicas: não selecione grupos ou indivíduos para fazer a coisa errada; Destacar aqueles que exibem os comportamentos corretos. Pergunte ao seu fornecedor de segurança de e-mail se eles podem realizar este projeto. Se não, por quê?
4. Controle de aplicativos em server workloads
Organizações que procuram uma postura de confiança “default deny” ou zero trust posture for server workloads devem considerar essa opção. Este projeto usa o controle de aplicativos para bloquear a maioria dos malwares, pois a maioria dos malwares não está na lista de permissões. “Esta é uma postura de segurança muito poderosa”, disse MacDonald. Provou ser bem sucedido contra o Specter e o Meltdown.
Dica: Combine com proteção abrangente de memória. É um excelente projeto para a Internet das Coisas (IoT) e sistemas que não têm mais suporte a fornecedores.
5. Microssegmentação e visibilidade do fluxo
Esse projeto é adequado para organizações com topologias de rede planas – no local e como um serviço de infraestrutura (IaaS) – que desejam visibilidade e controle dos fluxos de tráfego nos data centers. O objetivo é impedir a disseminação lateral de ataques ao data center. “Se e quando os bandidos entrarem, eles não poderão se mover sem obstáculos”, explicou MacDonald.
Dica: torne a visibilidade o ponto de partida para segmentação, mas não segmente demais. Comece com aplicativos críticos e exija que seus fornecedores ofereçam suporte à segmentação nativa.
6. Detecção e resposta
Este projeto destina-se a organizações que sabem que o comprometimento é inevitável e que estão procurando abordagens baseadas em usuário, rede ou terminal para detecção avançada de ameaças, investigação e capacidade de resposta.
Existem três variantes para escolher:
- Plataformas de proteção de terminais (EPP) + taxa de dados aprimorada (EDR)
- Análise de comportamento de usuários e entidades (UEBA)
- Deception
Este último é um mercado pequeno, mas emergente, ideal para organizações que buscam formas profundas de fortalecer seus mecanismos de detecção de ameaças com eventos de alta fidelidade.
Dica: fornecedores de EPP de pressão para fornecerem EDR e fornecedores de informações de segurança e gerenciamento de eventos (SIEM) para fornecer recursos de UEBA. Exija uma carteira rica de alvos de decepção. Considere os serviços de MDR “light” diretamente do fornecedor.
7. Gerenciamento de postura de segurança na nuvem (CSPM)
Isso deve ser considerado pelas organizações em busca de uma avaliação abrangente e automatizada da postura de segurança na nuvem IaaS / plataforma como um serviço (PaaS) para identificar áreas de risco excessivo. As organizações podem escolher entre vários fornecedores, incluindo corretores de segurança de acesso à nuvem (CASBs).
Dica: Se você tiver um único IaaS, procure primeiro a Amazon e a Microsoft. Faça disso um requisito para o seu fornecedor CASB.
8. Verificação de segurança automatizada
Este projeto é para organizações que desejam integrar controles de segurança em fluxos de trabalho no estilo DevOps. Comece com uma análise de composição de software de código aberto e integre os testes como uma parte ininterrupta dos fluxos de trabalho do DevSecOps, incluindo os contêineres.
Sugestão: não faça com que os programadores mudem de ferramentas. Exigem a ativação da interface de programação de aplicativos completa (API) para automação.
9. Agente de segurança de acesso à nuvem (CASB)
Este projeto é para organizações com uma força de trabalho móvel que procura um ponto de controle para visibilidade e gerenciamento baseado em políticas de serviços baseados em nuvem de várias empresas.
Dica: inicie com a descoberta para justificar o projeto. Detecção e monitoramento de dados sensíveis ao peso como um caso de uso crítico para 2018 e 2019.
10. Perímetro definido por software
Este projeto destina-se a organizações que desejam reduzir a área de superfície dos ataques, limitando a exposição de sistemas digitais e informações a conjuntos nomeados de parceiros externos, trabalhadores remotos e contratados.
Dica: reavalie o risco de acesso baseado em rede virtual privada (VPN) herdada. Pilotar uma implantação em 2018 usando um serviço de negócios digital vinculado a parceiros como um caso de uso.
Mais informações sobre segurança e gerenciamento de risco também estão disponíveis no Especial Gartner: “The Resilience Premium of Digital Business: A Gartner Trend Insight Report.”
Texto baseado no conteúdo do Gartner: https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/
*Umberto Rosti é CEO da Safeway.
Sobre a [SAFEWAY]
A [SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:
● Archer da RSA Security, considerada pelos institutos Gartner e Forrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;
● [SAFEWAY] Security Tower, suportada pelo IBM Qradar (tecnologia Watson), sob medida para cada organização em suas necessidades de gestão de segurança e cyberdefesa.
● E outras, envolvendo tecnologias Imperva, Thales, BeyondTrust e WatchGuard Technologies.