As manchetes continuam a ser preenchidas com relatórios de agências governamentais e grandes empresas sendo vítimas de invasões cibernéticas. Isso permanece verdadeiro, apesar da proliferação de orientações sobre segurança cibernética e grandes aumentos nos gastos globais com segurança cibernética (cerca de US$ 150 bilhões por ano globalmente em produtos e serviços cibernéticos). Por que? Além dos agentes de ameaças cada vez mais bem financiados , a “superfície de ataque” onde esses ataques são implantados está mudando drasticamente.

  • O número de aplicativos usados ​​por uma organização típica cresceu rapidamente na última década: de acordo com relatórios recentes , organizações típicas usam 130 aplicativos SaaS, contra 16 aplicativos cinco anos atrás. Nossa empresa trabalha com grandes empresas que gerenciam milhares de aplicativos SaaS e locais. Cada aplicativo requer postura (um estado geral de prontidão para segurança cibernética), gerenciamento de vulnerabilidade e controles de autenticação.
  • O número de dispositivos de internet das coisas (IoT) também está explodindo: algumas previsões projetam que haverá 41,6 bilhões desses dispositivos até 2025. E as redes 5G permitirão um nível muito maior de computação distribuída na borda. Drones e robótica não são mais apenas coisas de ambientes militares – eles estão sendo usados ​​hoje em muitos setores e áreas de serviço, desde a agricultura até centros de distribuição de varejo, serviços de entrega e muito mais.
  • O software e o firmware que executam esses sistemas estão sobre bases de código cada vez mais complexas, tanto em tamanho quanto na dependência de código de terceiros. A base de código do ônibus espacial original tinha apenas 400.000 linhas de código . Os carros modernos têm 100 milhões de linhas de código .

Está se tornando praticamente impossível garantir que tudo esteja devidamente corrigido. E as consequências são cada vez mais graves. A MKS Instruments, fornecedora de tecnologia para a indústria de semicondutores, relatou recentemente um impacto de US$ 200 milhões em um ataque de ransomware. A exploração de vulnerabilidades em sistemas de controle industrial e dispositivos IoT acarreta impactos na vida e na segurança, como vimos nas recentes tentativas de envenenar sistemas de água.

Para gerenciar o risco cibernético nesse contexto, precisamos mudar fundamentalmente a forma como medimos o desempenho. As medidas que vemos utilizadas hoje incluem coisas como avaliações de maturidade (que usam uma escala para definir níveis progressivos de maturidade para recursos utilizados para gerenciar o risco cibernético), atestados de conformidade (em que uma empresa ou auditores terceirizados atestam ou validam que um conjunto predefinido de controles de segurança estão em vigor), relatórios de vencimento de vulnerabilidades (que medem a presença de vulnerabilidades críticas e altas presentes em ativos de TI e quanto tempo elas não foram corrigidas) e estatísticas de tempo médio para detecção (que medem quanto tempo leva para detectar atividade de ameaça dentro do ambiente de uma organização). Essas medidas são valiosas e necessárias, mas não são mais suficientes, e precisam ser finalizadas de três maneiras.

Três maneiras de melhorar as medidas atuais de risco cibernético

Primeiro, no front-end, precisamos trazer maior visibilidade aos níveis de risco inerentes das organizações – essencialmente, “O que estamos sendo solicitados a defender?”

Por duas décadas, concedemos subsídios da Iniciativa de Segurança de Área Urbana (UASI) do Departamento de Segurança Interna (DHS) com base no grau relativo de risco em diferentes áreas metropolitanas, e precisamos de uma abordagem semelhante em ciber. Isso inclui medir ameaças, complexidade e impacto potencial nos negócios. Precisamos de painéis que meçam tendências em fatores como o número de aplicativos, o tamanho e a natureza dos bancos de dados e repositórios de código, as regiões em que operamos, a velocidade de fusões e aquisições e dependências de fornecedores importantes. Isso se tornará particularmente importante à medida que Big Data, IA e IoT evoluírem, porque os benefícios e riscos dessas inovações cairão de forma desigual entre as organizações.

Em segundo lugar, precisamos de muito mais transparência, exatidão e precisão em relação ao nosso desempenho contra ameaças prováveis ​​e se o fazemos de forma consistente em toda a superfície de ataque.

A base de conhecimento mais autorizada e transparente sobre comportamento de ameaças disponível hoje é a estrutura ATT&CK da MITRE Corporation . A Agência de Segurança Cibernética e Infraestrutura (CISA) lançou recentemente um conjunto de  Metas de Desempenho de Segurança Cibernética  destinadas a ajudar a estabelecer um conjunto comum de práticas fundamentais de segurança cibernética para infraestrutura crítica. Cada um dos objetivos é mapeado para técnicas de ameaças MITRE específicas. As empresas podem testar o desempenho da segurança contra essas técnicas, e a CISA, o FBI e a NSA emitiram  orientações conjuntas recomendando que o façam.

A cada ano, a CISA produz um compêndio de seus esforços de teste de penetração, e o relatório indica que o comprometimento de contas válidas é a técnica em que o maior número de organizações falha. Essa tendência só aumentará à medida que migrarmos para a nuvem, onde a identidade é o perímetro, e isso significa que as defesas em torno da identidade e do acesso devem ser uma prioridade. Ao fazê-lo, a automação e a medição contínua do desempenho da segurança se tornarão cada vez mais importantes. Felizmente, as principais empresas de nuvem estão fornecendo ferramentas para isso, como o Secure Score da Microsoft .

Da mesma forma, com o avanço da IA ​​e a capacidade de imitar usuários legítimos, as técnicas de análise de reputação também se tornarão cada vez mais importantes para identificar impostores. A Alfândega e Proteção de Fronteiras dos EUA avalia continuamente as taxas de risco da carga de entrada, em parte, revisando se um remetente é conhecido e confiável. Esses mesmos princípios se aplicam ao ciberespaço. As técnicas de análise de reputação podem — e estão — sendo aplicadas automaticamente para decidir se devem ser bloqueados determinados sites, e-mails recebidos ou tentativas de autenticação suspeitas.

Outra lente para a defesa informada sobre ameaças é medir como os “ativos de alto valor” são defendidos. A definição de “ativos de alto valor” pode ser subjetiva e ampla demais, mas sabemos que certos sistemas são visados ​​repetidamente porque executam funções críticas para a confiança. Após o incidente da SolarWinds , o Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA definiu essa lista de softwares críticos , e um bom lugar para começar é medir o quão bem esses sistemas são defendidos.

Ao medir essas defesas, precisamos avaliar não apenas quão bem protegemos esses sistemas em operação, mas também quão seguros os fornecedores desses sistemas os desenvolveram e atualizaram. O recente roubo de código-fonte na  Okta , um provedor líder de autenticação multifator baseada em nuvem e soluções de logon único, bem como a violação no gerenciador de senhas  LastPass , colocam isso em relevo. Infelizmente, as certificações existentes, como ISO 27001 e SOC 2, lançam pouca luz sobre a existência de processos robustos de segurança do ciclo de vida do software. Assim, a Estratégia Nacional de Cibersegurançalançado em março pede incentivo a uma melhor segurança de software, tanto por meio da transferência de responsabilidade para os fornecedores de software quanto pelo uso do poder de compra do governo para incentivar a adoção de estruturas modernas como a Estrutura de Desenvolvimento de Software Seguro do NIST (SSDF) e o conceito relacionado de uma Lista de Materiais de Software (SBOM ). À medida que as estruturas de certificação SSDF e SBOM se tornam formalizadas, elas devem ser adotadas nos programas de gerenciamento de riscos de terceiros das empresas.

Em terceiro lugar, precisamos planejar e medir o desempenho em relação a eventos de baixa probabilidade e alta consequência.

Há uma tendência de quantificar os impactos financeiros do risco cibernético por meio de modelos como Value at Risk , que quantifica (geralmente em termos de dólares) a perda potencial de valor de uma entidade durante um período de tempo definido em um determinado nível de confiança. Esses modelos são úteis, mas são necessariamente dependentes de entradas de dados. Dependendo de quais dados impulsionam esses modelos, eles podem apresentar uma visão excessivamente otimista do risco. A história nos diz que foi isso que aconteceu com o risco de crédito e liquidez no início dos anos 2000, e temos a crise financeira de 2007-2008 para provar isso.

No DHS após o 11 de setembro, estruturamos o planejamento de preparação em torno de um conjunto básico de cenários de planejamento, e os reguladores bancários britânicos agora exigem planejamento e testes semelhantes em torno de cenários “severos, mas plausíveis”. Um bom lugar para começar é o que aconteceu com a Maerskno incidente notPetya, onde a empresa quase perdeu permanentemente seu sistema de TI para um malware destrutivo posteriormente atribuído à Rússia. Mais recentemente, a migração pré-invasão de cargas de trabalho da Ucrânia para a nuvem foi fundamental para sua capacidade de resistir a uma torrente de ataques cibernéticos russos. O clima geopolítico atual ressalta a importância de reformular o planejamento de resiliência em torno de como manter a empresa à tona se seus sistemas principais forem comprometidos. Mantivemos backups off-line e testamos a recuperação? Podemos reconstituir uma forma de comunicar com os colaboradores essenciais? Sabemos como garantir que certos pagamentos importantes, mas de baixo risco, possam continuar?

Podemos transformar o risco em oportunidade: se pudermos nos unir em torno de mecanismos para medir o desempenho da segurança cibernética com transparência, exatidão e precisão, poderemos trabalhar com nações aliadas para codificá-los e implementá-los. Eles poderiam então ser refletidos como requisitos básicos em aquisições de tecnologia no exterior, criando maiores oportunidades de diferenciação. Não existe eliminação de riscos, mas por meio de uma melhor medição e incentivo, podemos não apenas gerenciar esses riscos tecnológicos, mas também transformá-los em oportunidades para uma economia mais resiliente.

Fonte HBR