15 de June de 202015 de June de 2020

Como a automação está evoluindo para detectar e mitigar ameaças cibernéticas?

by in Artigostags , , ,
Como a automação está evoluindo para detectar e mitigar ameaças cibernéticas?

A automação está evoluindo para lidar com ameaças cibernéticas. Aqui está a nossa opinião sobre como a automação afetou os estágios de desenvolvimento, implantação e operação/consumo de aplicativos e tecnologias.

A empresa moderna é um ambiente híbrido complexo, com aplicativos, servidores e, em geral, cargas de trabalho sendo executadas em data centers locais e em nuvem. Além disso, os aplicativos e tecnologias usados ​​para o gerenciamento, segurança e operações desses aplicativos não são apenas comerciais, prontos para uso (COTS), mas, em muitos casos, desenvolvidos e desenvolvidos em casa. Como resultado, uma maneira de ver como a automação está evoluindo para lidar com as ameaças cibernéticas é não apenas como impactou o gerenciamento, as operações e a segurança desses aplicativos, mas também como afetou as ameaças internas desenvolvimento e implantação de aplicativos em muitas dessas grandes empresas.

Em termos específicos, aqui está minha visão de como a automação afetou os estágios de  desenvolvimento, implantação e operação/consumo de aplicativos e tecnologias.

a) Desenvolvimento: com o advento do DevSecOps e a ampla adoção do paradigma shift-left, os desenvolvedores de aplicativos estão procurando um pipeline de CI/CD totalmente automatizado e seguro. Isso os ajuda a escrever um código seguro, sem ter que reinventar algumas das principais peças, como Gerenciamento de Identidade e Acesso, para os aplicativos e podem se conectar facilmente a um sistema de gerenciamento de identidade e acesso existente que sua organização já possa ter, isso garante que os desenvolvedores incorporem as melhores práticas seguras no estágio de desenvolvimento, resultando em aplicativos prontos para serem conectados ao sistema IAM, garantindo assim que as políticas corretas de gerenciamento de autenticação e autorização sejam configuradas para os aplicativos a partir do dia

b) Implantação: isso inclui muitas opções, no local (nuvem privada, nuvem privada hospedada), nuvem híbrida, nuvem pura e com muitas opções de arquitetura (baseada em micros serviços, por exemplo) e instaladores como Terraform e Ansible, que podem ser completamente automatizar a implantação da infraestrutura por meio de código (também conhecido como infraestrutura como código). Isso equipa as equipes de TI e de segurança com as ferramentas certas para implantar os vários componentes com as políticas de segurança certas. Por ex. Ao implantar um novo aplicativo baseado na Web, o instalador automatiza a configuração/instalação de:

  • Estabelecimento de confiança entre sistemas e serviços para impulsionar a comunicação segura de máquina para máquina.
  • Implantando segurança baseada em perímetro para acesso de dentro/fora do perímetro. Isso pode envolver a ativação de firewalls e proxies reversos em tempo real com uma política por aplicativo.
  • Sistemas IAM (para segurança de acesso e governança) para acesso seguro sem perímetro, de modo que o aplicativo seja protegido pelas políticas de acesso corretas para as várias identidades que acessam o sistema. Por ex. o sistema pode automatizar a federação do aplicativo com o sistema IAM, criação de funções ou atribuir determinadas funções/grupos/ identidades pré-configuradas ao aplicativo com base na política de implantação do aplicativo.
  • Coleta de log e eventos com análise de risco e sistemas SIEM para monitoramento contínuo, Análise de Comportamento de Usuário e Entidade (UEBA) para criação ou exclusão de políticas de acesso pontual ou para inspeção e investigação. Muitas vezes isso é integrado ao sistema IAM.
  • Se alguns dos aplicativos estiverem em um IaaS público (como AWS, Azure), configurando CASBs (agentes de segurança de acesso à nuvem) e estabelecendo/configurando a conexão com o sistema IAM, de modo que alterações apropriadas na política de nível de acesso possam ser feitas com base nos detalhes visibilidade proveniente do CASB.

O exposto acima está longe de ser uma lista abrangente de todas as tarefas de automação que acontecem, mas tentei me concentrar em algumas das principais etapas críticas para garantir a detecção e mitigação oportunas de violações.

c) Operação: essa é de longe a parte mais vulnerável do ciclo de vida e que põe à prova todo o bom trabalho que já foi realizado nos estágios de desenvolvimento e implantação, sendo um deles a configuração dos mecanismos de análise de log/eventos para monitoramento contínuo e avaliação de riscos. Essa área evoluiu aos trancos e barrancos nos últimos anos e é crítica na detecção e prevenção de ataques e violações. Alguns dos destaques são:

  • O AI/w ML foi aplicado de maneira muito eficaz na filtragem de enormes quantidades de dados para estabelecer perfis de identidade, que são usados ​​para detectar comportamentos não apenas anômalos, mas também maliciosos
  • Evoluir de prescritivo (fornecendo recomendações amplas) sobre como mitigar ameaças cibernéticas) para ser diretivo (fornecendo etapas definidas e automatizando-as) sobre mitigação de ameaças.
  • Evoluindo do ensilado, em muitos casos, o aprendizado não supervisionado para o híbrido – combinando inteligência e insumos humanos (supervisionados) junto com não supervisionados.
  • Orquestração automatizada da configuração de sistemas adjacentes e impactados para reduzir a propagação de ameaças cibernéticas.
  • Notificações automatizadas e etapas de mitigação (por exemplo, bloquear o acesso ou reduzir ao mínimo privilégio). A Automação de Processo Robótico (RPA) também traz eficiências nessa área.

Esta postagem apareceu originalmente em uma sessão de perguntas e respostas do Quora, realizada em janeiro de 2020. Nosso CPO Archit Lohokare foi convidado a discutir o estado de segurança cibernética, Zero Trust, tecnologia artificial e aprendizado de máquina e trabalho no campo da segurança, entre outras coisas. Fique ligado enquanto compartilhamos mais respostas dele em nosso blog!

Autor: Archit Lohokare – Chief Product Officer

Link: https://www.idaptive.com/blog/automation-evolving-detect-cyber-threats/

Leave a Reply

Your email address will not be published.