O Gartner anuncia as dez principais tecnologias para Segurança da Informação e suas implicações nas empresas em 2016. Segundo Neil MacDonald, Vice-Presidente, Analista Emérito e Fellow Emeritus da instituição, as equipes de SI e de Infraestrutura devem se adaptar aos requisitos de negócios digitais emergentes e, ao mesmo tempo, estarem preparadas para lidar com um ambiente cada vez mais hostil.
“Os líderes de Segurança e de Gestão de Riscos precisam aprender a trabalhar com as últimas tendências tecnológicas se quiserem definir, alcançar e manter programas eficazes que ofereçam, de forma simultânea, oportunidades de negócios digitais com a gestão de riscos”, afirma.
As dez principais tecnologias para a SI, segundo o Gartner, são:
Agentes de Segurança de Acesso à Nuvem – Os Agentes de Segurança do Acesso à Nuvem (do inglês, Cloud Access Security Brokers – CASBs) ajudam os profissionais a fazerem um controle crítico do uso seguro, em conformidade com os serviços em Nuvem de seus diversos provedores. Muitos Software como Serviço (do inglês, Software as a Service – SaaS) têm visibilidade e opções de controle limitadas. No entanto, a adoção de SaaS está se tornando comum em empresas, o que agrava a sensação de frustração das equipes de segurança que desejam ter visibilidade e controle das aplicações e do ambiente de TI como um todo. As soluções CASB preenchem muitos dos espaços em branco dos serviços individuais armazenados em Nuvem e permitem que os CISOs (Chief Information Security Officers) realizem suas tarefas simultaneamente, incluindo a gestão de fornecedores de Infraestrutura como Serviço (do inglês, Infrastructure as a Service – IaaS) e de Plataformas como Serviço (do inglês, Platform as a Service – PaaS). Dessa forma, o CASB está de acordo com requisitos fundamentais para os CISOs estabelecerem políticas, monitorarem comportamentos e gerenciarem riscos de todos os serviços Cloud das empresas.
Detecção e Resposta de Endpoints (EDR) – O mercado de soluções de Detecção e Resposta de Endpoints (do inglês, Endpoint Detection and Response – EDR) está crescendo rapidamente para suprir as necessidades de proteção mais eficazes, detectando e reagindo mais agilmente diante de falhas. As ferramentas de EDR registram diversos eventos de rede e Endpoints e armazenam essas informações localmente ou em uma base de dados centralizada. Como Analytics de Comportamento, as técnicas de aprendizagem por máquina e as bases de dados de conhecidos indicadores de comprometimento (IOC, na sigla em inglês) são usadas para buscar continuamente informações para identificação de falhas (incluindo ameaças internas) e para responder rapidamente a esses ataques.
Abordagens sem assinatura para prevenção de Endpoints – As abordagens para a prevenção de malwares baseadas apenas em assinaturas são ineficazes contra ataques avançados e específicos. Diversas técnicas que melhoram essas abordagens tradicionais têm surgido, incluindo a proteção de memória e a prevenção contra exploit, que impedem a entrada das formas mais comuns de ameaças nos sistemas, e a prevenção automatizada contra malwares baseados em aprendizado, que utiliza modelos matemáticos como assinaturas para a identificação e bloqueio de ameaças.
Analytics de comportamento de usuários e da empresa – O Analytics de comportamento de usuários e da empresa (do inglês, User and Entity Behavioural Analytics – UEBA) permite a realização de uma análise de segurança mais ampla, muito parecida com as Informações de Segurança e Administração de Eventos (do inglês, Security Information and Event Management – SIEM) que possibilitam um amplo monitoramento da segurança. As UEBAs fornecem Analytics centrados no usuário e capazes de analisar seu comportamento e outros fatores como endpoints, redes e aplicativos. A correlação das análises de vários fatores torna os resultados mais precisos e a detecção de ameaças mais eficaz.
Microssegmentação e visibilidade do fluxo – Quando os ataques conseguem acessar os sistemas corporativos, eles podem se mover livremente pelas laterais (“leste/oeste”) para outros sistemas, antes mesmo de serem efetivamente detectados. Para resolver esse problema, há um requisito novo para a “microssegmentação” (segmentação mais granular) do tráfego (“leste/oeste”) nas redes corporativas. Além disso, muitas soluções também fornecem visibilidade e monitoramento dos fluxos de comunicação. As ferramentas de visualização permitem que os administradores de operações e segurança compreendam padrões de fluxos, estabeleçam políticas de segmentação e monitorem eventuais divergências. Diversos fornecedores de tecnologia oferecem criptografia opcional do tráfego da rede (geralmente, túneis IPsec point-to-point) entre cargas de trabalho para a proteção de dados em movimento e oferecem isolamento criptografado entre cargas de trabalho.
Testes de segurança para DevOps (DevSecOps) – A segurança precisa se tornar parte integrante dos fluxos de trabalho das empresas (DevOps — DevSecOps), alinhando o time de desenvolvimento com a equipe de operações, em relação a processos, ferramentas e responsabilidades. Os modelos operacionais DevSecOps estão surgindo e usam certificados, modelos e padrões para conduzir a configuração implícita da infraestrutura de segurança, incluindo políticas como os testes de aplicativos durante o desenvolvimento ou a conectividade da rede. Além disso, diversas soluções realizam avaliações automáticas para encontrar os pontos fracos durante o processo de desenvolvimento, antes mesmo de o sistema ser liberado para produção. A segurança, sendo conduzida por modelos, padrões ou por um conjunto de ferramentas, terá o conceito e o resultado desejados, com uma configuração automatizada, transparente e em conformidade com a infraestrutura de segurança desejada pela empresa e baseada em políticas que refletem as cargas de trabalho atuais.
Soluções de orquestração do Centro Operacional de Segurança baseado em inteligência – O Centro Operacional de Segurança (do inglês, Security Operations Centre – SOC) baseado em inteligência vai além do monitoramento focado em eventos e de tecnologias preventivas. Um SOC desse tipo deve ser usado para informar cada aspecto das operações de segurança. Para cumprir os desafios do novo paradigma de detecção e resposta, um SOC baseado em inteligência também precisa ir além das defesas tradicionais, com uma arquitetura adaptada e com uso de componentes que sejam relacionados ao contexto. Para apoiar as mudanças requeridas nos programas de Segurança da Informação, o SOC tradicional deve se desenvolver para se tornar um modelo baseado em inteligência, com a automação e a orquestração dos processos, posicionando-se como um facilitador fundamental.
Navegador Remoto – A maioria dos ataques começa direcionando um malware entregue via e-mail ou pelo acesso a endereços (URLs) ou a sites de risco para os usuários finais. Uma nova abordagem relacionada a esse risco é o acesso remoto ao navegador por meio de um “servidor de navegação” (geralmente em Linux) que funciona localmente ou em Nuvem. Ao isolar a função de navegação do resto do Endpoint e da rede da empresa, o malware fica fora do PC do usuário final e a empresa reduz significativamente sua área de ataque ao deslocar o risco para as divisões do servidor que podem ser facilmente reinicializadas a cada sessão de navegação, ou a cada abertura de uma nova página.
Tecnologia Deception – As tecnologias Deception são definidas pelo uso de artifícios ou truques destinados a impedir ou eliminar processos cognitivos do invasor, interromper suas ferramentas de automação, atrasar suas atividades ou evitar o progresso da falha. As capacidades de fraude criam, por exemplo, vulnerabilidades, sistemas, compartilhamentos e cookies enganosos que, quando acionados, começam a invasão, já que um usuário legítimo não deveria ver ou tentar acessá-los. As tecnologias Deception estão surgindo para redes, aplicativos, Endpoints e dados com os melhores sistemas combinando diversas técnicas. O Gartner prevê que, até 2018, 10% das empresas usarão ferramentas e táticas com tecnologia Deception contra invasores.
Serviços universais de segurança – A área de TI e os departamentos de Segurança das empresas estão sendo acionados para estender suas capacidades de proteção para a tecnologia operacional e para Internet das Coisas. Dessa forma, novos modelos devem surgir para entregar e administrar a confiabilidade em escala. Os serviços de segurança devem ser projetados para elevar e apoiar as necessidades de bilhões de aparelhos. As companhias que procuram uma confiabilidade distribuída em larga escala devem focar no que inclua a entrega de segurança, a integridade dos dados, a confidencialidade e a identidade e autenticação do aparelho. Algumas abordagens de ponta usam a confiabilidade distribuída e arquiteturas de cadeia de bloqueio para administrarem a integridade dos dados em larga escala.