Proteção integrada como serviço

Segurança como serviço é o futuro da segurança da informação.

Como os modelos de software como serviço (SaaS, na sigla em inglês) já estão incorporados em nosso trabalho há algum tempo, estamos cada vez mais engajados no fornecimento de infraestrutura como serviço (IaaS) e plataforma como serviço (PaaS). Achamos que essa é uma boa direção para as organizações em todo o mundo; o uso de uma solução integrada ajuda as empresas a se concentrarem em suas tarefas principais. Mas é possível fornecer às grandes corporações uma proteção totalmente integrada dentro de um modelo de Segurança como Serviço?

Nossa compreensão de uma proteção integrada

Para responder a essa pergunta, precisamos primeiro definir o que queremos dizer com uma proteção totalmente integrada. Se estamos falando de empreendimentos, isso significa uma  proteção da infraestrutura em todos os estágios de resposta às ameaças:

  • No estágio de prevenção de incidentes, usando soluções nos endpoints;
  • Na fase de detecção de ameaças, realizando o monitoramento e a análise de dados, abrangendo desde o lado de soluções de segurança do cliente até o centro de segurança de operações (SOC, na sigla em inglês);
  • Na etapa de caça de ameaças que envolve testes hipotéticos de novas ameaças e a realização de varreduras retrospectivas do histórico de dados para novos indicadores de comprometimento e de ataque (IoCS/IoAs);
  • Na fase de validação de ameaças, na qual a equipe do SOC determina se um evento suspeito específico é uma ameaça real ou uma ação legítima (alarme falso);
  • Na etapa de resposta de incidentes, quando recriamos a cadeia de ataque e damos recomendações e medidas de mitigação.

Soluções de Plataformas de Proteção de Endpoints e de Detecção e Resposta  de Endpoints (EDR) lidam com a primeira etapa automaticamente. Em todas as fases seguintes, o envolvimento de especialistas do SOC é essencial. Entretanto, nem todo negócio pode pagar por um SOC in-house.

E as empresas sem um SOC?

Ter uma SOC in-house não é uma condição necessária para uma proteção completa. Na verdade, a maioria das grandes empresas não dispõem de uma – apenas cerca de 20% as têm, comparando o número total de análises para plataformas do tipo Endpoint Protection com o número de análises para soluções do tipo EDR (que assumem a disponibilidade de um SOC), segundo dados da Gartner Peer Insights.

E as outras 80%? Uma opção sensata para a maioria é delegar funções de segurança. Um trabalho especializado para procurar ameaças, avaliá-las e confirmá-las e responder a incidentes pode ser realizado por um provedor de serviços de segurança gerenciado (MSSP) ou por um fornecedor de soluções de segurança que essencialmente assume parte das funções do MSSP (nosso caso).

Kaspersky MDR: Segurança como Serviço baseada em uma plataforma pública

 

Sob essa abordagem, os clientes recebem um conjunto de soluções com uma funcionalidade muito mais ampla que um EDR comum. Ele inclui a detecção de ameaças, analisando anomalias de tráfego de rede (Network Detection and Response, NDR) e a opção de ter informações de incidentes interpretadas por especialistas (Managed Detection and Response, MDR). Nosso SOC é único, pois a equipe especialistas tem acesso rápido a informações sobre incidentes e novas ameaças em todo o mundo, com base nas quais pode tomar medidas protegendo os interesses do cliente. E, embora os processos de detecção e resposta a ameaças (EDR + NDR = XDR) já estejam bastante automatizados, estamos constantemente aprimorando essa área e planejamos fortalecê-la no futuro.

A metodologia de avaliação ATT&CK já verificou a eficácia de nossa abordagem. Devido à natureza específica da abordagem, o MITRE ATT&CK Evaluation Round 2 se concentrou exclusivamente nos recursos de detecção de nossas soluções. Portanto, a resposta a incidentes, a prevenção e a caça de ameaças – nas quais nossos especialistas em SOC têm habilidades exclusivas – foram intencionalmente excluídas da análise.

Nossas soluções de EDR também se mostraram confiáveis ​​e adequadas para SOCs internos e externos. De acordo com o portal Gartner Peer Insights acima mencionado, nossa solução Kaspersky Anti Targeted Attack entrou no Top 3 e foi reconhecida como a escolha preferida dos consumidores para detecção e resposta em Endpoints. Um enorme agradecimento a todos os nossos clientes que reservaram um tempo para deixar uma avaliação.

Classificação geral das soluções de EDR de acordo com o Gartner Peer Insights. Fonte: Gartner

Para concluir, acredito – sem dúvida – que o futuro da segurança da informação pertence à Segurança como Serviço e, mas com a opção do cliente selecionar o grau de automação do toolkit escolhido e atualizar sua solução pronta para uso com recursos adicionais.

Dicas