Transparência
A rotina de um líder moderno em segurança da informação (o CISO – Chief Information Security Officer) vai muito além de apenas enfrentar hackers. É também uma jornada contínua conhecida como “compliance”. Os reguladores seguem apertando o cerco; a todo momento surgem novos padrões e as dores de cabeça só aumentam. Além disso, os CISOs são responsáveis não apenas pelo seu próprio perímetro, mas também pelo que acontece fora dele: toda a sua cadeia de suprimentos, todos os seus contratados e toda a complexa variedade de softwares que seus processos de negócios utilizam. Embora a lógica por trás disso seja sólida, ela também é implacável: se uma falha for encontrada no seu fornecedor e recair sobre você, consequentemente, você quem será responsabilizado. Essa lógica também se aplica ao software de segurança.
Antigamente, as empresas raramente pensavam no que realmente havia dentro das soluções e produtos de segurança que utilizavam. Agora, no entanto, as empresas, especialmente as grandes, querem saber tudo: o que realmente tem dentro da caixa? Quem escreveu o código? Isso vai comprometer alguma função crítica ou até mesmo derrubar tudo? (Já vimos precedentes assim; por exemplo: o incidente de atualização do Crowdstrike 2024.) Onde e como os dados são processados? E essas são as perguntas certas a serem feitas.
O problema está no fato de que quase todos os clientes confiam em seus fornecedores para responder com precisão a essas perguntas; muitas vezes porque não têm outra opção. Uma abordagem mais madura na realidade cibernética de hoje é a verificação.
Em termos corporativos, isso é chamado de confiança na cadeia de suprimentos, e tentar resolver esse quebra-cabeça por conta própria é uma grande dor de cabeça. Você precisa da ajuda de fornecedores. Um fornecedor responsável está pronto para mostrar o que há por trás de suas soluções, abrir o código-fonte para a análise de parceiros e clientes e, em geral, conquistar a confiança não com belos slides, mas com etapas sólidas e práticas.
Então, quem já está fazendo isso e quem ainda está preso ao passado? Um estudo recente e detalhado de nossos colegas na Europa tem a resposta. Conduzido pelo respeitado laboratório de testes AV-Comparatives, pela Câmara de Comércio do Tirol (WKO), pela MCI Entrepreneurial School e pelo escritório de advocacia Studio Legale Tremolada.
A principal conclusão do estudo é que a era das “caixas-pretas” na cibersegurança chegou ao fim. Descanse em paz. Amém. O futuro pertence àqueles que não escondem seu código-fonte e relatórios de vulnerabilidades, e que oferecem aos clientes a máxima liberdade de escolha na configuração de seus produtos. E o relatório indica claramente quem não apenas promete, mas de fato cumpre. Adivinhe quem!
Excelente palpite! Sim, somos nós!
Oferecemos aos nossos clientes algo que, infelizmente, ainda é uma espécie rara e em extinção no setor: centros de transparência, revisões do código-fonte de nossos produtos, uma lista detalhada de materiais de software (SBOM) e a capacidade de verificar o histórico de atualizações e controlar as implementações. E, claro, oferecemos tudo o que já se tornou padrão no setor. Você pode consultar todos os detalhes no relatório completo de “Transparência e Responsabilidade em Cibersegurança” (TRACS) ou em nosso resumo. A seguir, abordaremos alguns dos trechos mais interessantes.
Critérios claros, sem misturar conceitos
A TRACS analisou 14 fornecedores populares e seus produtos de EPP/EDR, desde Bitdefender e CrowdStrike até Kaspersky Next EDR Optimum e WithSecure. O objetivo foi identificar quais fornecedores não apenas dizem “confie em nós”, mas realmente permitem que você verifique tudo o que prometem. O estudo abrangeu 60 critérios: da conformidade com o GDPR (Regulamento Geral de Proteção de Dados; afinal, trata-se de um estudo europeu) e auditorias de ISO 27001 à capacidade de processar toda a telemetria localmente e acessar o código-fonte de um produto. Mas os autores decidiram não atribuir pontos para cada categoria nem formar uma única classificação geral.
Por quê? Porque todos têm modelos de ameaças e riscos diferentes. O que é um recurso para um, pode ser um bug e um desastre para outro. Instale atualizações de forma rápida e totalmente automática. Para uma pequena empresa ou uma rede varejista com milhares de pequenas filiais independentes, isso é uma bênção: simplesmente não haveria equipe de TI suficiente para gerenciar tudo isso manualmente. Mas, em uma fábrica onde um computador controla a esteira de produção, isso seria totalmente inaceitável. Uma atualização defeituosa pode paralisar completamente uma linha de produção, um impacto nos negócios que pode ser fatal (ou, no mínimo, pior do que o recente ataque cibernético à Jaguar Land Rover). Nesse cenário, cada atualização precisa ser testada antes de entrar em operação. Com a telemetria, a história é a mesma. Uma agência de relações públicas envia dados dos seus computadores para a nuvem do fornecedor para participar da detecção de ameaças cibernéticas e receber proteção de forma imediata. Perfeito. Mas e uma empresa que processa registros médicos de pacientes ou projetos técnicos altamente confidenciais em seus computadores? Nesse caso, as configurações de telemetria precisariam ser cuidadosamente reavaliadas.
O ideal é que cada empresa atribua “pesos” a cada critério e calcule sua própria “nota de compatibilidade” com os fornecedores de EDR/EPP. Mas uma coisa é óbvia: quem oferece opções aos clientes, sai na frente.
Veja, por exemplo, a análise de reputação de arquivos suspeitos. Ela pode funcionar de duas formas: por meio da nuvem compartilhada do fornecedor ou de uma micronuvem privada dentro de uma única organização. Além disso, há a opção de desativar totalmente essa análise e trabalhar de forma completamente off-line. Pouquíssimos fornecedores oferecem aos clientes essas três opções. Por exemplo, a análise de reputação no local está disponível em apenas oito fornecedores avaliados no teste. Nem é preciso dizer que somos um deles.
Elevando o padrão
Em todas as categorias avaliadas no teste, a situação é praticamente a mesma observada no serviço de reputação. Analisando cuidadosamente as 45 páginas do relatório: constatamos que estamos à frente de nossos concorrentes ou entre os líderes. E podemos afirmar com orgulho que, em cerca de um terço das categorias comparativas, oferecemos capacidades significativamente superiores às da maioria dos nossos pares. Veja você mesmo:
Visitar um centro de transparência e revisar o código-fonte? Verificar se os binários do produto são realmente criados a partir desse código-fonte? Apenas três fornecedores avaliados no teste oferecem isso. E, no caso de um deles, essas opções só estão disponíveis para clientes governamentais. Nossos centros de transparência são os mais numerosos e geograficamente distribuídos do mercado, e oferecem aos clientes a mais ampla variedade de opções.
A inauguração do nosso primeiro centro de transparência em 2018
Baixar atualizações do banco de dados e verificá-las novamente? Apenas seis fornecedores (incluindo nós) oferecem isso.
Configurar a implementação de atualizações em múltiplas etapas? Não é exatamente algo raro, mas também está longe de ser comum, apenas sete fornecedores, além de nós, oferecem esse recurso.
Ter acesso aos resultados de uma auditoria de segurança externa da empresa? Apenas nós e outros seis fornecedores estão preparados para compartilhar isso com os clientes.
Desmembrar a cadeia de suprimentos em elos individuais por meio de um SBOM? Isso também é raro: apenas três fornecedores permitem solicitar um SBOM. E um deles é aquela empresa de cor verde que, por coincidência nada aleatória, leva o meu nome.
É claro que há categorias em que todos se saem bem: todos foram aprovados em auditorias ISO/IEC 27001, estão em conformidade com o GDPR, seguem práticas de desenvolvimento seguro e aceitam relatórios de vulnerabilidades.
Por fim, há ainda a questão dos indicadores técnicos. Todos os produtos que funcionam on-line enviam determinados dados técnicos sobre os computadores protegidos, além de informações relacionadas a arquivos infectados. Para muitas empresas, isso não é um problema, pelo contrário, elas ficam satisfeitas por melhorar a eficácia da proteção. Mas, para organizações que estão realmente focadas em minimizar o fluxo de dados, a AV-Comparatives também mede isso; e por acaso, somos o fornecedor que coleta o menor volume de telemetria em comparação com os demais.
Conclusões práticas
Graças aos especialistas austríacos, os CISOs e suas equipes agora têm uma tarefa muito mais simples ao verificar seus fornecedores de segurança. E não apenas os 14 que foram testados. A mesma estrutura pode ser aplicada a outros fornecedores de soluções de segurança e a softwares em geral. Mas também há conclusões estratégicas.
A transparência facilita o gerenciamento de riscos. Se você é responsável por manter um negócio em operação, não vai querer ficar na dúvida se sua ferramenta de proteção se tornará seu ponto fraco. Você precisa de previsibilidade e responsabilidade. O estudo da WKO e da AV-Comparatives confirma que o nosso modelo reduz esses riscos e os torna gerenciáveis.
Evidências no lugar de slogans. Nesse mercado, não basta simplesmente escrever “somos seguros” no seu site. É preciso ter mecanismos de auditoria. O cliente precisa ter a possibilidade de verificar tudo por conta própria. Nós fornecemos isso. Os outros ainda estão se adaptando.
Transparência e maturidade caminham juntas. Fornecedores que são transparentes com seus clientes normalmente também contam com processos mais maduros de desenvolvimento de produto, resposta a incidentes e tratamento de vulnerabilidades. Seus produtos e serviços são mais confiáveis.
Nossa abordagem à transparência (GTI) funciona. Quando anunciamos nossa iniciativa, anos atrás, e inauguramos Centros de Transparência ao redor do mundo, ouvimos todo tipo de crítica; que era um desperdício de dinheiro e que ninguém realmente precisava disso. Agora, especialistas europeus independentes afirmam que é exatamente assim que um fornecedor deve operar em 2025, e no futuro.
Foi um verdadeiro prazer ler este relatório. Não apenas porque ele nos elogia, mas porque o setor finalmente está caminhando na direção certa, rumo à transparência e à responsabilidade.
Iniciamos esta tendência, seguimos na liderança e vamos continuar desbravando esse caminho. Portanto, caros leitores e usuários, não se esqueçam: confiar é uma coisa, poder verificar tudo, de forma completa, é outra bem diferente.
