O Instituto Ponemon entrevistou 577 profissionais de TI e segurança de TI nos Estados Unidos, que têm conhecimento sobre os investimentos em estratégia, tática e tecnologia de segurança de TI de sua organização, para avaliar a eficácia das estratégias de segurança da empresa.

Os resultados do relatório “The Cibersecurity Illusion: The Emperor Has No Clothes”, não foram muito animadores. A maioria das organizações (53%) não sabe se as ferramentas de segurança implantadas estão funcionando como deveriam e não estão confiantes de que podem evitar violações de dados.

Segundo Larry Ponemon, fundador e presidente do Ponemon Institute, o número significativo de especialistas em segurança que observaram um controle de segurança falsamente reportando o bloqueio a um ataque de segurança cibernética é alarmante.

Quando processos e soluções como esses falham, muitas empresas respondem jogando mais dinheiro no problema. Gastos adicionais de segurança precisam ser reavaliados, até que os líderes de TI e segurança da empresa entendam por que seus investimentos atuais não são capazes de detectar e bloquear todas as técnicas, táticas e procedimentos conhecidos dos criminosos.

Investimento com retorno incerto

Os dados da pesquisa mostram que as organizações estão investindo pesado em tecnologias de segurança cibernética, mas suas equipes de TI não têm certeza se essas ferramentas estão funcionando como esperado em termos de proteção real da rede. As empresas pesquisadas estão gastando em média US$ 18,4 milhões anualmente em segurança cibernética e 58% aumentarão seu orçamento de segurança de TI em uma média de 14% no próximo ano.

Apesar de implantar muitas soluções diferentes de segurança cibernética, as empresas não estão confiantes de que seus investimentos em tecnologia, equipe e processos podem reduzir as chances de violação de dados. A constatação mais crítica é de que 53% dos especialistas em TI admitem que não sabem até que ponto as ferramentas de segurança cibernética que implantaram estão funcionando adequadamente.

O pior dos cenários é ser enganado pelo próprio sistema, como o caso de 63% dos entrevistados que afirmaram ter observado um controle de segurança relatando que bloqueou um ataque, quando na verdade não o fez. Obviamente isso causa grande frustração e desconfiança entre os profissionais. Apenas 39% dos entrevistados disseram que estão obtendo os resultados esperados com seus investimentos em segurança.

Incerteza e desconfiança

Essa falta de confiança decorre em grande parte da incerteza na eficácia das ferramentas de segurança cibernética e da capacidade da equipe de identificar lacunas na segurança e responder aos incidentes de segurança de maneira oportuna.

As empresas implantam, em média, 47 diferentes soluções e tecnologias de segurança cibernética, mas menos da metade dos especialistas em TI estão confiantes de que as violações de dados podem ser interrompidas com os atuais investimentos da organização em tecnologia e na equipe.

A maioria dos entrevistados reporta que ainda existem violações de dados devido à falta de visibilidade das operações de seu programa de segurança e reconhece que sua equipe de segurança de TI não consegue responder a incidentes de segurança em um dia.

A eficácia dos testes de penetração

Os profissionais que participaram da pesquisa acreditam que os testes de penetração são eficazes na descoberta de lacunas de segurança cibernética, mas muitos não têm um cronograma definido para os testes e somente 13% realizam os testes diariamente.

Menos da metade (48%) das organizações usa uma plataforma de simulação contínua de ataques, para determinar o desempenho das soluções de segurança, apesar de 68% dos entrevistados afirmarem que sua solução é eficaz para encontrar falhas de segurança.

Qual o caminho a seguir?

Para efetivamente adotar uma estratégia de segurança proativa e superar as fraquezas das abordagens de validação tradicionais, é preciso automatizar o processo. Com uma plataforma de simulação de violação e ataque, é possível simular automaticamente os métodos de violação de hackers, para observar como sua infraestrutura e seus sistemas são vistos como um alvo.

Com uma plataforma de simulação de violação e ataque, sua organização valida os riscos em seu ambiente de produção real por toda kill chain, usando de forma contínua métodos reais de violação de hackers. Não há mais limitações de tempo ou dependência exclusiva das qualificações de sua equipe ou de consultores contratados para identificar os riscos de segurança.

Uma plataforma de violação e simulação de ataque deve:

Utilizar um Playbook Hacker real – sua solução de simulação de violação automatizada deve usar uma abordagem de caixa preta (não é necessário conhecimento prévio do ambiente) e incorporar um “manual de hackers” abrangente, com os tipos de ameaças, incluindo força bruta, exploits, malwares e ferramentas de acesso remoto.

Fornecer simulações contínuas – sua plataforma de simulação de violações deve ser executada continuamente para que você saiba a todo o momento, não apenas anualmente ou semestralmente, se suas medidas de segurança estão funcionando corretamente.

Executar simulações em ambiente de produção real – as simulações em um ambiente de produção real são a única maneira de saber se alguém pode exfiltrar dados ou se infiltrar em sua rede. A simulação de violações deve simular métodos de violações de forma mais semelhante possível à realidade, sem afetar seu ambiente ou criar falsos positivos.

Simular toda a kill chain – ao validar suas defesas em toda a kill chain, você pode determinar os pontos fortes e fracos da sua organização e decidir a maneira mais eficaz de brecar uma violação. Para uma visão abrangente dos riscos em toda a organização, a plataforma de simulação deve suportar endpoints, rede e nuvem.

Trabalhar com outras ferramentas – sua plataforma deve funcionar junto com os outros recursos necessários para impedir, detectar e responder a ameaças. Por exemplo, quando uma violação é simulada, sua plataforma deve se integrar aos sistemas de ticketing para criar uma tarefa para o blue team, ou disparar políticas de correção automatizadas em sistemas de automação e orquestração.

Sobre o SafeBreach

SafeBreach é a solução líder em simulações de violação e ataque. A plataforma inovadora fornece uma “visão de hacker” da postura de segurança de uma empresa, para prever proativamente ataques, validar controles de segurança e melhorar a resposta dos analistas de segurança. O SafeBreach executa automaticamente milhares de métodos de violação a partir de um extenso e crescente Hacker’s Playbook™, que engloba dados de pesquisas e dados investigativos do mundo real.