A responsável explica que os dados em silos e recursos analíticos forçam os investigadores de segurança a gastar um tempo valioso a preparar e reunir as informações. «Que alertas de segurança são realmente importantes e quais são falsos positivos? Os investigadores muitas vezes não têm contexto suficiente para impulsionar acções rápidas – tempo que pode significar a diferença entre recuperar alguns laptops e a perda de dados».
Ou seja, Carla Miranda é da opnião de que os responsáveis perdem a visibilidade crítica do risco de segurança organizacional quando as análises são descentralizadas entre produtos individuais: «Ficam com uma visão fragmentada do risco, não a perspectiva abrangente de que precisam para tomar decisões ideais para melhorar os resultados de segurança».
No seu entender, as organizações podem evitar estas «armadilhas» ao centralizar os recursos de dados e análises num único hub – uma única fonte de dados para alimentar os recursos de investigação, automação e orquestração de segurança: «Os dados podem ser aproveitados para reduzir alertas de falso positivo, libertando os recursos de segurança já sobrecarregados. A complexidade do ambiente é reduzida e aqueles que precisam podem ver uma imagem mais completa do risco».
O longo caminho até à adopção
Parece, então, consensual a tendência de a analítica estar agregada aos produtos de segurança. Mas daí à sua adopção generalizada vai ainda um longo percurso. Rui Branco, head of co-managed services na S21sec Portugal, salienta que o actual modelo assente em Gestão de Segurança da Informação e Eventos (SIEM), que tem sido aplicado nos últimos quinze anos, está progressivamente a incorporar estas soluções de analítica avançada baseadas em algoritmos e em análise estatística. «Um exemplo destas soluções é o UBA que permite identificar potenciais ameaças no comportamento dos utilizadores de uma organização».
Na maior parte dos casos, Rui Branco diz que a adopção destas práticas está muito dependente da evolução das plataformas de SIEM, até para justificar o elevado investimento que foi realizado. No entanto, o responsável da S21sec Portugal lembra que também estão a aparecer outras soluções assentes na análise estatística da telemetria de rede complementadas com soluções de machine learning e IA.
Mas já ninguém contesta que, neste momento, com o grande volume de dados de diagnóstico disponibilizados pelas várias ferramentas de segurança, é impossível identificar as ameaças sem uma ferramenta que correlacione todos estes eventos e padrões: «A análise de toda esta informação é fundamental para uma real noção do estado da segurança da organização e tentar antecipar os possíveis ataques que poderão comprometer a segurança dentro de uma organização», disse à businessIT Pedro Pires, responsável de cibersegurança na Fujitsu Portugal.
Actualmente, as grandes empresas que desenvolvem ferramentas de software estão já a criar os seus próprios módulos de análise avançada, soluções que se focam exactamente em detectar, investigar e mitigar actividades suspeitas. «Este tipo de acção não decorre do tradicional ataque a ameaças que são conhecidas através de, por exemplo, um sistema de assinaturas, mas sim da utilização de machine learning para tentar perceber se o que está a acontecer é, ou não, suspeito e eventualmente, de acordo com uma pontuação, impedir mesmo que uma acção seja realizada», explicou Pedro Pires, indo, de resto, ao encontro da opinião que têm mais players do mercado. Outro exemplo dado pelo responsável é o referente à utilização, por parte das ferramentas de análise avançada, de recursos embutidos (API) que os vários fornecedores de soluções de segurança têm disponíveis: «Em conjunto estas ferramentas permitem assim decisões mais rápidas e de maior qualidade em relação a novas ameaças».
Este tipo de abordagem, na qual a analítica serve a segurança, tenta, assim, colocar as organizações um passo à frente das possíveis ameaças, em vez de apenas actuar depois dos ataques. Pedro Pires garante que estas soluções vão permitir responder de uma «forma melhor e mais rápida», o que, por exemplo, à luz do RGPD, é algo essencial quando existe um tempo muito reduzido para não só explicar o impacto, mas também indicar a sua futura mitigação. «Também ajuda a colmatar o problema dos recursos humanos nesta área, por automatizar várias tarefas e permitir que os especialistas se foquem nas verdadeiras ameaças ou padrões que possam indiciar novos ataques, trazendo ainda mais valor às organizações», conclui o responsável da Fujitsu.