Como é que se mantém o risco da sua organização para baixo?

Tal como a segurança física, o sucesso na segurança da informação é definido mais como uma tarefa contínua de aplicação de boas práticas e princípios de segurança e higiene em vez de um estado absoluto estático. A redução do risco para o seu programa de segurança deve ser alinhada com a missão das suas organizações e moldada por três direções estratégicas fundamentais:

  • Construindo resiliência na sua estratégia de cibersegurança

  • Aumento estratégico do custo do agressor

  • Contendo tacticamente o acesso do intruso.

Resiliência

Construir resiliência de cibersegurança na sua organização requer o equilíbrio de investimentos em todo o ciclo de vida de segurança, aplicando diligentemente a manutenção, respondendo vigilantemente a anomalias e alertas para evitar a decadência da garantia de segurança, e projetando para a defesa em profundidade e menos privilégio.

Equilibrar os seus investimentos irá ajudá-lo a prevenir ataques de cibersegurança e a restaurar rapidamente as operações normais em caso de um ataque bem-sucedido. Ao investir em ambos, reduzirá o risco que a sua organização enfrenta. As funções do mapa NIST bem para estes objetivos duplos:

  • Identificar/Proteger – Compreender a sua postura, os seus atacantes, e investir em estabelecer e melhorar controlos para evitar ataques a dados e sistemas ao longo do tempo. Uma abordagem aprofundada da defesa pode mitigar ainda mais o risco, incluindo controlos suplementares concebidos para lidar com a potencial falha do controlo primário (por exemplo, assumindo que os controlos de rede falharão e implementarão proteções de segurança de dados e pontos finais)

  • Detetar/Responder/Recuperar – Mantenha-se vigilante para que quando os atacantes mentem nos sistemas e dados, você possa detetá-los rapidamente e restaurar as operações normais e garantias de segurança

Aumento do custo do agressor

Os ataques de cibersegurança são planeados e conduzidos por atacantes humanos que devem gerir o seu retorno do investimento em ataques (o retorno pode incluir lucro ou alcançar um objetivo atribuído). À medida que investe em segurança, deve considerar cuidadosamente como pode prejudicar o retorno do atacante no investimento com os seus investimentos defensivos.

A melhor maneira de prejudicar a capacidade de um intruso atacar com sucesso a sua organização é aumentar os seus custos prevenindo e detetando métodos de ataque fáceis e baratos. Isto aumentará rapidamente o custo mínimo do atacante e tornará-o um alvo menos atrativo em geral (especialmente para os atacantes com fins lucrativos). Alguns atacantes, como estados-nação, têm recursos consideráveis para a investigação e execução de ataques, mas o aumento dos seus custos ainda afeta o número de ataques bem sucedidos que podem montar com a (grande mas) quantidade finita de talento e tempo disponível. Os atacantes com recursos muitas vezes têm investido na construção de uma biblioteca de ataques avançados, mas normalmente os retêm até que sejam necessários porque usar estes métodos corre o risco de os "queimar", expondo-os à descoberta e mitigação por parte de fornecedores e organizações-alvo. Remover ataques baratos e fáceis afeta a eficácia de todos os atacantes e reduz o seu risco em geral.

Esta é uma mentalidade geral com muitas aplicações possíveis, mas duas aplicações concretas desta são:

  • Critérios de investimento - Ao considerar vários investimentos de segurança, avalie se os potenciais investimentos de menor custo do atacante em geral (por exemplo, este investimento de segurança força um intruso a construir ou comprar uma opção mais cara? Elimina uma de muitas opções baratas no menu do atacante? Ou só elimina um método de ataque caro/raro?)

  • Objetivos de simulação de ataque – À medida que se dedica a testes de penetração ou atividades de equipa vermelha para testar, deve concentrar estas equipas na identificação e catalogação dos métodos de menor custo para chegar aos dados críticos do negócio para que possa eliminá-los primeiro.

Contendo acesso ao agressor

O risco real de segurança para uma organização é fortemente influenciado pelo acesso que um adversário pode ou obtém a sistemas e dados valiosos. Os seus investimentos devem estar focados em garantir que as suas medidas de segurança restrinjam o acesso que um adversário obtém:

Tempo – Limite quanto tempo o adversário pode ter acesso ao seu ambiente durante uma operação de ataque. Isto é conseguido principalmente através de operações de segurança que detetam rapidamente potenciais ataques, priorizando potenciais deteções para que a sua equipa esteja focada em investigar rapidamente ataques reais (vs. falsos positivos), e reduzindo o seu tempo médio para remediar esses incidentes reais.
Mais informações sobre estes objetivos e métricas estão na secção de operações de segurança.

Privilégio – Limite os privilégios e permissões que um adversário pode obter durante uma operação de ataque (por permissões e por um período de tempo são atribuídos privilégios). À medida que os atacantes ganham mais privilégios, podem aceder a mais sistemas e dados alvo (ou usar esses sistemas para continuar a girar dentro do seu ambiente). A sua estratégia de segurança deve centrar-se em conter esses privilégios com:

  • Controlos preventivos
  • Deteção/resposta/recuperação que é priorizada para se concentrar em ativos críticos de negócio e elevadas quantidades de permissões para ativos normalmente funções de operações de TI.