Segurança desperta para o poder da analítica;

A proliferação de dispositivos de Internet das Coisas (IoT), os serviços de rede e outras tecnologias disponíveis nas empresas teêm vindo a alargar o espetro dos ataques. E vai continuar a fazê-lo, uma evolução que está a levar as organizações a procurarem novas formas de defender os ativos críticos e reunir informações sobre estes intentos.

A analítica na segurança, que combina as informações recolhidas de ameaças com recurso a big data para ajudar a detetar, analisar e atenuar ataques direcionados e ameaças persistentes de atores externos, bem como aqueles que já estão dentro das paredes corporativas, começa agora a ser alvo de um forte investimento. 

Estudos e artigos de opinião publicados um pouco por todo o mundo em revistas e blogues da especialidade alimentam a ideia de que já não é suficiente proteger as empresas de contra-ataques externos, com soluções de segurança cibernéticas baseadas no perímetro. 

Mais que isso, os analistas defendem agora o uso de ferramentas que combinam a Análise de Comportamento do Utilizador (UBA), a aprendizagem de máquina e a visibilidade de dados para ajudar os profissionais de segurança a contextualizarem os dados e desmistificarem o comportamento humano, permitindo-lhes prever, prevenir e proteger a empresa contra ameaças internas. 

A analítica na segurança promete ainda dar informações sobre tentativas de violação de fontes externas. As ferramentas de análise trabalham em conjunto com as estratégias e defesas de rede existentes e, pelo menos na literatura, oferecem uma visão mais profunda das atividades suspeitas que podem muitas vezes passar despercebidas ou negligenciadas por longos períodos devido à grande quantidade de dados supérfluos reunidos todos os dias.

 

 

As consultoras validam toda esta tendência. De acordo com a Global Market Insights, o mercado de analítica na segurança foi avaliado em mais de dois mil milhões de dólares em 2015 e estima-se que crescerá mais de 26% nos próximos anos, excedendo os oito mil milhões até 2023. A ABI Research elevou este número ainda mais, estimando que a necessidade destas ferramentas impulsionará o mercado da analítica na segurança para uma receita de doze mil milhões de dólares até 2024.

Deborah Kish, analista da Gartner, diz num relatório libertado pela consultora que até 2020 a análise avançada de segurança será incorporada em pelo menos 75% dos produtos de segurança. A especialista explica que a tendência para a analítica é certamente encorajadora, mas não aconselha a que sejam ignorados os sensores que irão alimentar esses dados. Deborah Kish defende a ideia de que “a análise é tão boa quanto os dados” – se as entradas forem fracas, a saída também será igualmente débil, não importa quão avançada seja a plataforma analítica.

 

 

A tendência para embutir analítica avançada nos produtos de segurança está a começar a enraizar-se por todo o mercado. As empresas optam cada vez mais pela análise aplicada porque estas soluções, diz Roberto Llop, diretor regional da RSA para a Europa do Sul, são “poderosas”, “eficazes” e reduzem o tempo e os equipamentos necessários para investigar alertas e tomar decisões. “Pode-se afirmar que os antigos controlos baseados em assinaturas estão completamente obsoletos e a única maneira de combater eficazmente as ameaças avançadas é com controlos adaptativos baseados em análises baseadas em IA e Machine Learning”.

Mas, apesar de muitos fornecedores de segurança estarem a adicionar recursos analíticos aos seus produtos para torná-los mais inteligentes na deteção e prevenção de ameaças, Carla Miranda, senior presales Fraude & Compliance do SAS Portugal, diz que, embora essas soluções aumentadas possam incrementar a eficácia individual do produto, acabam por criar aquilo que apelida de “um pesadelo para os profissionais e executivos de segurança”.

A responsável explica que os dados em silos e recursos analíticos forçam os investigadores de segurança a gastar um tempo valioso a preparar e reunir as informações. “Que alertas de segurança são realmente importantes e quais são falsos positivos? Os investigadores muitas vezes não têm contexto suficiente para impulsionar ações rápidas – tempo que pode significar a diferença entre recuperar alguns laptops e a perda de dados”.

Ou seja, Carla Miranda é da opinião de que os responsáveis perdem a visibilidade crítica do risco de segurança organizacional quando as análises são descentralizadas entre produtos individuais: “Ficam com uma visão fragmentada do risco, não a perspetiva abrangente de que precisam para tomar decisões ideais para melhorar os resultados de segurança”. 

No seu entender, as organizações podem evitar estas “armadilhas” ao centralizar os recursos de dados e análises num único hub – uma única fonte de dados para alimentar os recursos de investigação, automação e orquestração de segurança: “Os dados podem ser aproveitados para reduzir alertas de falso positivo, libertando os recursos de segurança já sobrecarregados. A complexidade do ambiente é reduzida e aqueles que precisam podem ver uma imagem mais completa do risco”.

 

 

Já ninguém contesta que, neste momento, com o grande volume de dados de diagnóstico disponibilizados pelas várias ferramentas de segurança, é impossível identificar as ameaças sem uma ferramenta que correlacione todos estes eventos e padrões: “A análise de toda esta informação é fundamental para uma real noção do estado da segurança da organização e tentar antecipar os possíveis ataques que poderão comprometer a segurança dentro de uma organização”, disse Pedro Pires, responsável de cibersegurança na Fujitsu Portugal.

Atualmente, as grandes empresas que desenvolvem ferramentas de software estão já a criar os seus próprios módulos de análise avançada, soluções que se focam exatamente em detetar, investigar e mitigar atividades suspeitas. “Este tipo de ação não decorre do tradicional ataque a ameaças que são conhecidas através de, por exemplo, um sistema de assinaturas, mas sim da utilização de “machine learning” para tentar perceber se o que está a acontecer é, ou não, suspeito e eventualmente, de acordo com uma pontuação, impedir mesmo que uma ação seja realizada”, explicou Pedro Pires, indo, de resto, ao encontro da opinião que têm mais players do mercado. Outro exemplo dado pelo responsável é o referente à utilização, por parte das ferramentas de análise avançada, de recursos embutidos (API) que os vários fornecedores de soluções de segurança têm disponíveis: “Em conjunto estas ferramentas permitem assim decisões mais rápidas e de maior qualidade em relação a novas ameaças”.

Este tipo de abordagem, na qual a analítica serve a segurança, tenta, assim, colocar as organizações um passo à frente das possíveis ameaças, em vez de apenas atuar depois dos ataques. Pedro Pires garante que estas soluções vão permitir responder de uma “forma melhor e mais rápida”, o que, por exemplo, à luz do RGPD, é algo essencial quando existe um tempo muito reduzido para não só explicar o impacto, mas também indicar a sua futura mitigação. “Também ajuda a colmatar o problema dos recursos humanos nesta área, por automatizar várias tarefas e permitir que os especialistas se foquem nas verdadeiras ameaças ou padrões que possam indiciar novos ataques, trazendo ainda mais valor às organizações”, conclui o responsável da Fujitsu.