O pior segurança as violações raramente começam com alarde. Em vez disso, os ataques mais perigosos são aqueles que passam silenciosamente pelo perímetro e começam a se espalhar enquanto os defensores permanecem inconscientes. É o tempo que os invasores passam sob o radar dentro do sistema que transforma uma intrusão em um desastre.
No entanto, apesar de anos de investimento em ferramentas preventivas, ainda vemos organizações a lutar consistentemente para detectar e conter os atacantes quando estes entram.
Vice-presidente de Estratégia da Indústria da Illumio.
Muitas vezes, a deficiência não é a falta de visibilidade ou de alertas de segurança, mas sim a falta de clareza. Nos ambientes híbridos atuais, a resiliência depende menos do bloqueio de todas as ameaças e mais da identificação das que já estão ao nosso alcance.
A lacuna crescente entre detecção e visibilidade real
Não é nenhum segredo que as equipes de segurança estão se sentindo cada vez mais sobrecarregadas e é fácil perceber o porquê quando você começa a analisar os números.
Nossa pesquisa mostra que uma organização típica enfrenta mais de 2.000 alertas todos os dias, e grande parte disso é ruído que oferece pouco valor real.
Os analistas passam mais de 14 horas por semana à procura de falsos positivos, e dois terços dos líderes admitem que as suas equipas simplesmente não conseguem acompanhar. Alertas perdidos rapidamente se transformam em oportunidades perdidas para impedir invasores antecipadamente.
A complexidade das ferramentas aumenta o problema. Embora a maioria das organizações agora use vários nuvem plataformas de detecção e resposta, descobrimos que quase todas (92%) ainda relatam lacunas significativas de capacidade.
Mais dados não significa necessariamente uma melhor detecção, e a sobreposição de sistemas cria uma visibilidade fragmentada e informações conflitantes. Sem um contexto significativo para unir estes sinais, os defensores ficam juntando fragmentos de uma história em vez de ver o que realmente importa.
Por que o movimento lateral continua sendo o ponto cego favorito do atacante
Os desafios generalizados de separar o sinal do ruído são um enorme benefício para os agentes de ameaças, que favorecem cada vez mais táticas lentas e lentas. Uma vez dentro de uma organização, em vez de agir imediatamente, eles muitas vezes se infiltram na rede, aumentando privilégios, investigando cargas de trabalho e procurando sistemas confidenciais.
É neste movimento lateral que pequenas violações se transformam em grandes crises operacionais e continua a ser uma das fases mais difíceis de detetar de um ataque.
Está a compensar os ciberataques, com quase 9 em cada 10 organizações a dizer-nos que sofreram um incidente envolvendo movimento lateral no ano passado. Em média, estas violações resultaram em mais de sete horas de inatividade, com perturbações operacionais contínuas e recuperação total que se prolongaram ainda mais.
Estes incidentes persistem porque o tráfego leste-oeste em ambientes híbridos modernos permanece pouco compreendido. Mesmo quando as organizações acreditam que estão monitoramento comunicações internas de forma eficaz, quase 40% desse tráfego não possui o contexto necessário para uma análise confiável.
Os invasores prosperam quando os defensores estão sobrecarregados, inseguros ou incapazes de distinguir atividades legítimas dos primeiros sinais de uma intrusão que se espalha pela rede.
A importância da observabilidade
A defesa eficaz contra estas ameaças exige uma observabilidade profunda. Tem havido um impulso contínuo nesta direção por parte de organismos da indústria, com o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), por exemplo, a emitir recentemente orientações.
O NCSC sublinha que as organizações não podem caçar ameaças que não conseguem ver e que os indicadores tradicionais de compromisso já não são suficientes. Em vez disso, os defensores precisam de visibilidade sobre comportamentos, padrões, identidades, cargas de trabalho e tráfego leste-oeste para descobrir os sinais sutis que revelam um invasor já em ação.
Isto está estreitamente alinhado com a nossa própria análise sobre a falta de contexto para o tráfego interno, apesar da confiança generalizada nas capacidades de monitorização.
A observabilidade deve ir além da coleta de mais registros. Requer compreender como os sistemas se relacionam, se comportam e mudam ao longo do tempo, e conectar esses insights antes que um invasor o faça.
Por que o contexto, a correlação e a contenção devem substituir a busca de alertas
Durante anos, vimos programas de segurança reagirem ao aumento do volume de ataques reunindo mais dados. Mas longe de acompanhar, esta abordagem muitas vezes serve apenas para intensificar a fadiga do alerta.
Porque grandes porções de rede Se o tráfego ainda não tiver o contexto necessário para uma investigação significativa, os analistas acabam examinando alertas não prioritários em vez de se concentrarem no comportamento do invasor.
O que as equipes de segurança precisam é de uma visão conectada de seu ambiente, e não de sinais isolados. Modelos contextuais, como gráficos de segurança, ajudam a mapear as relações entre cargas de trabalho, identidades, dispositivos e fluxos de dados.
Eles transformam indicadores dispersos em uma imagem coerente. Um alerta de baixo nível em um sistema pode subitamente fazer sentido quando vinculado a comportamento suspeito em outro lugar, revelando a intenção do invasor em vez de anomalias isoladas.
Esta mudança da busca de alertas para a compreensão dos caminhos é essencial para a contenção de violações. Quando os defensores conseguem ver como os sistemas interagem e onde estão os ativos mais confidenciais, eles podem identificar as rotas que um invasor provavelmente seguirá.
Essa clareza permite que as equipes atuem com confiança, retardando ou interrompendo o movimento lateral antes que ele se espalhe.
IA, automação e dimensionamento do julgamento humano de forma responsável
À medida que os ambientes se expandem, o volume e a complexidade dos dados de segurança ultrapassaram o que os analistas humanos conseguem gerir sozinhos. É aqui que a IA e a automação desempenham um papel crítico.
Muitas organizações estão recorrendo à IA e ao aprendizado de máquina para melhorar a precisão da detecção e acelerar os tempos de resposta, vendo esses recursos como fundamentais para detectar movimentos laterais mais cedo e aliviar o fardo da fadiga dos alertas.
No entanto, é um erro acreditar que investir em IA resolverá tudo sozinho. A IA é mais eficaz quando aumenta, e não substitui, a experiência humana. Os sistemas automatizados podem correlacionar sinais em ambientes híbridos, enriquecê-los com contexto e filtrar ruídos, proporcionando aos analistas um ponto de partida mais preciso.
Combinada com uma abordagem de gráfico de segurança, por exemplo, a análise alimentada por IA pode traçar continuamente cada carga de trabalho e conexão em tempo real, destacando padrões comportamentais que seriam impossíveis de detectar manualmente.
Isto cria um multiplicador de forças que permite decisões mais rápidas e confiantes e apoia a rápida contenção que a resiliência moderna exige.
Os gráficos de segurança alimentados por IA podem conectar os pontos de eventos de rede aparentemente díspares, estabelecendo uma narrativa conectada onde analistas humanos ocupados podem ver alertas isolados.
Por exemplo, uma carga de trabalho acessando um banco de dados nunca acessado antes pode ser rastreado até uma identidade mal configurada, revelando um caminho de ataque que já está sendo explorado.
O que isso significa para líderes de negócios e de TI
Para os líderes, o caminho a seguir começa com o reconhecimento de que a resiliência depende do que acontece depois que um invasor entra. Isso significa investir na observabilidade em todo o conjunto híbrido, não apenas nos logs de perímetro, mas nas identidades, nas cargas de trabalho, serviços em nuvem e tráfego leste-oeste que revelam como os ataques se desenrolam.
Também requer a mudança de estratégias de detecção para comportamentos e relacionamentos, apoiadas pela caça a ameaças e pela investigação baseada em hipóteses. Automação e a IA pode ajudar, mas apenas quando baseada em dados contextualizados e de alta qualidade.
Finalmente, o sucesso deve ser medido não pelo número de ameaças bloqueadas, mas pela rapidez com que as organizações conseguem detectar, conter e recuperar de uma intrusão.
As violações são agora uma parte inevitável da operação em ambientes híbridos e de rápida evolução. O que importa é a rapidez com que uma organização consegue reconhecer quando algo está errado e limitar o impacto.
Apresentamos o melhor software de criptografia.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes do setor de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não são necessariamente da TechRadarPro ou Future plc. Se você estiver interessado em contribuir saiba mais aqui: https://www.techradar.com/news/submit-your-story-to-techradar-pro