Dicas relacionadas ao CDM para melhor monitoramento e gerenciamento de ameaças cibernéticas

Em novembro de 2018, o Congresso aprovou um projeto de lei que criou a Agência de Segurança Cibernética e de Infraestrutura (CISA). A CISA, parte do Departamento de Segurança Interna, ofereceu uma resposta federal à crescente ameaça de ataques cibernéticos, uma ameaça que ganhou destaque após a grande violação de dados do Escritório de Gestão de Pessoal (OPM) em 2015 , que deixou os dados pessoais de 22 milhões de funcionários federais comprometidos.

Um componente essencial da melhoria da segurança cibernética federal é a visibilidade, que está sendo abordada por meio do Programa de Diagnóstico e Mitigação Contínuos (CDM) da CISA. No ano passado, o Congresso aumentou o financiamento do MDL em US$ 53,5 milhões , reservando um total de US$ 213,5 milhões para o programa.

Os objetivos do programa incluem reduzir a superfície de ameaça das agências, aumentar a visibilidade de suas posturas cibernéticas, melhorar suas capacidades de resposta e agilizar os relatórios. Como esses fundos são realmente canalizados para investimentos em tecnologia, as agências precisam reconhecer o fato de que nenhum fornecedor sozinho é capaz de resolver todo o quebra-cabeça do MDL.

Com isso em mente, vamos dar uma olhada em algumas tecnologias que podem ajudar a tornar a visibilidade uma realidade e considerar como elas se relacionam entre si.

Visibilidade SSL

Para começar com algo aparentemente óbvio, as agências federais precisam ter visibilidade do tráfego que entra e sai de suas redes para garantir que não seja malicioso. Embora muitos dispositivos de segurança possam analisar o tráfego e detectar ameaças, eles não podem fazer isso se o tráfego estiver criptografado, como acontece com 90% dos dados da Internet.

Isso representa uma espécie de impasse. Embora a criptografia possa proteger a privacidade dos dados, ela também pode disfarçar malware. Esse enigma pode ser resolvido por meio de produtos de visibilidade SSL , que descriptografam e criptografam novamente o tráfego antes que ele seja direcionado para ferramentas de segurança com base em contexto como reputação de IP, porta/protocolo e categorização de URL.

As ferramentas de visibilidade SSL permitem que os dispositivos de segurança façam o que fazem de melhor — analisar o tráfego — em vez de desperdiçar recursos preciosos no processo intensivo de descriptografia/recriptografia. A visibilidade total das ameaças cibernéticas não pode ser alcançada sem esta etapa crucial.

Melhorando o monitoramento

Se as agências não conseguirem abrir o tráfego que entra e sai de sua rede, elas não poderão registrá-lo corretamente — e o registro e os relatórios são componentes essenciais dos requisitos do CDM. Somente descriptografando corretamente o tráfego as agências podem enviá-lo a um local central para ser registrado, monitorado, relatado e analisado posteriormente.

Por exemplo, com descriptografia e registro adequados, as agências podem usar análise comportamental, inteligência artificial e aprendizado de máquina para fazer uma análise comportamental do tráfego. Atualmente, 88% das agências civis federais estão usando uma ferramenta chamada Einstein para fazer exatamente isso.

Mas, mais uma vez, todas essas peças do quebra-cabeça precisam se encaixar. Análises avançadas não podem acontecer sem a descriptografia mencionada acima.

Protegendo Ativos

A visibilidade SSL abre fluxos criptografados para permitir que dispositivos de segurança ajudem a registrar e proteger esses ativos. Mas há muitas maneiras de abordar a proteção. Para começar, as agências precisam se proteger das dez principais ameaças do OWASP e dos ataques de dia zero emergentes. Outra estratégia de mitigação é registrar e monitorar o tráfego para que ele possa ser analisado, destacando ainda mais a interconexão desses diferentes componentes da segurança cibernética.

Da mesma forma, muitas plataformas de proteção de aplicativos multisserviços também podem e devem proteger contra tráfego de bots maliciosos. Todos os setores enfrentam ataques automatizados, como invasão de contas, reconhecimento de vulnerabilidades ou negação de serviço, e o governo federal não é exceção.

Juntando tudo

O programa CDM da CISA oferece um quebra-cabeça complexo, mas importante, que as agências não podem resolver por meio de um único fornecedor. A proteção de ativos em si requer diversas soluções, pois as agências estão se defendendo contra uma lista crescente de ataques. Mas essa proteção não pode acontecer sem verificar outras coisas, como descriptografar e registrar o tráfego.

No final das contas, as agências não podem proteger o que não podem ver. Embora essa seja a força motriz por trás do programa CDM, as agências devem garantir que tenham as ferramentas certas para garantir a visibilidade. Quebrar o tráfego criptografado, enviá-lo para um log central, executar análises comportamentais e configurar a proteção adequada dos ativos representa um bom ponto de partida.

Por Ryan Johnson, Líder de Engenharia de Soluções Federais, F5