Às vezes, menos é mais

Seguinte

Se você é responsável por oferecer serviços de segurança da informação como Fornecedor de Serviços Gerenciados (MSP, por suas siglas em inglês), ou está encarregado disso em uma grande organização, então sabe que somente um pequeno erro pode custar caro. Ironicamente, é comum acontecer quando se está frente uma grande pressão para gastar dinheiro em diversos produtos de segurança para construir uma enorme barreira de proteção.

Ainda com a intenção de que seja impenetrável, essa solução pode ter consequências negativas no desempenho do sistema, proposta de valor e o retorno de investimento. Nesse sentido, a cibersegurança expõem uma questão: se você toma poucas ações, a segurança está perdida. Se você toma muitas decisões, gasta em excesso. Por isso, se bem uma segurança sustentável requer uma abordagem proativa, acreditamos que também se deve ter algo mais material.

Para equilibrar os riscos e cobrir múltiplas ameaças, os usuários começaram a executar um grupo de produtos independentes de modo paralelo, tentando combinar diversas funções de segurança. No entanto, como veremos, às vezes menos, é mais. Os avanços na indústria da cibersegurança mostram que, desde que os primeiros produtos foram lançados há 30 anos atrás, os fornecedores líderes seguiram a tendência de criar defesas cada vez mais efetivas, e se tornaram tecnologias em múltiplas camadas e funções para oferecer produtos de segurança completos.

Independente desses avanços, o modelo DIY, “faça você mesmo”, continua reunindo diferentes produtos com a esperança de conseguir uma solução de segurança integrada e, deixando de lado o fato de que os produtos de uma forma individual “não funcionam bem em conjunto”. Essas práticas também se opõem aos esforços da indústria em criar produtos endpoint que dividam a tecnologia em camadas – de forma complementar – para garantir a proteção, mas também oferecer diversas funções, baixo impacto no sistema e suporte entre as plataformas.

Na ESET, acreditamos que os melhores resultados ao enfrentar as ameaças mais perigosas são alcançados implementando uma solução para endpoint construída com tecnologia em múltiplas camadas de forma disciplinada: mantendo os sistemas atualizados regularmente, buscando o uso inteligente da automatização e treinamento contínuo para versões vigentes ou novas de uma solução específica.

No entanto, se o nível de atividade recorrente em fóruns como o Reddit serve de guia, então um comparativo entre a proteção oferecida por um único produto endpoint em diversas camadas e a proteção de um produto endpoint em múltiplas camadas combinado com várias soluções auxiliares demonstra que a pergunta está longe de ser respondida. Infelizmente, aqueles que estão encarregados, seja administradores de MSP, Diretores de segurança da informação (CISO, por suas siglas em inglês), ou membros diretivos de uma PME (Pequenas e Médias empresas) que escolheram uma segurança de TI, enfrentarão, eventualmente, o mesmo dilema.

Hora de decidir

Antes de tomar decisões sobre suas prioridades em segurança, estratégia e solução, obtenha informações adequadas e confiáveis de analistas externos. Provavelmente você estará realizando buscas com termos como: “set completo de funções” ou “tecnologias de detecção de malware/ransomware efetivas”. Ali, você encontrará quadros e diagramas (abaixo) que descrevem as características e tecnologias de detecção que costumam ser implementadas em endpoints.

Ao examinar as camadas de proteção descritas, o leitor verá que a maior parte das ameaças são abordadas por funções de Anti-Spam e bloqueio de URL; algo lógico se você sabe que a origem delas costuma ser por e-mails ou URLs maliciosas. Com o ESET Endpoint Protection, essas camadas possuem uma proteção a partir do ESET LiveGrid, Augur, nosso motor de aprendizagem automática, e nossa tecnologia HIPS, que supervisiona a atividade do sistema e reconhece comportamentos suspeitos. Isso, pode ativar mecanismos de defesa própria que previnem o programa ou processo de executar a atividade maliciosa. No entanto, por trás das definições independentes, se encontram um conjunto de tecnologias trabalhando, mas que nem sempre possuem limites claros. Divididas nas camadas de Continuidade, Pré-Execução e Pós-Execução, são essas que realmente as que analisam, protegem e, em alguns casos, defendem sua infraestrutura de TI.

Deveria também entender que, a maioria dos fornecedores de produtos endpoint, buscam atacar ameaças existentes de maneiras parecidas quanto ao método, ainda que com diferentes tecnologias, e, consequentemente, podemos observar que quando a última camada de uma solução é ativada, a grande maioria das ameaças já foram eliminadas.

Quando falamos de porcentagens, isso se traduz em números que não alcançam 100% somente por alguns centésimos. Na escala de um MSP ou uma grande corporação, essas frações de porcentagem podem resultar na supervivência de muitos objetos maliciosos (no ecossistema). No entanto, como já mencionamos, tentar enfrentar riscos restantes com produtos adicionais possui uma clara desvantagem dado que as tecnologias por trás das funções de proteção endpoint estão altamente integradas, e, portanto, não costumam lidar bem com outros complementos.

Visto dessa forma, utilizar soluções complementares de alta tecnologia para aumentar a proteção mediante o uso de uma camada paralela começa a se mostrar não tão eficaz, já que essas camadas de proteção provavelmente já funcionam como devem de forma integrada.

Um bom exemplo poderiam ser os produtos next-gen, que garantem “aumentar a segurança de forma drástica” mediante os avanços da Inteligência Artificial. O fato é que, a maioria das soluções para Endpoint já aplicam a Aprendizagem Automática, e além disso, também possuem outras tecnologias avançadas. E isso não se dá nos dias somente nos dias de hoje, já que camadas de proteção adicionais estão presentes há mais de anos, se não décadas. Agora, pergunte a você mesmo sobre a detecção dessas frações de porcentagem restantes: Até que ponto valem a pena?

Valor agregado inversamente proporcional?

Como MSP, ou outro “usuário avançado”, os benefícios operacionais e a rentabilidade financeira alcançável virão do menor uso de soluções auxiliares, especialmente quando uma única solução é suficiente. Se reduz somente em ter uma maior confiança em uma única solução.

Você também deveria levar em conta que, utilizar diversos produtos de segurança, pode ter um impacto técnico no desempenho da rede, principalmente, na solução de segurança primária implementada, sem mencionar a que o próprio dispositivo possui. Mais especificamente, podemos imaginar fadiga do administrador, causada pelo uso de interfaces de diversos usuários, o que pode aumentar a probabilidade de processos quebrados e o número de falsos positivos.

Simplesmente, gerenciar muitas tecnologias de segurança requer uma maior capacidade, é tecnicamente complexo, aumenta custos e é improvável que irá agregar valor com pequenos (potenciais) incrementos em segurança. Pode ainda fazer com que os sistemas se mostrem menos seguros, já que terão lutas internas para acessar processos de baixo nível entre os produtos de segurança. Em troca, faz com que seus equipamentos de segurança se especializem na infraestrutura e os processos escolhidos, e desenvolve uma relação colaborativa com seu fornecedor.

Os MSPs estão educando seus clientes, usuários e administradores de forma efetiva?

Já que a maioria dos incidentes de malware em qualquer rede se originam de clientes que o receberam, educar os usuários sobre o papel que os fatores “humanos” possuem na segurança, é essencial. Isso também ajudará a administração a entender que utilizar múltiplos produtos de segurança de uma vez não formam uma solução completa. Em troca, a educação do usuário influencia tanto em dar apoio como em monitorar a implementação de melhores práticas de segurança, incluindo senhas fortes e atualizações regulares nos sistemas operacionais e software de seus computadores, e familiarizar os usuários para que eles identifiquem ataques de phishing e engenharia social.

O valor é tempo adicional, capacidade adicional, e… segurança adicional

Ainda que soe simples, as prioridades aqui ressaltadas, junto com um produto de segurança em múltiplas camadas e bem gerenciado, são componentes essenciais para a segurança e custo benefício. Um maior conhecimento do cliente e usuário final permitirá um controle mais efetivo sobre seus sistemas, menos riscos e economizará custos para todas as partes, exceto os atacantes.

Visto em termos de Retorno de Investimento (ROI, por suas siglas em inglês), se um MSP é capaz de economizar tempo e capacidade evitando usar diversos produtos, haverá mais tempo para focar no gerenciamento da plataforma, realizar atualizações adequadamente, e realizar ajustes necessários, assim como integração e automatização. Essa agrupação binária, - ter práticas centrais disciplinadas de segurança e aplicar uma lógica básica de negócio – é o que mais ajudará no crescimento de seu negócio e a ampliar suas práticas de segurança no espaço MSP.

Junte-se ao programa MSP!

Créditos da Imagem: Pete Linforth @ Pixabay