- Home
- What is cybersecurity mesh
O que é uma malha de cibersegurança?
Malha de cibersegurança
O advento da computação em cloud, da IoT (Internet das Coisas) e a crescente tendência do trabalho remoto exigiram uma mudança dos modelos tradicionais de segurança baseados em perímetro para estruturas mais flexíveis e adaptáveis. Devido a essa mudança, surgiram inúmeros pontos de entrada que agentes maliciosos podem explorar, e a abordagem de segurança típica não consegue proteger todas essas áreas. A malha de cibersegurança pode ser útil nessa situação.
De acordo com o Gartner "o malha de cibersegurança, ou arquitetura de malha de cibersegurança (CSMA), é um ecossistema colaborativo de ferramentas e controles para proteger uma empresa moderna e distribuída." A ideia por trás do conceito é construir uma "malha" de produtos de segurança interoperáveis que possam cooperar para oferecer uma defesa abrangente contra ameaças cibernéticas. Isso é alcançado seguindo uma estratégia distribuída para segurança de rede e infraestrutura que permite que o perímetro de segurança seja configurado em torno das identidades de usuários e computadores na rede. A malha de cibersegurança também ajuda a eliminar silos entre diferentes soluções, permitindo que elas trabalhem juntas com mais eficiência.
A tabela abaixo compara as diferenças entre a abordagem de segurança tradicional e o CSMA, enfatizando como o CSMA oferece uma abordagem mais adaptável e moderna para a segurança de redes em resposta ao cenário de ameaças em constante evolução e aos ambientes de rede distribuídos.
| Aspecto | Abordagem de segurança tradicional | Arquitetura de malha de cibersegurança (CSMA) |
|---|---|---|
| Defesa de perímetro | Depende fortemente de uma defesa de perímetro estática, como firewalls e VPNs, para proteger a rede. | Afasta-se de um perímetro fixo e enfatiza a segurança descentralizada. |
| Modelo de confiança | Normalmente segue um modelo de confiança baseado em perímetro, onde as entidades dentro da rede são confiáveis por padrão. | Adota um modelo de Zero Trust, assumindo que nenhuma entidade é confiável e que a verificação é necessária para todo o acesso. |
| Limites de rede | Frequentemente baseados em limites de rede físicos ou lógicos, dificultando a proteção de recursos distribuídos. | Oferece proteção flexível para recursos, independentemente de sua localização ou tipo, dentro de uma estratégia unificada. |
| Controle de acesso | Normalmente depende de segmentação de rede e VLANs, que podem ser complexas de gerenciar e carecer de granularidade. | Implementa microsegmentação para controle de acesso refinado e redução do movimento lateral para invasores. |
| Integração de API | Pode não ter integração nativa com aplicações e serviços, dificultando a segurança de softwares modernos. | Utiliza segurança orientada por API para integrar controles diretamente em aplicações, aprimorando a segurança nativamente. |
| Monitoramento contínuo | O monitoramento pode ser periódico, carecendo de insights em tempo real e dificultando a detecção e resposta rápida a ameaças. | Incorpora monitoramento e análises contínuos em tempo real para detectar e responder a ameaças de forma proativa. |
| Automação | Recursos limitados de automação podem resultar em tempos de resposta mais lentos e erros humanos na aplicação de políticas de segurança. | Emprega automação para aplicação de políticas de segurança, detecção e resposta a ameaças, aprimorando a agilidade e a precisão. |
| Implantação global | Pode ter dificuldades para fornecer segurança consistente em locais distribuídos globalmente. | Oferece suporte à implantação global, garantindo políticas e controles de segurança consistentes em locais geograficamente diversos. |
Camadas da CSMA
A CSMA oferece visibilidade, controle e proteção contra ameaças cibernéticas, permitindo que as organizações gerenciem melhor os riscos de segurança e respondam às ameaças com eficácia. É composto por quatro camadas fundamentais, cada uma com suporte para uma tarefa e responsabilidade específica.
Análise e inteligência de segurança
Esta camada concentra-se na coleta e análise de todos os dados de segurança em tempo real provenientes de diversas ferramentas de segurança. Após analisar todos os dados, ela elabora uma resposta eficaz contra ameaças. Soluções como SIEM, SOAR, e ferramentas baseadas em UEBA ajudam a examinar ameaças potenciais e acionar respostas a ameaças.
- Gerenciamento de informações e eventos de segurança (SIEM): Uma solução SIEM fornece gerenciamento centralizado de logs, correlação em tempo real e recursos de detecção de ameaças. Dentro de uma malha de segurança cibernética, a solução SIEM ajuda a detectar incidentes de segurança, identificar padrões e executar alertas acionáveis para investigar e mitigar eventos de segurança.
- Análise de comportamento de usuários e entidades (UEBA): A UEBA ajuda a detectar comportamentos anômalos de usuários, identificar ameaças internas ou contas comprometidas, além de outros eventos suspeitos. Ela utiliza algoritmos de machine learning para criar uma linha de base do comportamento normal do usuário dentro da malha de segurança cibernética.
- Orquestração, automação e resposta de segurança (SOAR): Para permitir uma resposta mais rápida e eficaz a problemas de segurança, o SOAR combina orquestração de segurança, automação e gerenciamento de casos. Ele possibilita a detecção automatizada de ameaças, a triagem de incidentes e as ações de resposta, integrando-se a diversas ferramentas e fluxos de trabalho de segurança dentro da malha de cibersegurança.
Infraestrutura de identidade distribuída
Auxilia no gerenciamento de identidade e controle de acesso de forma descentralizada e distribuída. Devido à sua rede descentralizada de nós, não há um único ponto de vulnerabilidade, tornando-a uma abordagem confiável. Inclui gerenciamento de identidade descentralizado, acesso adaptativo, gerenciamento de direitos, serviços de diretório e recursos de comprovação de identidade.
Gerenciamento consolidado de políticas e posturas (CPPM)
Auxilia no gerenciamento de políticas de segurança cibernética e na implementação de uma postura de segurança em toda a rede e infraestrutura de uma organização. Com o auxílio do CPPM, a organização pode aplicar políticas de segurança em todos os dispositivos e aplicações. Isso garante que todos os ativos estejam protegidos contra vulnerabilidades e que a conformidade com os requisitos regulatórios seja mantida.
Dashboards consolidados
Esta camada envolve a agregação de dados de segurança de múltiplas fontes, que são apresentados em um único dashboard. Isso ajuda os analistas de segurança a monitorar e analisar eventos ou incidentes de segurança em toda a organização em tempo real. Os dashboards modulares ajudam as equipes de segurança a identificar e responder a ameaças facilmente, fornecendo informações como alertas de segurança, relatórios de conformidade, métricas de desempenho do sistema, etc.
O papel da CSMA na implementação de redes Zero Trust
A arquitetura Zero Trust é um modelo de segurança que se baseia no princípio "nunca confie, sempre verifique". Portanto, ela examina continuamente as atividades do usuário e seus privilégios de acesso. O CSMA é uma extensão do Zero Trust e protege cada dispositivo e ponto de acesso. Ele é projetado de forma a ser mais flexível e adaptável para criar uma estratégia unificada.
Por que as organizações precisam de uma malha de cibersegurança?
A CSMA atua como uma solução essencial para se defender contra o aumento alarmante de ameaças cibernéticas, pois fornece segurança em toda a empresa, permitindo assim um modelo de segurança mais granular e responsivo. À medida que as organizações continuam a migrar para um ambiente de trabalho distribuído ou remoto, uma abordagem descentralizada é cada vez mais preferida. Além disso, o Gartner prevê que as organizações que adotam a arquitetura de malha de cibersegurança provavelmente verão uma redução de 90% no impacto financeiro de incidentes de segurança.
Os benefícios a seguir explicarão por que a adoção da CSMA por uma organização melhorará sua postura de segurança.
Integração de inteligência de ameaças
Ao integrar a malha de cibersegurança com feeds e serviços de inteligência de ameaçasl, podemos identificar e correlacionar não apenas eventos de ameaças com indicadores conhecidos, mas também aprimorar a análise de segurança com informações externas sobre ameaças. Isso ajuda os administradores de TI a detectar e mitigar ameaças emergentes e técnicas de ataque sofisticadas.
Correlação e análise de dados
Uma malha de cibersegurança permite a correlação e análise de logs e eventos de segurança de diversos dispositivos e serviços em rede. Com essa funcionalidade, analistas de segurança podem identificar tendências, encontrar correlações entre ocorrências aparentemente desconexas e detectar indicadores ocultos de comprometimento (IOCs). Isso auxilia na detecção de ameaças internas, cenários de ataque complexos e ameaças persistentes avançadas (APTs).
Design de segurança inteligente e compatível
As 4 camadas da CSMA são construídas em torno de recursos essenciais, permitindo que uma organização planeje uma arquitetura segura e utilize as melhores soluções. Devido à flexibilidade da arquitetura em termos de segurança, ela mantém a infraestrutura em constante evolução protegida.
Colaboração e eficiência aprimoradas
A CSMA ajuda as equipes de segurança a colaborarem entre si ou com diversas outras soluções de segurança. Isso ajuda a melhorar a velocidade e a eficiência da detecção de ameaças, o tempo de resposta a ameaças, a análise de segurança, as técnicas de mitigação, as soluções de prevenção, etc.
Escalabilidade e adaptabilidade
A malha CSMA foi projetada para ser escalável e adaptável, pois, à medida que as organizações adicionam mais dispositivos e recursos às suas redes, a malha pode se expandir para acomodá-los. Esse benefício é vital na era da IoT e do trabalho remoto, pois isso resulta em um rápido crescimento de usuários e dispositivos.
Aumento de provedores de serviços de segurança gerenciados (MSSPs)
Devido à complexidade da segurança cibernética, as organizações têm dificuldade em manter sua segurança internamente. Os MSSPs fornecem conhecimento especializado e tecnologias para empresas, oferecendo melhor segurança, mitigando riscos cibernéticos e implementando soluções de IAM de longa duração.
Arquitetura descentralizada
Uma arquitetura descentralizada com pontos de aplicação de segurança e controles distribuídos deve ser usada para construir a malha. Isso diminui a probabilidade de o sistema ser comprometido por um único ponto de falha e elimina a dependência de um único ponto de controle.
Por que implementar CSMA?
Nos últimos anos, houve um aumento nos ataques de phishing e nas ameaças cibernéticas, e as abordagens existentes não são suficientes para proteger uma organização. Com a ajuda da CSMA, é possível proteger a infraestrutura de segurança da organização e também criar um ambiente seguro e escalável.
As organizações que implementam o CSMA precisam de soluções que funcionem bem juntas para garantir que todos os nós sejam visíveis e facilitem o gerenciamento centralizado. Para garantir que todas essas soluções interligadas reconheçam e reajam às mesmas ameaças e alertas, elas também devem utilizar um banco de dados comum de inteligência contra ameaças. Gerenciamento de ameaças internas, DLP, CASB, IAM, SIEM, e SOAR estão entre as diversas soluções necessárias para a adoção de uma abordagem CSMA.
Para integrar o CSMA a uma solução de segurança existente, os analistas de segurança devem seguir certos critérios para uma implementação eficaz, como:
Integrar a infraestrutura de segurança de rede existente
Os analistas de segurança devem integrar as tecnologias disponíveis em cada camada e criar uma malha de cibersegurança coesa. Devem também configurar e testar se as novas soluções funcionam perfeitamente em conjunto com as existentes.
Visibilidade e monitoramento
A malha deve proporcionar visibilidade abrangente da atividade de rede, do comportamento dos dispositivos e dos eventos de segurança. Para coletar e analisar dados relacionados à segurança de diversas fontes, ela deve incluir recursos de monitoramento confiáveis. Logs, telemetria, fluxos de rede e feeds de inteligência de ameaças se enquadram nessa categoria.
Resposta a incidentes e orquestração
Criar workflows e processos de resposta a incidentes que utilizem a infraestrutura de segurança integrada. Definir o tratamento e a resposta a alertas e incidentes de segurança detectados pela malha de cibersegurança e pela solução de segurança atual.
Conclusão
As empresas estão evoluindo rapidamente e migrando para infraestruturas de armazenamento baseadas em nuvem, mas muitas vezes não percebem as ameaças à segurança que acompanham essas mudanças. A malha de cibersegurança ajuda a proteger sua rede contra ameaças e a ampliar a política de segurança baseada em perímetro, permitindo melhores decisões e incentivando a integração e a colaboração em sua organização.
