A empresa de análise Gartner definiu o conceito “agente de segurança de acesso à nuvem", ou CASB, pela primeira vez em 2012. Ele se tornou uma tecnologia bem conhecida e adotada para defesa cibernética. Você pode pensar nisso como uma solução que fica entre os usuários de uma organização e os vários serviços de nuvem que eles acessam. E por estar lá, um CASB pode ajudá-lo a autenticar e autorizar usuários enquanto eles tentam acessar a nuvem, e permitir que você identifique o que entra e sai da nuvem. Seu centro de operações de segurança pode depender muito de uma solução de SIEM atualmente; você deve garantir em breve que seu SIEM se integre de maneira transparente com uma solução de CASB externa ou que tenha recursos de CASB integrados. Uma solução de SIEM com capacidades de CASB integradas pode ajudá-lo a evitar o incômodo de usar várias soluções de segurança, fabricadas por fornecedores distintos, e os problemas de compatibilidade resultantes que surgem durante a integração. O Log360 da ManageEngine é uma solução de SIEM unificada com recursos de DLP e CASB integrados que podem ajudá-lo a proteger seus ambientes locais e na nuvem.
Um CASB deve fazer parte do seu SIEM por cinco motivos principais: para enfrentar a alta aceitação de aplicações em nuvem, correlacionar eventos que ocorrem em diferentes partes da rede, evitar vazamentos de dados, fornecer visibilidade sobre a shadow IT e oferecer visibilidade ao gerenciamento de identidade e acesso (IAM). Esses cinco motivos podem ser considerados os benefícios de uma solução de SIEM integrada ao CASB.
Como abordar a alta aceitação de aplicações em nuvem
Um funcionário médio utiliza até 30 aplicações de SaaS em nuvem. Além disso, ele usa essas aplicações nos seus próprios dispositivos móveis. Como se isso não bastasse, a maioria das organizações atualmente utiliza um ambiente multi-nuvem, com vários modelos de entrega PaaS e IaaS. Portanto, você precisa ter uma solução de SIEM habilitada para CASB que ofereça visibilidade sobre as aplicações em uso e como elas estão sendo utilizadas. Com essa solução, você também pode estar ciente do nível de risco que uma aplicação específica representa para sua organização.
Uma ferramenta de SIEM sem integração com o CASB não lhe oferecerá essa visibilidade sobre as atividades na nuvem. E um CASB autônomo não terá o contexto de segurança necessário fornecido por eventos de interesse que ocorrem em outras partes da rede. O Log360 fornece visibilidade completa na nuvem e pode proteger seus recursos e contas baseados na nuvem contra acessos não autorizados e evitar roubos de dados, conforme mostrado na Figura 1.
Figura 1: Painel do Log360 mostrando as principais aplicações em nuvem por acessos, upload e tamanho do download
Correlação de eventos que ocorrem em diferentes partes da rede
Os ataques cibernéticos tornaram-se sofisticados nos últimos tempos. Você tem casos de ataques de living-off-the-land, malware em nuvem com acesso inicial em um servidor local, ransomware e disruptware em nuvem, além de ataques internos. Você precisa ter a capacidade de enxergar padrões e correlacionar eventos aparentemente não relacionados que ocorrem nas diferentes partes da rede e agrupá-los como um único incidente de segurança. O Log360 é oferecido com diversas regras de correlação integradas para detectar ameaças como ransomware e ataques DDoS. Ele também permite que você crie regras de correlação personalizadas de acordo com os requisitos de segurança e casos de uso da sua organização.
Prevenção de vazamentos de dados
Com o advento das aplicações em nuvem, há um risco substancial de vazamentos de dados intencionais e não intencionais. Por exemplo, um funcionário do departamento de marketing pode usar uma aplicação chamada Font Candy para criar uma tipografia vibrante. No entanto, essa aplicação pode não estar autorizada dentro da organização, e o funcionário pode ter detalhes de contato privados e informações confidenciais armazenadas nela. Nesse cenário, você precisa ter a capacidade de gerenciar uploads não autorizados de dados confidenciais e evitar vazamentos de informações. Com um CASB, você também pode aplicar políticas e controles de segurança na nuvem para evitar a transferência de dados via Internet. Uma ferramenta de SIEM integrada ao CASB, como o Log360, permitirá que você veja todas essas informações no mesmo console que as outras informações de segurança importantes, conforme mostrado na Figura 1.
Fornecendo visibilidade para o shadow IT
Atualmente, a maioria das organizações tem uma lista de aplicações em nuvem aprovadas que os funcionários podem usar caso desejarem. Essas aplicações podem ter sido sancionadas depois que a organização as considerou seguras e eficazes para a produtividade dos funcionários. As aplicações sancionadas são de propriedade ou controladas pela organização. Por outro lado, você também pode ter aplicações shadow que estão fora da propriedade ou do controle das organizações de TI. Aplicações shadow podem ter vulnerabilidades e brechas que poderão ser exploradas por invasores.
Um CASB lhe dará a capacidade de descobrir as aplicações shadow e principais usuários que as acessam. Uma solução de SIEM permitirá que você veja essas informações juntamente com outras atividades que o usuário possa ter realizado na rede. Dessa forma, você pode ter uma visão completa das possíveis atividades maliciosas. O Log360 fornece relatórios completos sobre as aplicações shadow acessadas pelos usuários, juntamente com a reputação da aplicação, categoria da aplicação e vários outros detalhes (consulte a Figura 2), o que permite que sua equipe de segurança decida se aprova ou rejeita as aplicações.
Figura 2: Relatórios do Log360 que oferecem insights sobre solicitações de aplicações de shadow IT
Oferecendo visibilidade sobre o IAM
De acordo com Erik Wahlstrom, Diretor de Pesquisa da Gartner, "As organizações não devem substituir seus programas de IAM por CASBs, mas sim cruzar os dois para aumentar a governança e controle de acesso de aplicações em nuvem”. Um CASB pode fornecer um IAM melhor utilizando métodos como autenticação adaptável e análise de risco baseada no usuário.
Ao trazer essa capacidade para o SIEM, você poderá ver o comportamento de risco dos usuários em um único console e usar manuais e fluxos de trabalho para responder a essas ameaças.
Nos próximos anos, haverá um aumento rápido e contínuo na adoção de soluções de CASB; Espera-se que o mercado de CASB cresça a um CAGR de 17,9% entre 2024 e 2030. Embora não tenha certeza de até que ponto essa adoção será impulsionada por integrações de SIEM, estou certo de que será uma parcela considerável. Para avaliar uma solução de SIEM com capacidades integradas de DLP, CASB, UEBA e SOAR, inscreva-se para uma demonstração personalizada do Log360.