O dinamismo dos riscos, como resultado do surgimento de novas ameaças e da identificação contínua de vulnerabilidades, bem como da maior adoção de tecnologias, determinaram que os modelos de segurança nas organizações devem se adaptar às mudanças contínuas.
Atualmente, as abordagens de prevenção e detecção, tradicionalmente usadas no campo da segurança cibernética, devem ser complementadas com novas formas de lidar com os riscos, particularmente com atividades de predição e resposta.
Essa perspectiva, chamada segurança adaptativa, considera que é apenas uma questão de tempo para que os sistemas sejam comprometidos; portanto, eles devem ser monitorados e corrigidos permanentemente, sem deixar de lado o trabalho constante de minimizar os riscos através da redução de seu impacto ou probabilidade de ocorrência.
Segurança adaptativa: aqueles que melhor se adaptam permanecem
Como na natureza, as espécies que sobrevivem não são as mais fortes, nem as mais rápidas, nem as maiores, mas as que se adaptam melhor às mudanças. Em um ambiente de riscos dinâmicos, os mais aptos sobrevivem, aqueles que conseguem se adaptar melhor ao ambiente.
Essa ideia aplicada ao campo da segurança cibernética define a adaptação como uma condição de relevância quando os riscos mudam constantemente. Nesse sentido, as organizações que melhor se adaptam às mudanças são aquelas que atingem seus objetivos. A segurança adaptativa considera a implementação de arquiteturas de segurança que se adaptam ao seu ambiente para conhecer comportamentos e eventos que permitem antecipar ameaças.
De acordo com essa abordagem, mesmo que a prevenção tenha sido realizada com perfeição, ela não é funcional; portanto, é necessário projetar uma infraestrutura de segurança adaptável, com a suposição de que essa infraestrutura será comprometida. Por isso, todos os sistemas e dispositivos devem ser considerados como potencialmente comprometidos e seus comportamentos devem ser avaliados continuamente para determinar seu risco e confiança.
O modelo foi definido pela Gartner Adaptive Security Architecture e está composto por quatro fases: predição, prevenção, detecção e resposta. Baseia-se na tomada de decisões em tempo real, a partir de avaliações de risco e confiança. Entre outros, seu objetivo é reduzir os prejuízos que uma ameaça interna e externa pode causar, minimizar perdas, assim como o tempo de detecção e resposta quando um incidente ocorre.
Cada uma das fases define diretrizes dentro de um ciclo que começa com a implementação, o monitoramento e o ajuste da postura de segurança, de acordo com as informações coletadas.
- Predição: refere-se à capacidade de antecipar ameaças e ataques, principalmente por meio de atividades de inteligência (identificação precoce de ameaças). Para realizar esta fase, a postura de segurança, a exposição da organização e a avaliação de riscos prioritários devem ser definidas.
Algumas considerações nesta fase estão relacionadas a outras atividades, como a descoberta de tendências de segurança cibernética, a investigação e a identificação de incidentes que as organizações sofreram (no nível local, regional ou global). A tarefa é passar de uma postura de segurança reativa para uma proativa, para antecipar ameaças e ataques.
- Prevenção: com base nas informações coletadas anteriormente, as medidas de segurança devem ser implementadas ou aprimoradas, incluindo a aquisição de tecnologias de proteção. Como em qualquer campo de segurança, a fase de prevenção visa impedir ataques.
Nesta fase, considera-se o fortalecimento ou isolamento dos sistemas (de acordo com as necessidades), a aplicação de políticas, processos, procedimentos e, em geral, controles de segurança (técnicos, administrativos ou físicos) que reduzem a probabilidade de ocorrência ou impacto dos riscos identificados.
- Detecção: a terceira fase refere-se a tecnologias complementares cujo objetivo principal é identificar comportamentos suspeitos ou anormais, bem como reconhecer ataques ou ameaças que conseguiram evitar medidas de prevenção.
Existem precondições a serem consideradas nesta fase. Por exemplo, a definição do que um incidente de segurança representa, já que desta forma se busca a contenção, que é outro dos pontos estratégicos considerados nesta etapa. Aspectos como confirmação e priorização de riscos também são considerados.
- Resposta: a última fase refere-se à resposta a incidentes, principalmente considerando a correção, bem como a investigação dos eventos e a análise retrospectiva do que aconteceu. O principal objetivo é erradicar as condições que permitiram a materialização do risco. Como resultado, devem ser executadas as ações necessárias para corrigi-las, que envolvem mudanças e as lições aprendidas.
Essa proposta de arquitetura de segurança busca abordar os riscos atuais, por meio do constante ajuste de condições nas organizações, com base em mais e melhores informações, avaliações de risco e confiança. A segurança da informação se trata de tomar decisões e adaptar-se continuamente às mudanças.
Leia também: