O SOC moderno é construído sobre uma base frágil. A política de confiança zero pode resolver isso.

Em 2003, a Gartner publicou o que ficou conhecido como o artigo"IDS is Dead" (Sistema de Detecção de Intrusão está Morto). A indústria respondeu ao declínio das ferramentas de sistema de detecção de intrusão (IDS) criando ferramentas de gerenciamento de informações e eventos de segurança (SIEM).  

Em meados da década de 2010, o SIEM foi declarado uma ferramenta de conformidade, então a indústria desenvolveu a detecção e resposta de endpoints (EDR). Quando o EDR não conseguiu abranger tudo, surgiu a detecção e resposta de rede (NDR).  

Em seguida, surgiu o Extended Detection and Response (XDR), que gerou enorme confusão e, desde então, foi declarado morto pela mesma Gartner que testemunhou o fim dos IDS.  

Cada transição foi apresentada como progresso. No entanto, como o Dr. Anton Chuvakin, consultor de segurança do Escritório do CISO do Google Cloud, e Erik Bloch, vice-presidente de segurança da informação da Illumio, me disseram no episódio mais recente do podcast The Segment , a maioria dos ambientes corporativos nunca foi projetada arquitetonicamente para tornar a detecção confiável.  

As ferramentas SOC construídas sobre esses ambientes herdaram essa falha, e a maioria das novas ferramentas criadas desde então contornaram o problema em vez de corrigi-lo. Enquanto os líderes de segurança não abordarem a arquitetura subjacente, o ciclo de investimento em ferramentas sem resultados aprimorados continuará.  

O Zero Trust quebra esse ciclo ao tratar a arquitetura como o problema a ser resolvido, em vez da premissa a ser contornada.

A economia paliativa e por que ela é tão lucrativa.

Quando perguntei a Erik por que os resultados da detecção e resposta não mudaram significativamente, apesar dos bilhões investidos e décadas de inovação, ele atribuiu isso ao fato de a indústria tentar remediar os sintomas em vez da causa raiz.

"Observo muitas startups de segurança que existem hoje em dia, e elas estão criando soluções paliativas", disse ele. “Os investidores sabem que podem investir em soluções paliativas, sabem que essas soluções funcionarão por algum tempo até que deixem de funcionar, e então podem investir na próxima solução paliativa, em vez de atacar os problemas fundamentais que estão causando os problemas desde o início.”

O mercado de fornecedores de segurança prospera com melhorias incrementais na capacidade de detecção. Cada nova onda de tecnologia de detecção e resposta promete ser aquela que finalmente fará a diferença. E cada onda, quando comparada aos resultados, decepciona em grande parte.

Erik prosseguiu: "Há coisas que poderíamos fazer arquitetonicamente que resolveriam muitos dos problemas que enfrentamos hoje." Fazemos isso? Não. Compramos mais soluções paliativas para encobrir os problemas arquitetônicos e, em seguida, respondemos a todos esses alertas também.”

O problema de "encontrar uma agulha no palheiro" — localizar ameaças reais em um oceano de alertas — não melhorou apesar de décadas de investimento em ferramentas. Erik observou que a proporção de ameaças reais em relação ao ruído total tem permanecido teimosamente entre 4% e 7%.  

Mais ferramentas não alteraram esse número, e não irão alterá-lo, porque as ferramentas estão a jusante do problema.

O que significa "problemas arquitetônicos" para um CISO

Quando Erik e Anton falam sobre problemas de arquitetura, estão descrevendo um modo de falha específico com o qual a maioria dos líderes de segurança convive diariamente, mas raramente o nomeiam explicitamente.

A maioria dos ambientes empresariais foi construída sobre uma base de confiança implícita, incluindo redes planas, amplas permissões de movimentação lateral e perímetros presumidamente definidos. Ao construir capacidade de detecção sobre um ambiente plano e com permissões excessivas, você está efetivamente pedindo ao seu SOC para encontrar agulhas em um palheiro que você deliberadamente tornou maior e mais difícil de pesquisar.

Uma rede plana e com permissões excessivas gera um volume de alertas que nenhum SOC consegue gerenciar de forma realista. O movimento lateral se assemelha ao tráfego normal porque a arquitetura o trata dessa forma. As credenciais comprometidas passam despercebidas porque o acesso interno nunca foi projetado para ser verificado.  

O SOC está limpando a sujeira que o meio ambiente foi projetado para causar.

O Zero Trust altera o que seu SOC precisa detectar em primeiro lugar. Ao impor o princípio do menor privilégio, verificar a identidade continuamente e segmentar as cargas de trabalho de forma que a movimentação leste-oeste exija autorização explícita, você reduz fundamentalmente a superfície de ataque que suas ferramentas de detecção precisam cobrir.  

Você para de aumentar o monte de feno e começa a reduzi-lo.

A solução arquitetônica que Erik e Anton descreveram durante nossa conversa significa reconstruir as premissas fundamentais sobre como o acesso e a conectividade devem funcionar.

Um SOC da década de 1990 com IA continua sendo um SOC da década de 1990.

Ambos concordaram que a IA tem valor genuíno nas operações de segurança. Mas aplicar IA a um SOC estruturalmente falho produz uma versão mais rápida dos mesmos resultados problemáticos.

Anton argumentou que muitas organizações estão usando o investimento em IA como justificativa para evitar uma reestruturação mais profunda. A IA tem desviado a atenção de muitas equipes de segurança da realização desse trabalho fundamental, porém crucial.

Quando o próprio modelo de SOC tem 30 anos, a IA simplesmente acelera processos antigos sem abordar o motivo pelo qual o processo produz tão pouco sinal. O ambiente monitorado pelo SOC nunca foi projetado para apresentar as informações corretas de forma confiável, e uma análise mais rápida de um sinal não confiável continua sendo pouco confiável.

“Com a IA, certos elos podem ser muito mais rápidos, talvez até muito melhores, mas a cadeia como um todo permanece praticamente a mesma”, disse Anton.

Uma arquitetura Zero Trust altera a própria cadeia de suprimentos.  

Quando sua rede é segmentada e as cargas de trabalho só podem se comunicar por meio de caminhos explicitamente permitidos, seu SOC tem uma superfície de detecção dramaticamente menor para cobrir.  

Isso significa que a IA aplicada a esse ambiente pode, de fato, funcionar conforme o esperado, pois o problema da relação sinal-ruído diminui com a redução da superfície de ataque. A abordagem Zero Trust torna a IA útil nos SOCs.

Toda história de sucesso na transformação de um SOC começa com a arquitetura.

Durante nossa conversa, Anton descreveu o pequeno grupo de organizações que realmente romperam o ciclo.  

A Netflix deixou de usar o recurso "SOC" em 2018. O Google utiliza um modelo de detecção orientado por engenheiros. Anton chegou a mencionar um grande banco europeu que reconstruiu completamente seu SOC (Código de Responsabilidade Social) a partir de princípios básicos.

O que essas organizações fizeram de diferente foi abordar a arquitetura de frente. Isso significa reconstruir a forma como o acesso funciona, como o tráfego é confiável e como o ambiente é estruturado.  

É um trabalho lento e caro. A maioria das organizações opta por comprar ferramentas, e o ciclo continua.

Para sair desse impasse, é preciso vontade organizacional, apoio da alta direção e disposição para parar de remendar e começar a reconstruir. Também exige um objetivo arquitetônico claro.  

O Zero Trust estabelece esse objetivo como um conjunto de princípios de design que, quando aplicados ao ambiente monitorado pelo seu SOC, alteram a economia fundamental da detecção.

A abordagem Zero Trust é a única resposta para uma superfície de ataque que não para de crescer.

A IA está expandindo a superfície de ataque mais rapidamente do que qualquer onda tecnológica anterior, e a maioria dos SOCs não foi projetada para lidar com isso.  

A premissa do perímetro já estava quebrada antes da chegada da IA. Adicionar ferramentas de IA a essa base já fragilizada produz o mesmo resultado que todas as ondas anteriores de investimento em ferramentas: processos mais rápidos, mas os mesmos resultados.

Tanto Erik quanto Anton estavam com dois pontos de vantagem. Os problemas arquitetônicos fundamentais que levam a resultados de detecção insatisfatórios são bem compreendidos, mas em grande parte ignorados. E as equipes que optam por abordá-los demonstram ter um desempenho melhor.

Zero Trust é onde esse trabalho começa. Ela reformula a arquitetura, deixando de considerá-la uma restrição fixa e passando a defini-la como o problema central a ser resolvido. Essa reformulação está disponível para todos os líderes de segurança, independentemente do tamanho da organização, do orçamento ou das dívidas acumuladas.  

Ouça o episódio completo de The Segment: A Zero Trust Leadership Podcast em Podcasts da Apple, Spotify, ou nosso site.