Por que a prevenção contra perda de dados e o gerenciamento de ameaças internas estão convergindo?
O cenário da segurança cibernética está em constante evolução como resultado dos avanços tecnológicos e das mudanças globais. A pandemia, por exemplo, provocou muitas mudanças rápidas e inesperadas na segurança cibernética, resultantes de uma mudança para o trabalho remoto e do aumento da migração para serviços em nuvem, e as consequências ainda são sentidas hoje. No entanto, uma das maneiras mais significativas em que a segurança cibernética está progredindo é uma mudança proativa para atingir seus objetivos de forma mais eficaz. As empresas estão sempre procurando maneiras melhores de lidar com ameaças antigas que não estão desaparecendo e, ao mesmo tempo, precisam se concentrar em novas disciplinas, como a segurança na nuvem.
A prevenção contra perda de dados (DLP) é uma das disciplinas de segurança cibernética que passou por muitas mudanças de paradigma. A mais significativa foi a tentativa de se afastar de uma abordagem empresarial e integrada de DLP e passar a integrá-la a soluções de segurança específicas com foco em tecnologias específicas – tanto que isso resultou no abandono do Quadrante Mágico do Gartner para DLP e na mudança para uma Guia de Mercado. Por exemplo, acreditava-se que o DLP para e-mail deveria ser integrado a outros aspectos da segurança de e-mail para oferecer uma cobertura abrangente.
Uma mudança semelhante está ocorrendo no gerenciamento de ameaças internas (ITM), bem como na prevenção de perda de dados. Essas duas disciplinas estão se fundindo, ou melhor, o ITM está sendo cada vez mais visto como um componente da DLP.
A importância do enfoque correto
Muitas empresas de grande porte decidiram abandonar os sistemas de DLP grandes e de vários níveis e adotar o DLP integrado, que funciona em conjunto com outros tipos de soluções e se concentra em tecnologias e aspectos específicos do cenário de segurança cibernética. Embora essas integrações ofereçam excelente funcionalidade para as tecnologias associadas, às vezes até incluindo resposta a incidentes e correção, seu uso deixa lacunas verticais significativas que devem ser preenchidas com software DLP especializado.
Qual é a causa disso? É tudo uma questão de foco. O DLP integrado não prioriza o aspecto mais importante: seus dados. Em vez disso, ele se concentra em uma única tecnologia e a cobre completamente. Por exemplo, no caso do e-mail, essas soluções garantem que todos os aspectos da transmissão de e-mail sejam seguros, inclusive que os dados incluídos nos e-mails não sejam dados confidenciais. O objetivo dessas soluções é tornar o e-mail seguro, não impedir o roubo de dados, o vazamento de dados, a exfiltração de dados ou as violações de dados. E o que é mais importante para você: acesso ou segurança de seus dados?
Essa abordagem parece ser semelhante à tentativa de curar doenças tratando os sintomas em vez de se concentrar na causa raiz e manter o corpo saudável e forte. As organizações perderão a oportunidade se não se concentrarem na proteção de sua valiosa propriedade intelectual e, em vez disso, se concentrarem nas tecnologias usadas para acessar essa propriedade.
As organizações que percebem a importância de ter o foco certo estão, da mesma forma, percebendo agora que muitas outras técnicas de segurança cibernética, como o gerenciamento de ameaças internas, precisam mudar o foco de “que coisas ruins podem acontecer e como podemos evitá-las” para “o que precisamos proteger e o que podemos fazer para protegê-lo melhor”. Como resultado, essas organizações estão cada vez mais interessadas em soluções e abordagens de prevenção de perda de dados que convergem com o ITM e oferecem funcionalidade completa, com o objetivo principal de proteger dados confidenciais.
Quais são as diferenças entre DLP e ITM?
Embora pareçam ser muito diferentes, as disciplinas de proteção contra perda de dados e gerenciamento de ameaças internas frequentemente compartilham muitas tecnologias e abordagens semelhantes. A verdadeira distinção é seu foco. A prevenção de perda de dados concentra-se na segurança dos dados, tendo como foco principal os dados confidenciais. O gerenciamento de ameaças internas concentra-se no usuário, tendo como foco principal o comportamento de acesso aos dados.
Os sistemas de DLP e ITM frequentemente entram em conflito uns com os outros ou oferecem funcionalidade duplicada. Um sistema DLP, por exemplo, monitora a área de transferência em tempo real porque ela pode ser usada para copiar informações protegidas de um sistema interno e colá-las em mídias e aplicativos inseguros. Um sistema ITM para o mesmo endpoint, por outro lado, monitora a área de transferência em busca de qualquer comportamento suspeito do usuário, como copiar dados de um sistema interno e colá-los em mídias e aplicativos inseguros. Dependendo da implementação, os sistemas ITM podem até considerar as verificações de DLP como ameaçadoras, relatando falsos positivos.
Não é de se surpreender que as duas abordagens sejam convergentes. Quando há muitas funcionalidades em comum, faz sentido ampliá-las em vez de duplicá-las. Um sistema DLP, por exemplo, pode ampliar sua funcionalidade para incluir o ITM incorporando análises de comportamento e de entidades de usuários, bem como técnicas de detecção e resposta de endpoints (EDR), como aprendizado de máquina para detectar atividades incomuns de usuários (por exemplo, acesso a dados confidenciais após o expediente) ou monitoramento profundo de processos e conexões.
Também não é surpresa que a prevenção de perda de dados supere o gerenciamento de ameaças internas. As organizações que já tiveram experiências negativas com a mudança de foco da proteção de informações essenciais para tecnologias de acesso específicas têm maior probabilidade de querer soluções que coloquem a segurança das informações em primeiro plano.
Gerenciamento de ameaças internas vs. gerenciamento de riscos internos
A transição do ITM para o DLP também está fazendo com que o gerenciamento de ameaças internas e de riscos seja visto como algo mais distinto do que antes. Enquanto o gerenciamento de ameaças internas se concentra nas ameaças e no comportamento suspeito dos usuários, o gerenciamento de riscos internos, como a DLP, concentra-se na causa principal, neste caso, os principais motivos das ameaças internas.
Com o foco do gerenciamento de ameaças internas mudando mais para as informações confidenciais que ele foi projetado para proteger, o gerenciamento de riscos internos agora pode se concentrar ainda mais nos motivos pelos quais os usuários representam uma ameaça a essas informações. Ele pode abordar tanto as ameaças não intencionais causadas por fatores como treinamento e conscientização insuficientes quanto as ameaças intencionais causadas por fatores como insatisfação dos funcionários ou triagem insuficiente de novas contratações.
O vencedor? Seus dados confidenciais
A convergência entre DLP e ITM pode parecer difícil no início porque as organizações que desejam se beneficiar dessa convergência devem garantir que as soluções escolhidas não criem nenhuma lacuna de segurança cibernética. Ao eliminar gradualmente o ITM, as empresas devem garantir que todos os benefícios de segurança fornecidos pelo ITM permaneçam, e esses benefícios são frequentemente abordados de duas perspectivas diferentes: os objetos que estão sendo protegidos e os indivíduos que acessam esses objetos. Como resultado, antes que as empresas entrem no movimento e acreditem nas promessas de uma solução de DLP que ofereça proteção abrangente, elas devem realizar uma análise completa das lacunas.
Por fim, quando essa convergência estiver madura o suficiente para tratar a ITM como parte do DLP, os dados confidenciais sairão ganhando, pois permanecerão no centro das atenções.
