Posted on By Author Thiago Gonçalves Categories Fortinet, Informações, Security

Qual é o custo médio de uma violação de dados?

Negócios e Tecnologia

 

De acordo com o Fórum Econômico Mundial, o custo global das violações de dados até 2021 será de US$ 6 trilhões. Para lidar com essa responsabilidade, as organizações devem incorporar as melhores práticas do setor para reduzir o  custo do que a maioria dos profissionais de segurança cibernética reconhece como uma violação inevitável dos dados.

O chefe de insights de segurança e alianças globais de ameaças do FortiGuard Labs da Fortinet, Derek Manky, juntou-se recentemente ao Dr. Larry Ponemon, do Instituto Ponemon, para falar sobre o impacto econômico de violações de dados e ataques cibernéticos, e analisar os investimentos que as organizações devem fazer para minimizar o ônus financeiro de um evento desse tipo.

Abaixo estão algumas das principais conclusões de Ponemon e Manky, que explicam por que as organizações devem mudar de um foco baseado em detecção para um que seja centrado na prevenção de violações, com o objetivo de economizar tempo e recursos e diminuir os gastos, os danos e perda de reputação que ocorrem após um ataque bem-sucedido.

 

Quais fatores contribuem para o custo de uma violação de dados?

Uma pesquisa de referência conduzida pelo Instituto Ponemon concluiu que, em uma média global de seis anos, o custo de uma violação de dados é de US$ 3,78 milhões. No entanto, as consequências financeiras dessa violação podem variar com base em diversos fatores, incluindo causas principais, tamanho da rede e o tipo de dados mantidos por uma organização.

No geral, os ataques maliciosos foram considerados a principal raiz das violações de dados, seguidos por erros humanos e falhas no sistema. Determinou-se que a perda de negócios é o custo mais significativo, resultante da interrupção das operações, tempo de inatividade do sistema, rotatividade de clientes e danos à reputação, fatores que inevitavelmente resultam em perdas de receita. Além disso, verificou-se que amplificadores de custo como migração na nuvem, complexidade de TI e violações de terceiros adicionam quase US$ 370.000 ao custo total de uma violação.

Então, o que as organizações podem fazer para enfrentar esses desafios de segurança? Derek Manky destacou a importância da resposta a incidentes e da inteligência automatizada de ameaças, explicando como sua equipe utiliza esses conceitos para diminuir o impacto das violações de dados:

“No FortiGuard Labs, somos essencialmente um Centro de Operações de Segurança externo para clientes, no sentido de que estamos criando atualizações de definição, atualizações de antivírus e inteligência acionável. Vimos benefícios de custo consideráveis decorrentes de modelos de aprendizado de máquina, principalmente em vulnerabilidades de aplicativos com inteligência acionável sobre malware. Temos um sistema no back-end que analisa ameaças e, quando identificamos algo malicioso, criamos atualizações acionáveis que são enviadas por push ao nosso Security Fabric e aos nossos clientes. Esse sistema está efetivamente fazendo o trabalho de uma equipe de vários analistas. Portanto, as organizações podem obter um benefício de custo considerável implementando o aprendizado de máquina em seus planos de resposta a incidentes.”

Por outro lado, os cibercriminosos também estão aproveitando a automação e o aprendizado de máquina para aumentar a velocidade e a eficiência dos ataques. Sobre isso, Manky diz:

“Os adversários cibernéticos estão armando a IA e alavancando a tecnologia de enxame como um catalisador para acelerar ainda mais o ciclo de ataques. O uso de automação ofensiva resulta em menor latência para os atacantes ou em um tempo menor de violação (TTB), aumentando assim sua taxa de sucesso. As equipes de segurança precisam levar em consideração o fato de que os ataques estão ocorrendo em um ritmo muito mais rápido e ajustar suas estratégias defensivas propriamente. Isso requer tecnologia de automação avançada.”

 

O ciclo de vida da cibersegurança e a importância da prevenção

Existem cinco fases no ciclo da segurança cibernética, que vão da prevenção à correção, e devem fazer parte da estratégia de segurança de todas as organizações. Cada estágio é crucial para reduzir o impacto de uma violação por meio da identificação de ameaças, resposta a incidentes e resolução.

Prevenção: é o esforço para impedir que ameaças maliciosas se infiltrem na rede e para classificar os tipos de ataques direcionados à organização em tempo real. Nesta fase do ciclo, as organizações podem interromper os ataques antes que qualquer processo possa ser executado na rede.

Detecção: é o esforço para reconhecer e identificar ameaças na infraestrutura de segurança de TI de uma organização que conseguiram se infiltrar apesar dos esforços de prevenção. Durante essa fase, as empresas precisam ser capazes de identificar processos maliciosos que estão sendo executados em um dispositivo na rede.

Contenção: erefere-se ao esforço para impedir a disseminação de uma ameaça cibernética, uma vez que ela tenha sido detectada e identificada na rede.

Recuperação: ocorre após a contenção da ameaça. Nesta fase, as equipes de segurança trabalham para restaurar a infraestrutura de TI ao seu estado anterior e estável.

Remediação: refere-se ao esforço feito para garantir que processos e tecnologias sejam atualizados para mitigar futuros eventos cibernéticos. Isso inclui o reforço de programas de treinamento e conscientização de funcionários, pois os indivíduos desempenham um papel crucial na viabilização de violações de segurança cibernética.

A maioria das organizações tende a concentrar grande parte de seus esforços de segurança cibernética na detecção de ataques cibernéticos porque eles consideram a prevenção muito complicada de alcançar. De fato, 76% dos participantes de uma pesquisa do Instituto Ponemon concordam que a prevenção seria muito desafiadora para ser alcançada dentro de seu programa de segurança cibernética. Quando perguntados sobre o motivo desse pensamento, os entrevistados observaram problemas em torno da identificação de ataques e na implantação de tecnologias eficazes, sua própria experiência interna em segurança cibernética e o desafio de lidar com ameaças cibernéticas falso-positivas.

Embora impedir um ataque cibernético seja desafiador, o Dr. Larry Ponemon explicou que as organizações podem obter uma economia significativa de custos quando um ataque é impedido durante esta fase do ciclo. Ele detalhou essa economia de custos com o seguinte exemplo:

“Lidar com ataques de phishing custa em média US$ 832.500. Mas 82% desse custo é gasto durante as fases de detecção, contenção, recuperação e correção, e apenas 18% são gastos durante a prevenção. Portanto, se um ataque for evitado, a economia total de custos seria de US$ 682.650.”

 

Centros de Operações de Segurança e eficiência de custos

A De acordo com os resultados do estudo do Instituto Ponemon, a maioria das organizações acredita que seus SOCs (Centros de Operações de Segurança) são um elemento crucial de suas estratégias de segurança. Quando solicitados a classificar a importância das atividades do SOC, os entrevistados relataram que a maior parte do valor do SOC é proveniente da minimização de detecções de falsos-positivos, do aprimoramento de relatórios de inteligência de ameaças, do monitoramento e análise de alertas e da detecção aprimorada de intrusões. No entanto, quase metade de todos os entrevistados também relataram insatisfação com a capacidade geral de seus SOC em detectar ataques.

Além disso, depois de investigar a economia dos Centros de Operações de Segurança, os pesquisadores descobriram que a terceirização de serviços SOC não melhora a eficiência de custos. Em média, as organizações gastam US$ 2,86 milhões por ano em seu SOC interno – mas esse custo aumenta para US$ 4,44 milhões ao terceirizar as funções do SOC para um provedor de serviços de segurança gerenciado (MSSP).

No entanto, esses números dependem da disponibilidade interna dos recursos SOC adequados. Três quartos das organizações classificaram o gerenciamento de um ambiente SOC como um desafio. Ao mesmo tempo, apenas metade dessas organizações se sentiu capaz de contratar o talento certo para gerenciar seu SOC. Também pode ser por isso que apenas metade dessas organizações considerou que seu ambiente de SOC era eficaz. O ponto principal é que o custo é apenas parte da equação no estabelecimento de um ambiente SOC eficaz. As organizações precisam se concentrar na montagem da melhor equipe SOC possível.

 

IA melhora a resposta a incidentes e reduz os custos

Considerando a alta taxa de sucesso de violações de dados, Manky destacou o papel crítico da resposta a incidentes e da automação na redução dos custos de violações de dados. Ele enfatizou que a inteligência artificial (IA) é uma ferramenta essencial que pode ajudar as equipes do SOC a superar os desafios associados à mitigação de violações e à resposta a incidentes.

A maioria das organizações relata sucesso com a implementação da IA, observando aumento na velocidade da análise de ameaças, aceleração na contenção de ameaças por meio da separação automática de dispositivos ou hosts infectados, e identificação aprimorada de vulnerabilidades de segurança. Ao obter esses benefícios, as organizações podem aproveitar a IA para reduzir o tempo e o custo da resposta a incidentes. Dr. Larry Ponemon explicou ainda:

“Quando a IA é usada para conter explorações cibernéticas, o tempo e o custo são significativamente reduzidos. O custo médio de não usar a IA para lidar com explorações cibernéticas é superior a US$ 3 milhões, contra US$ 814.873 se a IA for usada. Assim, uma empresa pode potencialmente economizar uma média de mais de US$ 2,5 milhões em custos operacionais.”

 

Considerações finais

Os principais CISOs e especialistas no campo da segurança alertam que as violações de dados são inevitáveis. Com os custos de violação atingindo perto de US$ 4 milhões, as organizações devem estar totalmente preparadas para evitar ou lidar com a perda associada a um ataque bem-sucedido. Por esse motivo, as empresas devem concentrar seus esforços no desenvolvimento de uma estrutura de segurança que destaque a prevenção e a resposta a incidentes, além de alavancar os recursos de IA para diminuir o impacto econômico de uma violação.

 

Posted on By Author Thiago Gonçalves Categories Fortinet, Informações, Security, Uncategorized

7 considerações fundamentais para o desempenho do firewall na era do trabalho remoto seguro

7 considerações fundamentais para o desempenho do firewall na era do trabalho remoto seguro

A pandemia da COVID-19 forçou as organizações a colocar em ação os programas de trabalho remoto, muitas vezes com lições aprendidas ao longo do caminho. Hoje, todas as organizações no mundo devem estar aptas a se adaptar às mudanças nas condições de negócios com pouca antecedência e garantir que o trabalho remoto seguro faça parte de um plano robusto de continuidade de negócios.

Isso não é tão fácil. Quando falamos em desempenho e escalabilidade, as organizações que lutam com uma força de trabalho remota estão aprendendo os limites de soluções desatualizadas de rede privada virtual (VPN) e firewall integrado. Muitas já viram em primeira mão que simplesmente não é possível escalar firewalls tradicionais para várias aplicações usadas no teletrabalho seguro. Isso acaba colocando um fardo ainda maior sobre as equipes de TI, que precisam atualizar os firewalls e instalar appliances completamente separados para conseguir manter o ritmo.

Os Next-Generation Firewalls (NGFW) devem estar aptos a oferecer desempenho e recursos avançados por um custo viável e capacidade de escalabilidade para atender às demandas futuras das equipes distribuídas. A pandemia não será a última vez que as equipes precisam oferecer o melhor desempenho possível em um ambiente primariamente remoto.

 

Quando o preço não atende ao desempenho

Já faz décadas que as equipes estão falando sobre o desempenho do NGFW, então por que isso ainda é um problema? A verdade é que a maioria das soluções de segurança não está apta a oferecer velocidade e escala por um preço acessível para boa parte das empresas. Isso se deve principalmente ao fato de que muitos dos fornecedores de segurança por trás dessas soluções não investem em tecnologias econômicas para criá-las. Como resultado, a maioria das organizações acaba sem grande escolha e adquire firewalls tradicionais com desempenho limitado e mínimo espaço para escalabilidade.

Digamos que uma empresa típica tenha comprado firewalls pensando em 5%, talvez até 10% dos trabalhadores remotos que possuía. Quando a quantidade de trabalhadores remotos disparou para mais de 90% durante a pandemia, o consumo de recursos para conexões de cliente VPN remoto também cresceu, afetando consideravelmente a capacidade do firewall. Assim, considere que, em circunstâncias “normais”, firewalls com desempenho abaixo do esperado estejam longe de ser ideais, prejudicando a taxa de transferência da rede e apresentando outros problemas. No entanto, durante um evento crítico ou durante as mudanças sísmicas que as empresas sofrem à medida que adotam a inovação digital, muitos firewalls apresentem afunilamentos e quedas na produtividade.

Imagine uma empresa de serviços financeiros que não consegue acompanhar o ritmo dos concorrentes porque sua latência de transações triplicou. Ou que uma equipe de TI já estressada em uma grande organização de comércio eletrônico esteja sendo inundada por reclamações porque tentou oferecer suporte seguro a dezenas de milhões de conexões de usuários por segundo e isso desacelerou tais conexões a um nível inimaginável. Ou, ainda, que organizações focadas em pesquisa genômica ou necessidades governamentais de acesso restrito de repente estão se perguntando se jamais poderão transferir novamente conjuntos de dados enormes com segurança (os chamados “fluxos elefantes”)?

Esses desafios podem parecer exclusivos de alguns poucos setores. Mas o que não é exclusivo — seja durante uma pandemia ou qualquer outra mudança igualmente massiva e repleta de incertezas nas condições de trabalho — é que as organizações de todos os portes enfrentam desafios para aumentar o tempo de entrega do serviço como resultado de firewalls com baixo desempenho. Um investimento ruim em NGFW pode desacelerar a produtividade, prejudicar a continuidade dos negócios e ameaçar a segurança.

 

O que buscar ao avaliar o desempenho do NGFW

Os NGFWs desempenham um papel importante na proteção contra ameaças e na preservação da continuidade dos negócios. As equipes de segurança usam NGFWs para monitorar o ambiente de TI de qualquer lugar, da borda de rede ao data center, e adquirir visibilidade sobre os usuários, dispositivos de endpoint, aplicações e ameaças de segurança nas redes.

As sete considerações a seguir devem guiar a avaliação do desempenho do NGFW.

1. Desempenho da VPN de IPsec

Funcionários de teletrabalho têm acesso a dados confidenciais da empresa. Para protegê-los contra invasões, é preciso garantir que a conexão do funcionário remoto com a rede da empresa seja segura. Para isso, uma sessão criptografada não apenas protege a confidencialidade e a integridade de dados corporativos confidenciais em trânsito, mas também garante que todo o tráfego entre o funcionário e a internet pública seja monitorado e protegido pela infraestrutura existente de segurança cibernética da organização. Para colocar uma grande força de  trabalho remota on-line de modo a manter os níveis de produtividade e a continuidade dos negócios, é preciso oferecer suporte a um grande número de conexões seguras chamadas túneis de VPN de IPsec ou camada de soquete seguro (SSL). Igualmente importante é o desempenho agregado do sistema. O NGFW deve ser capaz de sustentar as conexões do usuário e a carga do tráfego criptografado independentemente da localização dos usuários.

2. Desempenho de proteção contra ameaças

Como é o desempenho do seu NGFW ao executar uma proteção completa contra ameaças? Idealmente, um NGFW pode sustentar o desempenho com proteção completa contra ameaças (isso significa firewall, intrusion prevention, antivírus e application control). Em aproximadamente três décadas de tecnologia de firewall, pelo menos um aspecto permaneceu constante: os fornecedores que falam ambiguamente sobre o desempenho da proteção contra ameaças. Insista para receber valores reais e uma leitura atenta dos documentos que fazem alegações sobre o desempenho.

3. Capacidade de inspeção SSL

Atualmente, a maior parte do tráfego de rede da empresa é criptografado. Com isso, agentes mal-intencionados estão constantemente tentando se aproveitar ao inserir malware em pacotes criptografados. A descriptografia e a inspeção de SSL podem lidar com esses riscos de segurança interceptando o malware, mas a inspeção do SSL tem uma desvantagem: a taxa de transferência reduzida. Se a redução for muito grande, a relação tradicionalmente tensa entre segurança e produtividade dos negócios novamente entrará em conflito. Todos os NGFWs sofrem algum impacto na taxa de transferência com o SSL ativado, mas os melhores apresentam um desempenho previsível com mínima degradação da velocidade.

4. Preço vs. desempenho

Muitos fornecedores de NGFW aumentam o tamanho dos firewalls para impulsionar o desempenho e o preço para corresponder a esse tamanho. As melhores soluções de NGFW, no entanto, combinam preço e desempenho visando uma menor pegada tecnológica. No que diz respeito ao custo total de propriedade (TCO), há anos as equipes têm sido forçadas muitas vezes a escolher entre preço e desempenho. Mas grandes saltos rumo à tecnologia avançada de firewall, sustentada por processadores de rede de nível internacional que podem atingir níveis de desempenho sem precedentes, estão deixando a conversa sobre TCO mais satisfatória.

5. Validação de terceiros verossímil

Nenhuma organização que faça um investimento tão importante quanto um NGFW deve confiar apenas na documentação do fornecedor ou no boca a boca. Avaliações de terceiros reconhecidos, como Gartner e NSS Labs, fornecem validação detalhada das soluções de NGFW, e sua consulta é altamente recomendada.

6. Fácil gerenciamento de painel de controle único

Um fator que costuma acabar com a produtividade é quando as equipes de segurança precisam alternar entre vários painéis para avaliar vulnerabilidades, responder a ameaças e garantir a resiliência do sistema. Mas foi-se o tempo em que as equipes não podiam incluir o próprio NGFW nos consoles de gerenciamento para outras partes da infraestrutura. As equipes deveriam insistir no gerenciamento de painel de controle único, combinando o NGFW como parte de uma ampla arquitetura de segurança integrada que permite o compartilhamento de informações sobre ameaças entre dispositivos de rede e o recebimento automático de threat intelligence

7. À prova de obsolescência

À medida que a TI continua a evoluir do centro de custo para o facilitador de negócios, todas as organizações estão adotando a inovação digital de alguma maneira. No entanto, as iniciativas de inovação digital se arrastam quando as organizações acrescentam a complexidade e introduzem desafios de desempenho porque não integraram suas soluções, não dimensionaram corretamente seus investimentos ou não se planejaram para atividades futuras. Isso inclui a integração com o NGFW. Garantir um NGFW que não apenas ofereça desempenho por um custo e uma escala aceitáveis, mas que também possa antecipar demandas futuras, é uma prática que garante que as organizações maximizem seus investimentos em segurança de rede para obter um retorno superior do investimento, tanto agora como no futuro.