Segurança na veia: Identificar - O pilar mais subestimado do NIST · AlbusSeverus

O NIST é um dos frameworks de mercado mais utilizados na área de Segurança da Informação, ele busca simplificar o trabalho de um analista de SI reduzindo o gerenciamento de riscos e vulnerabilidades a 5 passos básicos: Identificar, Detectar, Proteger, Responder e Recuperar.

Identificar

Esse primeiro pilar está relacionado ao reconhecimento do ambiente e dos possíveis vetores de ataque: Com ele, devemos garantir e conhecer os ativos tecnológicos da companhia.

Proteger

Essa é uma das camadas mais simples porém a mais eficaz em todo o processo, nela é aplicada uma ou mais camadas de segurança sobre determinado recurso tecnológico. Pode ser uma solução WAF, Antivírus, Firewall, IPS, Backup... A lista é extensa e o objetivo é simples: garantir que o recurso esteja o mais seguro possível. Lembrando que não existem sistemas 100% seguros.

Detectar

Também conhecido como monitorar, é a camada de supervisão do risco. Ter ferramentas e métrícas capazes de detectar uma possível violação de segurança, preferencialmente em tempo real, habilitando os times competentes a responder no menor tempo possível e com a mínima extensão de danos.

Responder

O objetivo aqui é direto: Conter o ataque e pará-lo de forma mais breve possível fechando potenciais caminhos de movimentação do atacante e reduzindo os prejuízos: As vezes é necessário até mesmo desativar sistemas que não estejam sobre ataque, para previnir que o atacante se movimente a partir de um ambiente comprometido.

Recuperar

Dano contido, agora é momento de reerguer o navio: Entender a profundidade dos danos, restaurar backups, vale até aquele HD antigo com informações obsoletas. Muitas vezes não é possível restaurar o sistema ao seu cenário ideal, mas juntando os cacos, chegamos em uma aproximação do que deveria ser o ambiente.

Entendendo o cenário atual

Com essa contextualização, creio ser importante retornar um passo atrás para darmos dois passos a frente. Hoje o cenário cibernético é crítico: Phishing, Campanhas de malware, spyware e ransomware são apenas alguns dos ataques mais comuns sofridos pelos usuários e empresas no dia-a-dia. O próprio FMI (Fórum Econômico Mundial) ditou: "O risco cibernético é a nova ameaça a estabilidade financeira".
Logo, segurança é somente preocupação do analista de SI: NÃO! Segurança é uma preocupação do desenvolvedor, designer, contador, atendente, CEO... A preocupação é de todo mundo.

E onde entra "Identificar" nisso tudo?

Qual a razão desse autor indicar que "Identificar é o pilar mais subestimado do NIST"? Pois bem, a maior parte dos ataques hoje vem do desconhecido, daquela pequena informação ou detalhe que não tinhamos ciência. Daquele ambiente que ninguém dava manutenção desde que foi criado.

Você sabe quantas URLs estão sobre responsabilidade do seu time ágil? Quais os servidores, link de repositórios, banco de dados, pipelines, documentações? Monitora a expiração do domínio no registro.br ou a validade do certificado digital instalado nas aplicações? Versão de Wordpress, Joomla, JQuery? Se ela é um risco perante a LGPD de alguma forma?

E se você é da área de governança ou segurança: Tem as informações acima para todas as URLs da companhia? O processo não é fácil e se bem feito a automatização tem um grande papel envolvido mas com maestria você terá o controle de dados e em uma eventual invasão reduzirá os prejuizos de forma inimaginável.