O setor de segurança é conhecido por criar soluções pontuais e transformá-las em uma categoria. Isso torna as coisas ainda mais difíceis, já que os profissionais de segurança precisam dedicar inúmeras horas em demonstrações para "cortar o ruído", decifrando jargões e siglas em resultados e programas estratégicos.
Até certo ponto, ainda estamos passando por ZeroTrust Evolução. O que começou como um conceito de segurança evoluiu para a prática com a ideologia Beyond Corp (no Google), gerou uma onda de fornecedores criando "produtos Zero Trust" e agora está incorporado à legislação governamental.
O verdadeiro problema com tudo isso? O ZeroTrust não foi criado para ser um produto.
O objetivo era ser uma estratégia de segurança holística que desvinculasse redes, permitisse mecanismos de segunda e terceira autenticação/autenticação e, por fim, permitisse que a força de trabalho moderna trabalhasse com segurança de qualquer lugar que escolhesse.
Agora estamos no mesmo barco com Prevenção contra perda de dados (DLP). Ele foi adotado superficialmente como uma solução pontual, executada em um endpoint e, com sorte, bloqueando dados em caso de exfil. Qualquer pessoa que analise adendos/exposições de segurança do cliente durante revisões de contrato também se depara com a seguinte pergunta: "Você tem uma solução DLP?"...
Fundamentalmente, a Prevenção contra Perda de Dados precisa ser uma iniciativa estratégica. Seja no caso do MITRE ATT&CK ou da Lockheed Kill Chain, o passo à direita é a "Exfiltração de Dados".
Não basta mais esperar que os dados cheguem à "borda" para impedi-los de sair do seu ambiente. Em vez disso, você precisa desenvolver uma abordagem de defesa em profundidade para proteger seus dados.
Agora você deve estar se perguntando... Quais são os elementos principais para uma estratégia bem-sucedida de Prevenção contra Perda de Dados e Defesa em Profundidade?
1. Estabelecer um programa de governança de dados
- Classificação de dados, Manuseio e retenção requisitos
- Definir acesso permitido
2. Descoberta e classificação de dados
- Onde os dados estão localizados?
- Quem tem acesso?
- Que tipos de dados estão em seu ambiente
- Entenda onde está obsoleto e mentiras de dados duplicados
- Rotular/Classificar todos os dados em seu ambiente
3. Habilite a detecção de atividades suspeitas
- Estabelecer alertas sobre arquivos expostos/compartilhados externamente
- Estabelecer alertas sobre exfiltração de dados
- Estabelecer alertas sobre acesso anômalo
4. Identifique dados sensíveis em trânsito
- Descubra dados confidenciais contidos em e-mails, chats, etc.
- Analisar atividades anômalas de movimentação de arquivos (USB, sites de armazenamento externo, transferência Bluetooth, impressora, etc.)
5. Tome medidas com relação aos seus dados
- Exclua dados obsoletos ou duplicados para reduzir sua superfície de ataque
- Automatize a remoção de acesso a arquivos compartilhados com terceiros
- Automatize a remoção de dados compartilhados publicamente
- Garanta que as pessoas certas na sua organização estejam acessando os dados aos quais estão autorizadas a acessar; se não revogar o acesso
6. Operacionalize sua pilha de segurança
- Agora que você identificou e removeu potenciais problemas de causa raiz que afetam seus dados, você deve definir políticas de bloqueio em suas ferramentas de segurança.
- Isso significa bloquear e-mails com dados confidenciais, recursos de compartilhamento de arquivos externos, upload de arquivos em sites de compartilhamento externos ou armazenamento USB/em massa.