Qual a relação entre ITDR e Cyber Security Mesh?
Falando de modo resumido, a abordagem de segurança ITDR (Detecção e Resposta a Ameaças de Identidade) pode ser entendida como um desdobramento da Arquitetura de Malha de Segurança Cibernética (Cyber Security Mesh Architecture), descrita pelo Gartner em 2021.
A ITDR convoca para uma conduta pragmática de segurança, inspirada na implementação de uma rede “Zero Trust”, para responder ao atual ambiente de transações, dispositivos e dados dispersos na nuvem híbrida e multicamadas.
Junto com o reconhecimento da identidade como novo perímetro de segurança, houve um aumento expressivo das ameaças visando o abuso de identidades, e agora utilizando a inteligência artificial quase que como uma commodity.
A proposta da ITDR é buscar mais pro-atividade e sincronizar os recursos do SOC com os da IAM, considerando que as duas áreas se encontravam relativamente divorciadas, já que o gerenciamento da identidade acontecia em silos.
Assim, as diversas ferramentas do arsenal de monitoramento e segurança cibernética (como firewalls, WAF, sistemas antifraude, detectores de intrusão, etc), precisam passar a atuar de forma integrada e cooperativa com as soluções originalmente dedicadas ao gerenciamento e proteção da identidade.
Entrariam neste alinhamento recursos tais como a autenticação multifator, os sistemas de assinatura com baixa exposição de senhas ou dados da identidade e o controle de privilégios, entre outros. Os recursos antigos de IAM precisam passar por atualização ou pela incorporação de agentes para se submeter a tal integração.
A pragmática da ITDR confirma a premissa da arquitetura Zero Trust, segundo a qual, todos os componentes de uma rede de acesso precisam ser formalmente identificados e descritos. Caso contrário, não serão passíveis de ser gerenciados e, portanto, de ser protegidos.
Note-se que esta ênfase na “identificação” dos objetos e entidades corresponde à descrição da superfície de risco cibernético como um conjunto integrado e interativo de identidades (humanas e impessoais), sendo a identidade a expressão a expressão do perímetro.
A CSMA e a ITDR
Por sua vez, a arquitetura de malha de segurança cibernética (CSMA) surgiu como insight do Gartner logo após o “súbito remoto”, trazido pela pandemia, coincidindo com o posicionamento da identidade como ponto fraco – e alvo preferencial – dos ataques de penetração, engenharia social ou abusos internos.
A nova arquitetura defende a interoperabilidade e a coordenação entre as diversas entidades de acesso e os vários produtos de segurança em torno da identidade.
Coerente com as recomendações da ITDR, a CSMA descreve uma superfície de risco fragmentada em “nós”. Para enfrentá-la, propõe uma postura de segurança distribuída, com visibilidade e omnisciência sobre cada ponto de acesso e seus entrelaçamentos na composição da malha.
A CSMA implementa a proposta, também contida na ITDR, de sincronização da IAM com os elementos do SOC. Este seria um modo a suplantar as deficiências de estruturas antigas de gerenciamento de identidades (e de incidentes de segurança) desenvolvidos originalmente para a arquitetura em silos e, muitos deles, derivados de ambientes pré-nuvem.
A abordagem “cibernética” da segurança passa a abranger toda a infraestrutura, independentemente de sua geração tecnológica, localização ou propriedade, incluindo-se partes estruturais de terceiros e repositórios de big data.
Se estabelece, desta forma, uma estrutura de gerenciamento descentralizada e adaptativa, voltada para os eventos e os nós, respectivamente envolvidos na prevenção e detecção de ameaças.
A conduta de segurança se pauta em políticas pré-definidas, de forma abrangente, e o modelo decisório de proteção se adapta, ao longo da execução dos serviços, com base em descobertas e insights online, provenientes da junção de elementos da IAM e da infraestrutura de segurança cibernética.
Passa-se assim a viabilizar procedimentos de gerenciamento da identidade com segurança de ponta, como a autenticação permanente (nunca definitiva), o provisionamento/desprovisionamento dinâmico de credenciais (assistido por ferramentas de avaliação de risco), e a análise dinâmica de atributos das identidades e seus respectivos direitos. Tudo isto associado à análise de dados do contexto provenientes de múltiplas ferramentas.
A esta segurança distribuída, compatível com a fragmentação da superfície, a CSMA é supervisionada por uma estrutura central (unificada) de orquestração e governança. A complexidade é enfrentada pela imposição da padronização como princípio. Isto é como pré-requisito para as atualizações e para a adoção novos produtos de identidade e segurança.
A CSMA cria um ambiente no qual a segurança cibernética é flexível, escalável e projetada para a evolução futura com base em tecnologias abertas. Isto ajuda a balancear investimentos em soluções de segurança específicas e a calibrar os recursos existentes para demandas pontuais ou de longo prazo.
