CJ Moses: ‘segurança é mais sobre pessoas do que tecnologia’
CISO da AWS abriu evento re:Inforce contando detalhes de horizontes de cibersegurança para a companhia
“A segurança é uma disciplina que está em constante mudança”. Assim CJ Moses, CISO da AWS, abriu o AWS re:Inforce, em Anaheim (EUA). Para o especialista, novas tecnologias, como a IA generativa, podem apresentar novos desafios, mas também novas oportunidades para reavaliar e repensar como melhorar os mecanismos de defesa por meio de técnicas como automação e detecção de ameaças.
CJ explica que, anos atrás, a AWS criou o princípio orientador do modelo de responsabilidade compartilhada. Ou seja, quem tem acesso, tem responsabilidade. Portanto, no caso de produtos e serviços na nuvem, em que a fornecedora e a contratante têm acesso, há a responsabilidade compartilhada.
“Segurança é mais sobre pessoas e cultura do que sobre tecnologia. Para que a estratégia de segurança seja bem-sucedida, você precisa ter uma compreensão profunda da psicologia humana. No início dos anos 2000, eu trabalhava com a unidade de ciências comportamentais do FBI conduzindo entrevistas com criminosos cibernéticos condenados. Esta foi uma extensão de um programa já bem-sucedido para a criação de perfis terminais de assassinos em série”, contextualiza.
Durante as entrevistas, o executivo utilizou um algoritmo de criação de perfil que consistia, em parte, em: o porquê ou a motivação e como os crimes eram executados. As conversas tentavam preencher os detalhes das duas primeiras partes do algoritmo, em um esforço para entender os crimes.
“Em outras palavras, se pudermos determinar o porquê e como um crime foi cometido, isso ajudaria a descobrir a sua motivação. É importante pois grande parte da execução não é um computador cometendo o crime. Há sempre um ser humano por trás do quadro e, na segurança cibernética, quanto mais você souber sobre o porquê e o como, melhor poderá entender quem”, alerta ele.
Leia mais: IA generativa em ciberataques: ‘ainda não vimos o pior’
Ele afirma que, ao entrar na AWS, pôde usar alguns desses aprendizados para ajudar a criar os produtos de segurança. “Descobri que o algoritmo também funciona desenvolvendo inteligência de ameaças em tempo real e potencialmente sobre quem deve permitir ter melhores defesas que estão alinhadas para combater seus métodos preferidos. Cada ação que tomamos e cada medida defensiva que construímos na AWS leva em consideração o elemento humano.”
Além da segurança de hardware, CJ também frisou a importância da segurança de software. Para garantir que as linhas de código da AWS espalhadas por centenas de serviços, há um processo de análise de segurança de aplicativos rigoroso e ágil. Segundo ele, no ano passado foram realizadas mais de 7.500 análises de segurança de aplicativos. Com isso, as equipes de engenharia identificam e resolvem problemas de segurança desde o início do processo.
“Nossos desenvolvedores são proprietários de seus serviços de segurança. Portanto, fornecemos a eles orientações de treinamento de ferramentas sobre expectativas de segurança para permitir a propriedade e capacitá-los a corrigir problemas no início do processo de desenvolvimento. À medida que o código evolui, vários sistemas internos executam testes de segurança para fornecer feedback aos desenvolvedores automaticamente”, divide CJ.
Esse uso de automação ajuda os desenvolvedores se moverem mais rapidamente e reduz a necessidade de humanos identificarem cada problema em potencial. Também permite obter resultados de segurança de problemas e revisões para alimentá-los diretamente no processo de automação, para que várias equipes se beneficiem dessas lições que nunca foram aprendidas.
Evoluções em soluções
Becky Weiss, engenheira principal sênior da AWS, subiu ao palco para dividir mais sobre as estratégias da empresa e como eles prometem ajudar os clientes. Em sua primeira discussão, sobre Zero Trust, a executiva afirmou que a combinação de dispositivo de rede de identidade e fatores cada vez mais sofisticados sendo avaliados em cada eixo, melhora a segurança.
Entretanto, muitas empresas estão presas na teoria do Zero Trust, sem saber como implementar e conseguir essa tecnologia. “A combinação de sinais de identidade e rede tem sido profundamente transformada em serviços como AWS Identity and Access Management (IAM) na Amazon Virtual Private Cloud há anos. Na verdade, o AWS IAM está lidando, agora, com mais de 1 bilhão de chamadas de API da AWS por segundo em todo o mundo.”
Ela apresenta ao público novos blocos de desenvolvimento e exemplifica ao dizer que, se um aplicativo corporativo exige que os usuários acessem por meio de uma VPN e, em outro momento, a empresa desejar adicionar uma autenticação do usuário, definindo algumas regras detalhadas sobre quais usuários podem acessá-lo, em quais circunstâncias, ela pode ao invés de desenvolver todo o arcabouço, usar um serviço da AWS.
“O Verified Permissions AWS oferece um endpoint voltado para o usuário de Zero Trust implementado no lugar do requisito de VPN, sem exigir alterações fundamentais na lógica de negócios principal de seus aplicativos. Este novo serviço pode cuidar da autenticação de seus usuários, integrando-se com o AWS IAM ou com uma opção de provedor de identidade. Ele também é integrado ao CrowdStrike e aos provedores de confiança de dispositivos, permitindo que os clientes criem regras, como um usuário que só pode acessar este aplicativo quando estiver em um laptop totalmente corrigido e atualizado”, revela ela.
Outro recurso anunciado é o Amazon Easy to Instance Connect Endpoint. De acordo com Becky, ele permite que os clientes façam SSH (Secure Socket Shell, na sigla em inglês) diretamente em duas instâncias EDC em uma sub-rede privada. Com isso, melhora a segurança, contando com fortes conexões de autenticação e autorização, mesmo antes da conexão chegar ao computador.
Além dos serviços de prevenção, a AWS trouxe ao evento novidades no monitoramento de ambiente que detecta e notifica proativamente as ameaças de segurança em todos os serviços da empresa.
“Primeiro, a Amazon GuardDuty Network oferece proteção contra ameaças e proteção para o Amazon Aurora, criando perfis e monitorando atividades de acesso a bancos de dados novos e existentes, usando machine learning para detectar logins suspeitos com precisão. Em segundo lugar, adicionamos monitoramento de tempo de execução EKS para detectar ameaças de tempo de execução de mais de 30 descobertas de segurança para ajudá-lo a proteger seus clusters. E, finalmente, expandimos a cobertura de detecção de ameaças para oferecer suporte às funções lambda da AWS, detectando atividades maliciosas”, comenta a executiva.
Delta Airlines
Para contar um pouco sobre suas melhores práticas em segurança, Debbie Wheeler, CISO da Delta, comentou que o setor de aviação é complexo, cheio de regulamentações e protocolos de segurança. “E com uma equipe de 90.000 pessoas em todo o mundo, conectando milhões de passageiros aos seus destinos finais, uma cultura de segurança é imperativa.”
A executiva compartilhou três elementos que acredita contribuir para o ambiente de segurança na empresa. O primeiro começa com a promoção da cultura de segurança com pessoas e negócios. A cultura de segurança é essencial, segundo ela, para proteger as informações de clientes e funcionários.
“Acreditamos que nosso pessoal é fundamental para apoiar e defender a companhia aérea contra as ameaças cibernéticas que enfrentamos e nos permite manter uma operação de classe mundial. O primeiro elemento do nosso programa de segurança começa com a liderança, do CEO ao CISO, às nossas equipes de assistência em terra, aos nossos agentes de embarque, cada membro da Delta deve adotar uma cultura segura e protegida para fornecer a proteção de nossos clientes e nossos funcionários”, compartilha Debbie.
A liderança dá esse exemplo, mas espera responsabilidade. E as pessoas precisam acreditar na mensagem transmitida. “E para que o façam, precisamos capacitá-los com as ferramentas, os processos e os dados que lhes permitam proteger as informações que nossos clientes confiam aos nossos cuidados”, complementa a executiva.
O terceiro elemento é em relação ao programa da empresa. Segundo a executiva, os colaboradores estão usando uma infinidade de dispositivos e aplicativos digitais para atender os clientes e proteger sua segurança física e digital. Para garantir que os funcionários estão bem equipados para fornecer esses serviços aos clientes, a Delta busca ajuda-los a entender os hábitos de segurança que podem praticar em casa.
“Nosso pensamento é se podemos ensiná-los a cuidar de suas informações em sua vida pessoal e ensiná-los a ajudar seus entes queridos a cuidar de suas informações. Eles trarão esses hábitos de volta ao ambiente de trabalho e isso ampliará a forma como eles protegem as informações que nossos clientes e colegas de trabalho confiam aos seus cuidados”, finaliza.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
*a jornalista viajou para Anaheim a convite da AWS