A segurança de Schrödinger

Quando você pensa sobre sua pilha de projetos de segurança como ela existe hoje, você deve notar que ela existe em dois estados: um de trabalho e um não funcional. Para ilustrar ainda mais esse ponto, Erwin Schrödinger, um físico, criou um exercício de pensamento para ilustrar a natureza da teoria quântica no que se refere às partículas subatômicas.

A teoria quântica afirma que, até que uma partícula seja medida e observada, ela existe em todos os estados possíveis. Para tornar isso mais fácil de digerir, ele apresentou a seguinte analogia:

Um gato, colocado em uma caixa com uma substância radioativa cuja chance de decomposição é de cinquenta por cento, enquanto estiver na caixa (matando-o, assim), existirá em ambos os estados, vivo e morto. Só quando abrirmos a caixa, saberemos o estado do gato.

O que isso tem a ver com segurança?

Você só saberá seu estado de segurança quanto você observar e monitorar seu ambiente. Encare da seguinte maneira: se alguém vier hoje até você e fizer a pergunta “Estamos protegidos?”, qual seria sua resposta? Vamos ver algumas das possíveis respostas.

“Sim, olhe tudo o que encontramos no ambiente.”

A descoberta de atividade maliciosa é útil para mostrar o valor da pilha de projetos, mas não é uma resposta definitiva para a pergunta. Lembre-se, estamos tentando ver se o gato está vivo ou morto aqui. Essa resposta é meramente o equivalente a dizer que você ouviu um barulho na caixa não muito tempo atrás, mas não é uma resposta abrangente.

“Sim, e tudo está quieto.”

Essa resposta é um pouco mais preocupante para mim, mas isso pode vir da minha paranoia. Isso é devido à minha compreensão do tamanho da superfície de ataque humano. A propósito, você sabia que essa superfície será o dobro até 2022, de acordo com a CSO Online?

Revisitando a resposta à pergunta “Estamos protegidos?”, o silêncio pode significar que o gato está morto na caixa ou que pode simplesmente estar dormindo.

“Eu não posso dizer definitivamente, mas de acordo com XYZ, nós estávamos seguros nessa data.”

Eu gosto dessa resposta e, para mim, é a mais próxima da verdade. A melhor maneira de pensar nos seus projetos de segurança é como se fossem uma coisa viva. Pode estar em um estado um dia e outro no seguinte. Então, como você avalia se o gato está vivo ou morto? Bem, a resposta é que você precisa examiná-lo de dentro para fora.

Isso não é apenas um teste de penetração?

Não, um teste de penetração pode ser visto (no contexto da analogia) como procurando fraquezas na caixa. Não está mostrando se o gato está vivo ou morto. Está apenas tentando ver se há buracos na caixa.

Então, o que precisamos saber para descobrir se o gato está vivo ou morto?

Você precisa de uma avaliação de perigos, que é projetada para fazer uma coisa: ver se a pilha de projetos de segurança está funcionando (o gato está vivo) ou se algo já aconteceu (o gato está morto). É uma medição em tempo real do ambiente de segurança.

Como funciona uma avaliação de perigos?

Normalmente, uma avaliação de perigos é realizada em etapas. O primeiro estágio é tipicamente a caça. Durante o estágio de caça, você está procurando anomalias relacionadas a vários comportamentos maliciosos, como exfiltração de dados, atividades do C2, peculiaridades da conta do usuário e muitos outros itens. Pense nisso assim: você está abrindo a caixa nesse momento.

Daí você passa para o segundo estágio, que gira em torno da investigação. A investigação leva em consideração todos os itens que foram descobertos no primeiro estágio. Você finalmente abriu a caixa, está examinando o gato e está determinando seu estado (se está vivo ou morto).

O estágio final de uma avaliação de perigos é obter informações sobre como isso ocorreu e determinar se há um incidente ativo. Esse é provavelmente o mais interessante de todos os estágios.

Considere isto: o gato faleceu porque a substância radioativa o decompôs e, agora, ao abrir a caixa você descobriu que acaba de se expor a um material perigoso, o que significa que ainda há um problema ativo.

Normalmente, isso iniciaria um evento de contenção ou, em outras palavras, uma resposta de incidente (IR).

Ótimo, agora sabemos definitivamente se o gato está vivo ou morto. E agora?
Normalmente, uma avaliação de perigos é concluída com um resumo detalhado de qualquer detecção de comprometimento, uma lista abrangente de descobertas e recomendações estratégicas e táticas para correção (que podem incluir resposta a incidentes).

Então, para voltar à citação que começou este artigo: Qual foi o máximo que você já perdeu no cara ou coroa? A resposta para a pergunta é simples, tudo ou nada.

*Chris Stephen é engenheiro de vendas sênior na Cylance