Segurança em nuvem e a fadiga de alertas

Quando você escuta “segurança em nuvem”, qual é a primeira coisa que vem à cabeça?

Para um profissional que atua na proteção de cargas de trabalho na nuvem, essa pergunta já traz dezenas de elementos, como CSPM, CWPP, EDR, firewall, IPS, segurança de container, padrão de segurança do provedor de nuvem, controle de usuários, mínimo privilégio, auditoria, chaves de acesso, DLP, CIEM e por aí vai.

O uso dessas ferramentas tem como objetivo principal cuidar e proteger nossos dados e serviços em diferentes camadas – o que é necessário, pois sabemos que a segurança como um todo precisa de diferentes olhares, abordagens e, portanto, camadas de proteção –, porém gerenciar o material gerado por todas essas ferramentas é um dos pontos de maior preocupação para as equipes de TI e segurança.

Essas ferramentas podem gerar, por exemplo, uma média de 700 alertas de segurança por dia. É o que chamamos de fadiga de alertas.

Alertas são fundamentais, mas precisam fazer sentido e serem relevantes, ou seja, precisam de contexto para guiar os times de segurança numa tomada de decisão.

Imagine que você é responsável pela segurança em nuvem de sua empresa e usa ferramentas que te reportam vulnerabilidades. Hoje apareceu uma mesma vulnerabilidade crítica em 100 de suas instâncias. Todas as 100 tem a mesma vulnerabilidade, qual você vai remediar primeiro? Difícil, né?

Mas e se você souber que, dessas 100 instâncias, 50 estão expostas para a Internet. Das 50 expostas, dez estão conectadas a dados sensíveis (como um bucket com dados pessoais de cliente) e dessas dez, duas tiveram contato com uma botnet. Agora ficou mais fácil, não é mesmo?

Ou seja, se tivermos uma exploração da vulnerabilidade crítica como essa do exemplo, saberemos as duas que serão mais facilmente exploradas ou que causarão o maior estrago.

Por isso, a utilização de uma solução de segurança que reúna esses alertas, gerando automaticamente scores de risco por meio de machine learning, e que esteja integrada às ferramentas nativas dos provedores de nuvem é fundamental. Receber um relatório com o contexto de qual recurso está sob maior risco faz toda a diferença no gerenciamento eficiente da segurança de sua nuvem.