16 de fevereiro de 2023
Por Arnie Lopez - Engenharia de Sistemas WW, Skyhigh Security
Penso que o sector da segurança está lentamente, talvez sem se aperceber, a começar a chegar a uma conclusão importante - os produtos de segurança são uma coisa do passado e as plataformas de segurança são as ferramentas necessárias do dia. Os produtos de segurança são concebidos para responder a casos de utilização consistentes e muitas vezes padronizados, mas isso já não é suficiente. As organizações actuais, grandes e pequenas, misturam ferramentas e aplicações para criar fluxos de trabalho personalizados para os processos diários, e estas situações únicas devem ser protegidas com plataformas de segurança flexíveis.
Recentemente, estive envolvido com um grande cliente cuja situação realçou este facto. Esta organização estava a criar um fluxo de trabalho para que os seus clientes lhes enviassem ficheiros através do WhatsApp, que eram depois processados em buckets AWS S3. Naturalmente, os controlos de segurança adequados eram essenciais para estes envios de ficheiros, incluindo a prevenção da apresentação de malware ou de conteúdos sensíveis.
Inicialmente, o cliente estava a tentar utilizar as capacidades de análise quase em tempo real do nosso Cloud Access Security Broker (CASB) para analisar os ficheiros enviados. O plano era colocar os ficheiros submetidos num balde S3 "não digitalizado", que depois iniciaria um script Lambda. O script seria responsável por determinar quando o nosso CASB tinha analisado o ficheiro, se estava limpo e, em seguida, moveria o ficheiro para um balde de "produção" ou um balde de "quarentena" com base no resultado. Essa abordagem parecia se encaixar perfeitamente nos casos de uso pretendidos do CASB, mas estava tentando colocar um pino quadrado em um buraco redondo. O desafio passou a ser como determinar se o ficheiro tinha sido analisado com êxito. Usando nossa API de gerenciamento de incidentes, qualquer deteção poderia ser facilmente encontrada, mas nenhum incidente é criado para um arquivo limpo!
Depois de nos envolvermos com o cliente, conseguimos conceber uma solução mais simples, mais elegante e mais rápida para o cliente. Esta abordagem alterou o comportamento do script Lambda para carregar o ficheiro para um URL fictício através da nossa solução Secure Web Gateway (SWG) na nuvem. Se não estiver familiarizado com a nossa solução, o nosso SWG tem uma joia escondida - expomos uma opção para ver e manipular diretamente a linguagem de política subjacente. Isto permitiu-nos, em apenas alguns minutos, criar uma política personalizada que não só analisaria os ficheiros, mas também enviaria respostas personalizadas para o script Lambda com detalhes sobre quaisquer detecções. Isso trouxe os seguintes benefícios:
- Um script Lambda muito mais simples que pode ser escrito mais rapidamente.
- Uma solução mais fiável com menos peças móveis e pontos de falha.
- Tempos de resposta de digitalização quase instantâneos.
- Comportamento de exploração mais personalizável e acções de resposta subsequentes
Este é um exemplo poderoso da razão pela qual a criação de soluções rígidas e excessivamente simplificadas que visam casos de utilização de "cortadores de biscoitos" já não é uma abordagem viável. As organizações actuais precisam de uma abordagem flexível, ao estilo de uma plataforma, que lhes permita entrelaçar elegantemente os componentes necessários das suas soluções de segurança com os seus fluxos de trabalho empresariais para obterem os melhores resultados. Nós, a indústria da segurança, precisamos de ter uma maior consciência deste facto e continuar a oferecer aos clientes ofertas flexíveis e modulares que possam responder aos infinitos e únicos desafios que os nossos clientes enfrentam.
2023 vai ser um ano para avaliar a eficácia da sua postura de segurança. É uma oportunidade para simplificar e consolidar, o que também reduzirá o seu custo total de propriedade com uma plataforma em vez de vários produtos. Isto também torna a sua equipa de segurança mais produtiva, reduzindo o número de produtos que têm de aprender e utilizar. Saiba mais sobre o que podemos fazer por si em skyhighsecurity.com.
Voltar aos blogues