O papel dos serviços MDR na resposta a ciberataques

Num contexto de crescente sofisticação das ciberameaças e de forte pressão sobre as equipas internas de segurança, este debate, promovido pela Sophos e organizado pela revista IT Security, reuniu decisores e especialistas para discutir os desafios reais da deteção e resposta a incidentes, bem como o papel do Managed Detection and Response (MDR) no equilíbrio entre capacidades internas e serviços especializados.

Na apresentação de abertura da sessão, Ross McKerchar, CISO da Sophos, explicou a forma como a empresa organiza internamente as capacidades de defesa e gestão de risco, com especial foco na inteligência de ameaças, na resposta a incidentes e na proteção da cadeia de fornecimento. O responsável destacou também o modelo operacional da Sophos, que concentra várias funções de cibersegurança numa única estrutura para melhorar a colaboração e a capacidade de resposta.

Ross McKerchar, CISO da Sophos

“Juntámos toda a nossa experiência de cibersegurança num único grupo, o X-Ops, com mais de mil especialistas dedicados à investigação de ameaças, resposta a incidentes e serviços de MDR. Essa colaboração permite-nos partilhar inteligência dentro da organização e, no final, defender melhor os nossos clientes”, afirmou.

Ross McKerchar centrou-se também no risco associado à cadeia de fornecimento, ao defender que o desafio já não está apenas no controlo dos fornecedores diretos, mas na capacidade de responder com rapidez e transparência a falhas que podem surgir em cadeias cada vez mais longas e interligadas. “Chegámos a um ponto em que já não basta controlar apenas o risco imediato da cadeia de fornecimento” e que “todos têm incidentes; a diferença está na forma como se responde a eles”, sublinhou.

	Paulo Moniz, Global Head of Security Operations, EDP

Paulo Moniz, Global Head of Security Operations, EDP: “Demonstrar risco é difícil. Quantificá-lo é um desafio para qualquer organização, porque o risco não é algo que se consiga medir de forma simples ou direta. Combinamos vários fatores numa equação que nos permite acompanhar a evolução da nossa postura de segurança ao longo do tempo. Para além disso, realizamos avaliações periódicas de maturidade do nosso framework de cibersegurança. Utilizamos um modelo de maturidade de zero a cinco e pedimos a auditores externos que avaliem as nossas capacidades. Esse exercício permite demonstrar de forma objetiva a evolução da organização em termos de maturidade e resiliência”

Ricardo Mendes, Head of IT Security and Infrastructure Division, CM Oeiras

Ricardo Mendes, Head of IT Security and Infrastructure Division, CM Oeiras: “É comum dizer que não se têm a noção de que um município é como um pequeno país. Temos saúde, segurança social, polícia, serviços financeiros, tudo. Por causa disso, temos pessoas desde o nível executivo até ao guarda-rio ou a quem limpa as ruas. Toda a gente tem de ter acesso aos recursos digitais da organização, e isso torna muito difícil impor uma política de acessos muito restritiva. Toda a gente tem o direito de ter acesso aos recursos digitais da empresa, das suas propriedades. Dito isto, não é fácil para nós ter uma política forte e forçada de acessos. O que temos é que todos têm acesso ao conteúdo digital”

	Pedro Ponte, Head of IT, Alves Ribeiro

Pedro Ponte, Head of IT, Alves Ribeiro: “Estou praticamente a reconstruir toda a infraestrutura de IT, desde o Data Center até ao utilizador final. Para muitos dentro da empresa, a segurança é algo que querem ter, mas não compreendem realmente o que significa cibersegurança. Implementámos uma solução para reforçar a segurança do e-mail e das ferramentas de colaboração. A reação inicial foi de frustração, com pessoas a perguntarem porque estavam agora a receber alertas sobre a segurança das mensagens. A resposta é simples: isso é cibersegurança. Significa que também os utilizadores têm de avaliar os e-mails que recebem”

Pedro Galveias, Head of Cybersecurity Operations, TAP

Pedro Galveias, Head of Cybersecurity Operations, TAP: “A taxa de execução orçamental pode dizer mais sobre uma equipa do que qualquer dotação financeira. Durante anos focámo-nos em assegurar um orçamento aprovado e reforçado, mas o desafio era executá-lo na totalidade. Talento escasso, agenda sobrelotada e prioridades a competir. Numa área onde reter especialistas é um desafio real, o músculo de execução cresce mais devagar do que o próprio orçamento. O resultado é uma alocação financeira que existe no papel mas não chega ao terreno. Para o board, este número é um espelho: mostra onde está o verdadeiro constrangimento. E raramente é o dinheiro.”

	Tiago Tormenta, Territory Account Manager em Portugal, Sophos

Tiago Tormenta, Territory Account Manager em Portugal, Sophos: “Temos um conjunto muito grande de iniciativas e projetos planeados para este ano, todos eles com prioridade e impacto direto no risco da organização. Quando surge uma nova solução ou serviço, mesmo sendo muito interessante, muitas vezes não temos capacidade para o avaliar ou implementar de imediato. Esse é o principal risco: se não conseguirmos concluir esses projetos dentro do prazo, acabamos por acumular atrasos que passam para o ano seguinte. A limitação não está apenas na vontade de inovar ou adotar novas tecnologias, mas sobretudo na disponibilidade de pessoas e recursos para acompanhar tudo”

Rui Sousa Gil, Head of Information Technology, José de Mello

Rui Sousa Gil, Head of Information Technology, José de Mello: “Optámos por externalizar o serviço de MDR. Contamos com serviços externos que asseguram a segunda linha de defesa após a deteção e resposta inicial a incidentes. Internamente, a nossa equipa concentra-se sobretudo na componente de rede, na contenção e correção dos incidentes identificados. Muitas organizações não têm dimensão suficiente para garantir internamente todas as capacidades necessárias para monitorizar comportamentos, analisar informação e responder aos incidentes com a rapidez e eficácia exigidas. A implementação de MDR permitiu-nos colmatar essa lacuna”

“Um bom zero trust significa que não se deve preocupar quando carregam numa ligação de phishing”

O CISO da Sophos, Ross Mckerchar, abordou, em entrevista, os temas que habitualmente não são tão tidos em conta quando se fala da defesa das organizações e, principalmente, da importância das soluções de cibersegurança.

Ross McKerchar, CISO da Sophos

Ross McKerchar, CISO da Sophos, abordou em entrevista aqueles que, na sua visão, são os temas que estão a receber menos atenção do que deveriam na cibersegurança. Um dos pontos abordados foram as vulnerabilidades que os produtos dos fabricantes de cibersegurança – que estão no negócio de proteger os seus clientes – têm.

McKerchar refere que “os piores fornecedores são muitas vezes aqueles que não têm CVE, mas têm muitos incidentes. Identificar e publicar vulnerabilidades exige um nível de maturidade específico. Na Sophos, tenho orgulho em dizer que temos CVE; significa que temos os processos para os encontrar e publicar”.

A estratégia de segurança de produto da Sophos assenta no que McKerchar chama de “espremer o risco em cada etapa”, seja da escrita de código à produção. Isso inclui a utilização de Inteligência Artificial (IA) no processo de desenvolvimento para proteger o código quando é escrito e um programa de bug bounty que o CISO descreve como o mais generoso entre fornecedores de segurança. “Nunca se deve assumir que um passo é suficiente. É sempre defesa em profundidade”, acrescenta.

A certeza que desapareceu

Os LLM representam, na visão de Ross McKerchar, uma rutura conceptual com décadas de boas práticas. “Há um conjunto de controlos desenvolvidos ao longo de muitos anos em torno de como desenvolvemos aplicações: todos focados em manter o input separado das instruções. Os LLM destroem isso. E não existe base teórica para obter o nível de assurance que temos em sistemas determinísticos”, diz.

No entanto, o CISO da Sophos recusa um pessimismo que paralise a inovação e explica que, como CISO, “estamos habituados a olhar não só par ao micro, mas para o macro; uma organização inteira, com todas as suas vulnerabilidades. Quando olhas assim, os LLM não são assim tão diferentes. São mais uma componente difusa e difícil de gerir, tal como os humanos. Temos de pensar nos LLM com essa mesma lente”.

A explosão de identidades

Com os agentes de IA a se multiplicarem nas organizações, uma empresa com, por exemplo, quinze colaboradores pode, num curto espaço de tempo, ter duzentas ou mais identidades a gerir. McKerchar aponta o caminho nos princípios já conhecidos: “uma boa arquitetura zero trust significa que não se deve preocupar com os utilizadores quando carregam numa ligação de phishing porque se tem os controlos técnicos para evitar que isso se torne num risco sério. Temos de pegar nesses conceitos e adaptá-los aos agentes”.

O objetivo é colocar fronteiras determinísticas em torno de cada agente. McKerchar introduz o conceito de ‘tríade letal’, ou seja, os agentes que acumulam acesso crítico, dados sensíveis e capacidade de ação autónoma. “Se tenho mil agentes a correr numa organização e apenas meia dúzia está no centro dessa tríade, pelo menos sabes onde concentrar os esforços de proteção e monitorização”, explica.

As organizações sem CISO

Na realidade portuguesa, onde a maioria das empresas são de pequena dimensão e não tem um responsável de cibersegurança, McKerchar explica que não é assim tão diferente no resto do mundo. “A nossa investigação mostra que aproximadamente 0,009% das organizações a nível global tem um CISO. Se não tens um equivalente, não tens estratégia. E se não tens estratégias, como é que estás a governar as tuas decisões de compra?”

Para este segmento, a Sophos adquiriu recentemente a Arco Cyber e está a lançar o produto CISO Advantage, uma abordagem que combina tecnologia, IA e parceiros para escalar competências de CISO a organizações que, historicamente, não têm acesso a esse perfil.

Para orientação imediata, McKerchar é pragmático na sua abordagem: monitorização contínua em primeiro lugar. “O nosso último Active Adversary Report mostra o acesso inicial a domain admin em menos de três horas. Se não estás a monitorizar, não chegas a tempo. Os ataques correlacionam fortemente com fins de semana e noite e é uma tática deliberada. Se não se consegue fazer isso internamente, é preciso um serviço externo”, explica.

A segunda prioridade é a identidade, até porque estas “já não existem atrás da firewall; estão na Internet. Tolerância zero para erros de configuração. Qualquer identidade mal configurada resulta em comprometimento”.

O ângulo cego

Questionado sobre qual o ponto que a maioria dos CISO não está a olhar, McKerchar partilha a cadeia de valor. “Sou muito cético quanto à eficácia dos programas standard de gestão de risco de terceiros. Geram uma quantidade enorme de papelada. As organizações tornam-se muito boas a colocar as respostas certas nos questionários. E simplificam problemas complexos em respostas binárias de ‘sim’ ou ‘não’”.

A solução é uma melhor estratificação de risco, não mais processo. “Não é 80/20. É mais como 2% a 5% dos teus fornecedores onde deves exigir responsabilidade extrema. Para os restantes, assume que vão ser comprometidos e garante que estão ligados aos teus sistemas de forma que não seja crítica para o negócio”, defendeu.

O alvo mais preocupante são, no entanto, os próprios fornecedores de segurança. Ross McKerchar explica que, “como indústria, temos um problema de confiança. Focamo-nos demasiado em funcionalidades de segurança em vez de produtos seguros. Se os clientes pedem funcionalidades, as organizações focam- -se em funcionalidades. Se pedem produtos seguros, as organizações focam-se em produtos seguros”.

Conteúdo co-produzido pela MediaNext e pela Sophos