A nossa dependência das plataformas informáticas e a necessidade de as proteger é um desafio permanente.
Este desafio continua num ritmo acelerado à medida que as organizações lidam com um número crescente de complexidades de trabalho híbrido, migrações para a nuvem e aplicações baseadas em SaaS, para citar apenas alguns.
Tudo isto aumentou a exigência das equipas tanto de TI como de Segurança. No entanto, essas equipas já estão sobrecarregadas. Quando se somam as atuais tendências, há uma enorme pressão e incentivo dos executivos para se fazer mais com menos recursos. Estes estão a ser atingidos por pontos de rutura e algo acabará por ceder; os sistemas vão falhar, haverá impactos operacionais e os incidentes de cibersegurança são uma questão de QUANDO e não SE irão decorrer.
Então, é possível fazer mais com menos para as equipas de TI e Segurança? É possível alcançar eficiência sem impactos operacionais que levem a uma maior produtividade? A resposta é sim, e pode ser facilmente alcançada através das ferramentas certas que fornecem este tipo de automação.
Quando se trata de lidar com a configuração segura e a proteção do dispositivo, é necessária a colaboração entre as equipas de segurança e de TI. A segurança precisa de visibilidade contínua em todos os dispositivos para identificar falhas de segurança e configurações incorretas. A TI precisa executar as ações de correção relevantes para corrigir a configuração incorreta e, em seguida, validar se o risco foi removido ou reduzido, na melhor das hipóteses.
A abordagem da remediação para a configuração segura e o reforço de dispositivos são geridas como projetos nas organizações. Esses projetos têm uma duração de pelo menos alguns meses para resolver um problema de má configuração e exigem uma equipa composta por gestores de projeto, arquitetos, secOps, administradores de TI, entre outros.
Então, porque é que é necessária uma equipa tão grande? A resposta típica é que esse tipo de projetos de remediação, que exigem reconfigurações, exigem muita mão de obra e discussão devido ao potencial impacto das mudanças e, portanto, à necessidade de muitos esforços manuais.
Por exemplo, um projeto de remediação comum como remover o risco da vulnerabilidade "Print Nightmare" das organizações. Se não estiver familiarizado com isso, trata-se de uma vulnerabilidade crítica no serviço de Spooler de Impressão do Windows que permite que um hacker assuma remotamente o controlo do seu dispositivo. Não há remediação oficial da Microsoft, portanto, a opção de mitigação é desativar o serviço se não for necessário.
Este projeto de remediação exigiria algumas etapas:
- Determinar quais são os PCs e Servidores Windows que têm o serviço Spooler de impressão ativado.
- Reconfigurar esses dispositivos, de modo a desativar o serviço.
Parece simples? Os dois passos acima exigem muito esforço, mas há muitas outras considerações que acrescentam complexidade significativa.
Por exemplo:
- Não quer desativar o serviço em dispositivos que são usados para impressão. Como consegue determinar isso?
- Como consegue validar se a ação de remediação realmente funcionou? O uso de GPOs ou políticas do InTune é o método preferido, mas o fato de que pelo menos 10% dos GPOs não são aplicados com êxito em dispositivos, requer validar cada dispositivo. Isto não é algo disponível no SCCM ou no InTune.
- E quanto à adição de novos dispositivos? Um novo portátil para um colaborador ou um novo servidor. Muitas vezes, há um lapso de tempo de 6 a 12 meses antes que as configurações reforçadas cheguem à imagem de referência.
- O que acontece quando um dispositivo existente tem o serviço ativado novamente por um colaborador que tenta imprimir algum documento quando está em casa?
Este exemplo simples mostra por que a implementação de remediações focadas no hardening e configurações seguras para proteção de dispositivos são projetos dispendiosos e desafiantes.
Então, como a automação pode alcançar eficiências e melhorar a produtividade das equipas de TI e Segurança já de si sobrecarregadas?
Têm de deixar de ser projetos complexos com utilização intensiva de recursos e tornar-se simples tarefas operacionais.
Para que isso aconteça, as soluções de Gestão de Configuração Segura precisam incluir o seguinte:
- Monitorização contínua de todos os dispositivos em todos os momentos. As operações de segurança têm visibilidade total. Elas conseguem identificar os riscos de configuração, validar quando foram remediados pela TI e também podem ser alertados para novos dispositivos ou dispositivos reincidentes.
- Visibilidade do Impacto. Tanto a segurança quanto a TI precisam de saber com antecedência se a ação de remediação terá impacto. É possível reduzir o risco de forma rápida e eficiente nos dispositivos de modo a que não ocorra impacto nos serviços da organização.
- Remediação automatizada. A automação oferece mecanismos confiáveis para Hardening de segurança dos dispositivos, independentemente do tipo de dispositivo ou versão do sistema operativo. Isso elimina a necessidade de scripts e reduz a ocorrência de erros humanos.
- Capacidade derollback (reversão da ação). A automação também oferece a capacidade de reverter as ações de remediação, fornecendo uma rede de segurança caso seja necessário retornar ao estado anterior.
- Integração em ferramentas de fluxo de trabalho operacional de TI. As soluções de gestão de configurações seguras precisam de ser integradas às ferramentas de fluxo de trabalho de TI existentes, como sistemas de tickets. Isso garante que todas as alterações sejam registadas e controladas de acordo com os processos de mudança organizacionais.
A GYTPOL é uma plataforma de gestão de configurações seguras e tem liderado o caminho para ajudar as equipas de Segurança e TI a proteger os dispositivos e estar em conformidade através da Remediação de Impacto Zero.
As organizações têm estado a vivenciar os benefícios significativos de uma automação segura e confiável. Isto é: fazer mais com menos e alcançar eficiência e melhor produtividade das equipas de segurança e TI.
Alguns dos principais benefícios do GYTPOL incluem:
- Deteção contínua em dispositivos Windows, Linux e Mac: A GYTPOL utiliza semi-agente lightweight baseado em tarefas agendadas, permitindo a detecção contínua de dispositivos tanto na rede interna quanto na rede VPN.
- Remediação automática de impacto zero. A GYTPOL determina o impacto potencial ao analisar o utilização dos dispositivos. Com base nessa análise, a GYTPOL pode determinar se uma ação remediação não terá impacto e, assim, permitir a remediação segura.
- Reaplicação automática da correção. A solução oferece a opção para auto-replicar ações de remediação autorizadas quando novos dispositivos são adicionados ou quando dispositivos existentes são reconfigurados incorretamente.
- Reversão de remediações. A solução permite reverter rapidamente as ações de remediação para o estado anterior, caso seja necessário.
- Remediação programada. A GYTPOL permite agendar ações de remediação durante uma janela de manutenção específica.
- Integração e Interoperabilidade: A solução é compatível com SIEM (Security Information and Event Management) e outros sistemas através de APIs robustas, facilitando a integração com as ferramentas existentes.
- Deteção de políticas não aplicadas: A solução é compatível com SIEM (Security Information and Event Management) e outros sistemas através de APIs robustas, facilitando a integração com as ferramentas existentes.
- As estruturas suportadas incluem CIS e NIST: A GYTPOL suporta as frameworks CIS (Center for Internet Security) e NIST (National Institute of Standards and Technology), fornecendo orientações e recomendações de configuração segura.
- Pesquisa contínua de configurações incorretas novas no mercado e das que estão a ser exploradas por agentes de ameaças.
A GYTPOL pode ser implementado em modelo SaaS ou On Premises.
Contacte a DigitalSkills para uma demonstração e uma avaliação gratuita totalmente funcional.
Artigo traduzido e disponibilizado pela DigitalSkills Consulting - Distribuidora oficial de soluções de cibersegurança do fabricante GYTPOL. Para mais informações: www.digitalskills.pt | [email protected] | 21 418 05 21
Artigo original publicado aqui: https://gytpol.com/reliable-automation-for-secure-configuration-and-device-hardening/