Síndrome de Subsistência de Segurança

A Síndrome de Subsistência de Segurança (SSS) é definida como uma mentalidade em uma organização que acredita não ter opções de segurança e ser subfinanciada, por isso gasta minimamente para atender aos requisitos legais e regulamentares percebidos.

Andy Ellis descreve essa mentalidade como “com atitude, não com dinheiro. É possível ter muito dinheiro e ainda assim estar numa situação ruim, assim como é possível operar um bom programa de segurança com um orçamento apertado. ”

Perante a evidência esmagadora de que as defesas tradicionais, como antivírus e firewalls baseados em assinaturas, são lamentavelmente inadequadas contra as ameaças modernas, o SSS leva os defensores a proclamarem satisfação porque têm sido diligentes na implementação destas precauções básicas.

No entanto, as pessoas que hoje lidam com a resposta a incidentes assumem silenciosamente que o malware não será detectado por quaisquer ferramentas antivírus instaladas. A questão “o AV detecta isso? ”nunca mais aparece. No mundo deles, a eficácia do antivírus é basicamente 0% e isso não é assunto para debate. Isto é simplesmente um facto da sua vida quotidiana, como aqui referido.

Então, como é que o gestor de TI moderno se defende de forma eficaz (e eficiente - uma vez que o custo é sempre uma preocupação) contra este cenário de ameaças?

A resposta está em um conjunto de tecnologias agora chamado de detecção e resposta a ameaças de endpoint (ETDR ou EDR). Estas são soluções de análise de TI que fornecem visibilidade e insights sobre comportamentos anormais que podem representar ameaças e riscos potenciais e permitem que as empresas melhorem sua postura de segurança. Um sensor no endpoint é usado para detectar o lançamento de novos processos e compara o hash MD5 (ou SHA) desse processo para determinar se ele foi visto antes/confiável.

Seu SIEM pode fornecer ETDR? O EventTracker pode. Hora de atualizar?