Liderança contínua em segurança aberta e transparente
O Elastic Security é aberto há muito tempo — com suas raízes no open source, o desenvolvimento aberto e o lançamento do nosso SIEM em 2019. Em 2020, abraçamos ainda mais a abertura do Elastic e lançamos nosso repositório detection-rules aberto para colaborarmos com nossos usuários e sermos transparentes sobre como protegemos os clientes. O foco desse repositório são nossos casos de uso de SIEM e Análise de Segurança e ainda não incluía artefatos do Elastic Endpoint Security. Continuamos a desenvolver essa base hoje abrindo um novo repositório público, protections-artifacts.
No repositório protections-artifacts, você encontrará a lógica de proteção utilizada pelo Elastic Endpoint Security para impedir ameaças nos sistemas operacionais Windows, macOS e Linux. Isso inclui regras de proteção contra comportamento de malware escritas em EQL, bem como assinaturas do YARA aplicadas a arquivos e memória. Este não é um subconjunto ou amostragem: é o conjunto inteiro de regras e assinaturas que bloqueiam ativamente as ameaças. Conforme formos atualizando esses recursos no nosso produto, você verá as alterações, proporcionando transparência sobre como exatamente esses recursos identificam ameaças e comportamentos a serem bloqueados.
Uma abordagem transparente
Embora a lógica de detecção de compartilhamento esteja se tornando o status quo para os fornecedores de SIEM, o mesmo não ocorre para produtos de endpoint. Acreditamos que isso deveria mudar. A detecção e resposta de endpoint (EDR) e as plataformas de proteção de endpoint (EPP) costumam ser uma caixa preta, com muitos fornecedores esperando que os usuários tolerem a falta de informações e insights. Essa maneira de fazer negócios pouco contribui para educar e capacitar os usuários.
Nós vemos nossos relacionamentos com os usuários como parcerias. Nessas relações, a transparência é um pré-requisito para o sucesso mútuo. A necessidade de se comportar dessa maneira deveria ser óbvia e a prática deveria ser universal. Afinal, as soluções de segurança são criadas para mitigar os riscos, e a única maneira de um usuário garantir que um fornecedor esteja ajudando a mitigar os riscos é o fornecedor ser transparente sobre como está protegendo um ambiente. Com transparência, nossos usuários podem entender os pontos fortes do nosso produto e maximizar seus próprios esforços para fechar quaisquer lacunas restantes que sejam de maior risco para eles.
[Artigo relacionado: Forrester nomeia a Elastic como Forte Executor no Wave de Detecção e Resposta de Endpoint]
Lidando com possíveis preocupações
Acreditamos que ser aberto e transparente é melhor para os usuários e melhorará a segurança para todos a longo prazo. Nós pensamos cuidadosamente na nossa decisão. No espírito da transparência, compartilharemos nossa perspectiva sobre alguns pontos negativos percebidos que achamos que poderiam ser levantados:
Podemos receber mais críticas e escrutínio público devido à nossa transparência. Isso não é motivo para não mostrar claramente como um produto funciona se o que realmente importa é capacitar e proteger nossos usuários. O Elastic já está disponível abertamente com milhares de pessoas baixando e experimentando todos os dias, incluindo alguns pesquisadores fantásticos que estão testando nosso produto. Isso é muito bem-vindo. Esperamos que a maioria dos pesquisadores se envolva conosco de forma colaborativa à medida que lacunas de detecção forem descobertas.
Não temos a expectativa de que todos adotem essa abordagem, e alguns podem querer lacrar em cima de nós chamando a atenção para uma lacuna. Recebemos críticas e feedback de braços abertos. Continuaremos melhorando e mostraremos como fazemos isso.
Alguns podem pensar que os invasores poderiam contornar nosso produto com mais facilidade Há uma certa crença de que, se um produto for fechado, invasores motivados terão dificuldade para entender como ele detecta e bloqueia ameaças. Isso não é verdade. Os invasores conseguirão a lógica de detecção de qualquer maneira, seja descarregando-a do disco ou da memória no endpoint ou por meio de testes de tentativa e erro no produto. Segurança com obscuridade não é segurança! Acreditamos na construção de proteções que sejam fundamentalmente resilientes ao conhecimento do invasor sobre a lógica por trás de qualquer proteção ou regra específica. Buscamos técnicas que os invasores tenham dificuldade em utilizar e fornecemos muitas camadas de proteção — assim, se uma parte for contornada, haverá mais proteções por trás dela.
Os concorrentes podem roubar nossa lógica de detecção. Nossa meta com a abordagem aberta é capacitar nossos usuários e promover uma melhoria significativa na segurança por meio de maior transparência. Isso significa beneficiar todos, inclusive outros fornecedores de segurança, alguns dos quais podem pegar o que puderem, independentemente de licenças e outras restrições, sem dar nada em troca. Temos a confiança de que nossa vantagem competitiva só fica mais forte à medida que fazemos coisas para ajudar nossos usuários. Também não se trata apenas das regras de detecção. O Elastic Security fornece aos usuários a melhor arquitetura para executar a lógica de detecção e bloquear ameaças.
Estamos abertos ao diálogo
Fiéis à nossa natureza aberta, adoraríamos receber seu feedback: fale conosco por meio de ocorrências no GitHub, converse conosco em nosso canal da comunidade no Slack, faça perguntas em nossos fóruns de discussão. Diga-nos o que você precisa. Pergunte por que fizemos uma determinada escolha. Melhor ainda, compartilhe a lógica de detecção com o mundo e nos ajude a elevar o nível.
Nosso convite para compartilhar a lógica de detecção vai além da nossa base global de usuários. O status quo entre os fornecedores de EPP/EDR deve evoluir para a transparência. Sabemos que somos pioneiros nisso e esperamos que outros nos acompanhem.
Em resumo, achamos que adicionar transparência à proteção de endpoint é a coisa certa para nossos usuários, então fizemos isso. Esperamos que outros fornecedores sigam essa forma de pensar e tragam maior transparência à segurança do endpoint. À medida que formos atualizando o Elastic Endpoint Security, você deverá ver assinaturas do YARA e regras comportamentais atualizadas.
Fique atento(a) a mais transparência futura na segurança de endpoint do Elastic Security acompanhando o repositório protections-artifacts. Planejamos lançar artefatos para recursos adicionais de proteção de endpoint no futuro. Também não se esqueça de acompanhar o Elastic Security Labs para obter mais insight sobre a pesquisa de segurança que estamos fazendo aqui na Elastic.
Leia a seguir: Inclua mais dados no seu SIEM enquanto aumenta a eficiência operacional.