If Cloud Detection Tools Don't Exist, How Do it?

Recently, a study conducted by Allie Mellen and her team at Forrester pointed to the nonexistence of cloud detection and response tools. Although I haven't accessed the full report yet, after seeing some posts on the subject and participating in several discussions, I decided to talk about what I have been advocating for a long time. The complexities and challenges we face in cybersecurity are similar to those in other areas; we are not "special".

In general, there are no magic solutions for anything, nor are there 100% secure tools, not even those for security. Just as there is no 100% secure human who poses no risk. There will always be the possibility of someone executing malware, clicking on a phishing link, or falling for social engineering, regardless of their level of knowledge or paranoia.

Just people alone do not solve security problems, and just tools alone do not either!

I believe in the combination of People + Tools and in investing efforts to create and maintain good visibility/observability, which will generate inputs (alerts) for remediations that must be automated whenever necessary (considering the cost/time for automation versus the number of occurrences versus probability and impact). For me, this is the traditional PDCA cycle.

At the heart of the report's theme, I believe the solution to the problem is not 100% in tools. As in other areas of cybersecurity, the key lies in the knowledge of cloud security specialists about how Cloud Providers work and in creating excellent visibility work.

Some tools will help more in this process, but for those who don't have a budget for proprietary tools, there are several open-source options. If you are skilled and have knowledge of Python, you can solve all of this too, without excuses, although it is more laborious and has greater complexity in maintenance, updates, and project continuity risk.

Speaking of the Cloud Security professional, this person has a bigger challenge. They need to have knowledge in networks, infrastructure, development, identity management, infrastructure and software architecture, in addition to security knowledge in all these pillars. They don't need to be an expert in everything, but they must have a good understanding of all these areas and have peers who are complementary and/or know where to seek help when necessary. Networking is a more than important pillar.

Therefore, I say that although a person works with blue team, red team, purple team, or anyOtheColorTeam, they need to read, study, and COMPREHEND ISO 27001, understand the product, the business risks, etc. Security can no longer be an isolated area (it never should have been), and the professional who has not yet understood this needs to understand. There is no ready-made solution (framework, method, or product) that solves any company's problems in the same way, without adjustments.

COMPREHENSION is crucial. The latest revision of the ISO, for example, no longer includes that introduction to PDCA, but the cycle is still there. Now it requires that, when reading the document, the person already knows what a PDCA cycle is to better understand the standard with this vision.

As I mentioned in the first paragraph, this is not exclusive to security. Let's take an example that I have mentioned for years about agile methods/projects. It is no use trying to apply, for example, SCRUM exactly as it is in the books. This theory was created based on the reality and culture of a specific company. A good manager/agilist needs to have knowledge of the theory and excellent interpersonal skills to understand the product, the people, and the real culture of the company, and not what he or someone else says the culture should be. Thus, they will be able to create/adapt that theory to this reality and always follow a PDCA. Without this, we often hear that agile methods do not work, that project management frameworks do not work. Similarly, I think and hear similar issues about the security area.

So, what is your opinion?

PT-BR

Recentemente, foi realizada uma pesquisa por Allie Mellen e sua equipe na Forrester , que aponta para a inexistência de ferramentas de detec??o e resposta em nuvem. Ainda n?o tive acesso ao relatório, mas depois de ver alguns posts sobre o assunto e ter participado de algumas conversas, decidi falar um pouco sobre o que já defendo há um bom tempo. As complexidades e desafios que enfrentamos em seguran?a cibernética s?o parecidos com os de outras áreas; n?o somos "especiais".

No geral, n?o há solu??es mágicas para nada, nem ferramentas 100% seguras, nem mesmo aquelas de seguran?a. Assim como n?o existe um ser humano 100% seguro que n?o represente um risco. Sempre haverá a possibilidade de alguém executar um malware, clicar em um phishing ou cair em uma engenharia social, independentemente do nível de conhecimento ou paranoia.

Apenas pessoas n?o resolvem problemas de seguran?a, e apenas ferramentas também n?o!

Acredito na combina??o de Pessoas + Ferramentas e no investimento em esfor?os para criar e manter uma boa visibilidade/observabilidade, que gerará inputs (alertas) para remedia??es que devem ser automatizadas sempre que necessário (considerando o custo/tempo para automa??o versus a quantidade de ocorrências versus a probabilidade e impacto). Para mim, isso é o tradicional ciclo do PDCA.

No cerne do tema do relatório, acredito que a solu??o do problema n?o está 100% em ferramentas. Como nas demais áreas da seguran?a cibernética, o segredo está no conhecimento dos especialistas em cloud security sobre o funcionamento dos Cloud Providers e na cria??o de um excelente trabalho de visibilidade.

Algumas ferramentas v?o ajudar mais nesse processo, mas quem n?o tem or?amento para ferramentas proprietárias, tem várias op??es open source. Se for habilidoso e tiver conhecimento de Python, pode resolver tudo isso também, sem desculpas, embora seja mais trabalhoso e tenha maior complexidade de manuten??o, atualiza??o e risco de continuidade do projeto.

Falando do profissional de Cloud Security, essa pessoa tem um desafio maior. Ele precisa ter conhecimentos em redes, infraestrutura, desenvolvimento, gest?o de identidades, arquitetura de infra e software, além dos conhecimentos de seguran?a em todos esses pilares. N?o precisa ser especialista em tudo, mas deve compreender bem todas essas áreas e ter pares que sejam complementares e/ou saber onde buscar ajuda quando necessário. Networking é um pilar mais do que importante.

Por isso, digo que, embora a pessoa trabalha com blue team, red team, purple team ou anyOtheColorTeam, ela precisa ler, estudar e COMPREENDER a ISO 27001, entender o produto, os riscos do negócio, etc. Seguran?a n?o pode mais ser uma área isolada (nunca deveria ter sido), e o profissional que ainda n?o entendeu isso precisa entender. N?o existe uma solu??o pronta (framework, método ou produto) que resolva os problemas de qualquer empresa da mesma forma, sem necessidade de ajustes.

COMPREENDER é crucial. A última revis?o da ISO, por exemplo, n?o traz mais aquela introdu??o ao PDCA, mas o ciclo está lá. Agora exige que, ao ler o documento, a pessoa já saiba o que é um ciclo PDCA para poder compreender melhor a norma com essa vis?o.

Como disse no primeiro parágrafo, isso n?o é uma exclusividade apenas da seguran?a. Vamos a um exemplo que menciono há anos sobre métodos ágeis/projetos. N?o adianta querer aplicar, por exemplo, SCRUM exatamente como está nos livros. Essa teoria foi feita com base na realidade e cultura de uma empresa específica. Um bom gestor/agilista precisa ter conhecimento da teoria e ótimas habilidades interpessoais para entender o produto, as pessoas e a cultura real da empresa, e n?o a que ele ou alguém está dizendo que deve ser a cultura. Assim, ele conseguirá criar/adaptar aquela teoria a essa realidade e seguir um PDCA sempre. Sem isso, geralmente ouvimos que métodos ágeis n?o funcionam, que frameworks de gest?o de projetos n?o funcionam. De forma semelhante, penso e ou?o quest?es semelhantes sobre a área de seguran?a.

E aí, qual a sua opini?o?