Pontos Principais
-
Cada empresa precisa abordar os pontos de dor existentes antes de melhorar a postura em relação a segurança. Afinal, a identificação do problema é necessária antes de começar a criar ou buscar por soluções.
-
As ameaças à segurança cibernética não desaparecerão de um dia para o outro. É mais provável que aumentem e se tornem mais sofisticados. Assim como as empresas se esforçam para aprimorar suas defesas, os hackers aprimoram suas ferramentas, táticas e procedimentos (Tools, Tactics, and Procedures, TTPs) para subvertê-las. Portanto, uma combinação de estratégias de defesa proativas e reativas é uma obrigação.
-
A atual dívida técnica quando se trata de segurança cibernética também não deve desaparecer tão cedo. As empresas sem orçamento para contratar uma equipe dedicada podem trabalhar com uma variedade de fornecedores terceirizados. Isso inclui provedores de serviços de detecção e resposta gerenciados (Managed Detection and Response, MDR) e provedores de serviços de segurança gerenciados (Managed Security Service Providers, MSSPs). As empresas também podem trabalhar com ferramentas de software, como sistemas de gerenciamento de incidentes e eventos de segurança (Security Incident and Event Management, SIEM) e gerenciamento de ameaças unificadas (Unified Threat Management, UTM).
-
Um dos maiores problemas que os profissionais de segurança cibernética enfrentam é o fluxo não definido de alertas. Embora seja ideal reunir o máximo de inteligência possível sobre qualquer ameaça, também precisam de um método de priorização das ameaças, separando alertas e avisos.
-
Hoje, melhorar a postura na segurança cibernética requer várias etapas e investimentos adicionais. Somente com as pessoas, sistemas e aplicações corretas, podemos obter a proteção geral da rede.
A cibersegurança é um dos problemas mais críticos que qualquer empresa precisa resolver, atualmente. O que muitos não estão cientes, é que isso requer lidar com diversos aspectos. Três pontos problemáticos em particular merecem destaque:
1. Volume e a complexidade de ameaças.
2. Uma crescente lacuna de habilidades em segurança cibernética.
3. A necessidade de priorização das ameaças.
Estes são os assuntos deste artigo, incluindo recomendações sobre o que as empresas podem fazer para mitigá-los.
Primeiro ponto de dor: Aumento do volume e da complexidade das ameaças
A batalha entre empresas e ciberataques continua. Enquanto os hackers encontrarem falhas de segurança nos sistemas e nas redes para abusarem e lucrarem, os ataques cibernéticos continuarão a ocorrer.
As previsões de analistas do setor e pesquisadores de segurança cibernética concordam que as empresas precisam acompanhar os desenvolvimentos no cenário de ameaças caso queiram permanecer a salvo dos perigos conhecidos e também dos desconhecidos. Com o tempo, conhecemos muitas das ameaças que representam os riscos mais significativos para as empresas, incluindo:
- Cryptojacking: A mineração de criptomoedas continua sendo um esforço interessante, mesmo que o BTC tenha estado abaixo de US$8.000, recentemente. A mineração de uma única moeda, no entanto, pode consumir a mesma quantidade de energia elétrica que um país pequeno consome. É por isso que os cibercriminosos estão comprometidos a atacarem as redes das empresa para obter lucros. O resultado? Um número cada vez maior de ataques de cryptojacking. Somente no primeiro semestre de 2019, esse valor foi de 52,7 milhões.
- Ameaças à Internet das Coisas (IoT): À medida que mais funcionários utilizam seus dispositivos pessoais no trabalho, aumenta-se os riscos que as empresas enfrentam devido à maior exposição. Isso não inclui as câmeras de segurança e outros dispositivos inteligentes que as empresas adicionam às redes para aprimorar a segurança física e aumentar a produtividade do trabalhador. Tudo isso pode servir como ponto de entrada adicional para os hackers que estão sempre atentos as falhas de segurança que podem ser exploradas. Um problema em questão? Um relatório recente revelou um aumento de 55% no número de ameaças à Internet das Coisas a partir de 2018.
- Riscos geopolíticos: As empresas perdem mais do que os danos à reputação, quando as suas redes são violadas. Além da perda potencial de clientes e, portanto, de receita, também enfrentam multas mais significativas por não protegerem a privacidade das informações de clientes e funcionários em meio a regulamentações mais rígidas sobre privacidade de dados. Por exemplo, a Equifax pagará pelo menos 650 milhões de dólares em acordos de violação de dados somente neste ano.
- Ataques de script entre sites (XSS): Todo software e hardware, possuem vulnerabilidades que não podem ser completamente removidas. Esse fato resulta da prática de criação de programas e sistemas sem o foco na segurança. Ser o primeiro a comercializar um produto pode ser um ponto positivo para os desenvolvedores, o que não deixa tempo suficiente para os testes de vulnerabilidade. Essa falta de comprometimento pode estar causando sofrimento a vários usuários, pois estão vulneráveis a hackers com a habilidade de encontrar brechas na segurança.
- Malware para celulares: A conectividade é uma faca de dois gumes. Quanto mais dispositivos conectados houver em uma rede, mais caminhos os agentes de ameaças podem utilizar para seus objetivos nefastos. Qualquer dispositivo móvel sem proteção que acesse uma rede corporativa é um vetor de ataque em potencial. Além disso, os hackers estão bastante cientes desse fato, portanto, o aumento do volume e a sofisticação do malware móvel tem fundamento. Em 2018, o número de ataques de malware móvel dobrou.
Dados os constantes desenvolvimentos no cenário de ameaças cibernéticas, as empresas devem estar sempre a par das inovações e tecnologias deste setor. Precisam conhecer as recentes ferramentas, táticas e procedimentos (TTPs) empregados nos ataques cibernéticos. Com esse conhecimento, podem educar os funcionários, reduzindo assim os riscos referentes aos erros humanos. Essa melhoria é um excelente meio para evitar vetores de ataque mais comuns, como e-mails de phishing, spam e mensagens instantâneas maliciosas, que podem colocar toda a empresa em risco.
Saber o que os hackers estão tramando e como comprometem as redes pode ajudar as empresas a reforçar as políticas e diretrizes de segurança para evitar o incômodo causado pelos resultados de um ataque.
Hoje em dia, a proteção reativa não é mais o suficiente. As empresas precisam ficar à frente da curva no que diz respeito à segurança cibernética, o que requer o conhecimento e as habilidades corretos. Isso implica a obtenção dos recursos necessários, o que nos leva ao próximo desafio.
Segundo ponto de dor: Falta de recursos de segurança
Proteger uma rede exige pesquisadores e analistas habilidosos, que monitoram e dissecam as ameaças, apresentando as correções necessárias. Isso pode representar um desafio em meio à crescente lacuna de habilidades em segurança cibernética. Uma pesquisa de 2018-2019 revelou que 53% das empresas acreditavam que não possuíam especialistas em segurança cibernética. Sem recursos humanos qualificados internamente, é quase impossível detectar e bloquear ameaças. Uma solução alternativa para isso é a terceirização.
Uma empresa com um orçamento de segurança relativamente pequeno e um conjunto de especialistas pode optar por pacotes completos, como o software de gerenciamento de eventos e incidentes de segurança (Security Incident and Event Management - SIEM). Este produto é útil, especialmente para empresas cuja rede é composta por vários sistemas diferentes que executam aplicações diferentes. Obviamente, isso pode não ser uma solução à perfeita, como em qualquer programa, o software SIEM tem suas limitações.
As soluções SIEM e ferramentas semelhantes, como sistemas de gerenciamento unificado de ameaças (UTM), podem se beneficiar de fontes adicionais de inteligência de ameaças para verificar e analisar as descobertas iniciais. Feeds de dados prontamente disponíveis e interfaces de programas de aplicações (APIs) podem ser úteis na correlação de ameaças, encontrando conexões entre fontes de ameaças em potencial e, ataques e usuários mal-intencionados, por exemplo.
Enquanto isso, uma empresa que não possui especialistas ou equipe de segurança de TI pode optar por contratar terceiros para cuidar dessas necessidades. Os prestadores de serviços de detecção e resposta gerenciadas (MDR), especializados em busca de ameaças e resposta a incidentes, podem ser considerados por aqueles que precisam de proteção contra ameaças conhecidas e desconhecidas. Para as tarefas diárias, podem contar com os MSSPs (gerenciamento de serviços de segurança).
Independentemente de uma empresa optar por criar uma equipe de segurança ou terceirizar o serviço, ela precisa garantir que sua escolha atenda aos seus requisitos. Na maioria das vezes, uma combinação das pessoas e ferramentas certas é vital. É essencial determinar se o provedor de segurança utiliza todas as fontes potenciais de inteligência contra ameaças para garantir a segurança dos clientes. Isso não significa que precisam bombardear os clientes com toneladas de logs que apenas aumentariam os problemas. Em vez disso, precisam ajudar os clientes a avaliarem quais ameaças precisam de atenção imediata e quais podem ser deixadas em segundo plano.
Terceiro ponto de dor: Priorização de ameaças
Qualquer que seja a solução que uma empresa escolha para reforçar a postura em relação a segurança, pode ser confrontada com toneladas de inteligência de ameaças para serem filtradas. Centenas de ataques cibernéticos por minuto criam enormes quantidades de informação. Um plano de mitigação de risco deve estar a par de todas essas informações.
A identificação de todos os possíveis caminhos que os invasores podem adotar para entrar em uma rede implica vasculhar relatórios de incidentes publicamente disponíveis e outras fontes de indicadores de comprometimento (IoCs). Quanto mais dados coletados, melhor. No entanto, a coleta de informações pode resultar em redundâncias e falsos positivos e negativos.
Os dados coletados precisam ser consolidados. As informações devem ser normalizadas ou agregadas para garantir um formato consistente que qualquer sistema e solução da rede que uma empresa possa utilizar. Esse processo também exclui informações redundantes e imprecisas. As verificações cruzadas podem ser feitas entre as fontes para eliminar ainda mais as imprecisões. Somente após esta etapa é possível fazer comparações e conexões.
Os invasores cibernéticos usam uma variedade de TTPs para realizar atividades maliciosas enquanto evitam a detecção. No entanto, as conexões ainda podem ser feitas se as comparações de dados revelarem semelhanças nos domínios utilizados. Um nome, um endereço de email, um endereço IP, uma empresa ou outras formas de identificação virtual podem vincular vetores de ataque aos atores por trás das ações. Esse processo exige a análise dos logs de tráfego de uma empresa para ver se algum usuário que tenta acessar a rede está na lista de IoCs.
Essa prática leva tempo e pode resultar em um número esmagador de incidentes que não podem ser resolvidos ao mesmo tempo. As equipes de segurança precisam de uma maneira de determinar qual evento precisa de priorização e qual pode esperar. Para isso, um processo de correlação eficaz pode ajudar, principalmente na determinação da escala de uma ameaça. Ameaças consideradas mais perigosas pelos relatórios exigem maior prioridade. Aqueles com um número insano de vetores de ataque podem seguir, e assim por diante. Essencialmente, quanto maior a ameaça, mais priorizada deve estar na lista de soluções de segurança cibernética da empresa.
Como mitigar efetivamente os riscos em meio ao número crescente de desafios em segurança cibernética
Para mitigar efetivamente os riscos causados pelos três desafios de segurança cibernética apresentados anteriormente, as empresas precisam de pelo menos:
- Reduza ou elimine o erro humano: É um fato triste que a maioria das ameaças que prejudicam uma empresa seja iniciada por funcionários que se submetem a golpes de phishing, clicando em links de sites maliciosos ou comprometidos ou ainda, respondendo a spams.
Um aumento constante nos sites de phishing foi observado no primeiro trimestre de 2019, de 48.663 em janeiro para 50.983 em fevereiro e 81.122 em março. Podemos ver a mesma tendência no futuro, pois os ataques continuam funcionando contra os clientes das empresas multinacionais.
Os ataques de comprometimento de e-mail comercial (Business Email Compromise, BEC) que atacam o nível de confiança que os usuários têm para os colegas de trabalho (especialmente os chefes das empresas) continuarão a arrecadar bilhões para os hackers ao longo do tempo até que as vítimas parem de morder a isca.
As notícias tendem a piorar quando os funcionários não possuem consciência se tratando de segurança. Dessa forma, as empresas precisam enriquecer o conhecimento de todos os funcionários, no mínimo, para garantir que não se tornem involuntariamente cúmplices do crime cibernético. Isso é importante para evitar colocar a segurança de indivíduos e empresas em risco significativo;
- Crie um plano de resposta para os incidentes: Prevenir é melhor que remediar, principalmente quando se trata de segurança cibernética. As empresas precisam detectar e conter um ataque antes que cause danos irreparáveis. Precisam usar ferramentas que identificam ameaças antes que possam quebrar as defesas da empresa. Uma maneira de fazer isso é acumular e correlacionar inteligência de ameaças.
Porém falar é mais fácil do que fazer. A maioria das empresas ainda sofrem violações, apesar de todo o cuidado. Nesses casos, seria bom ter medidas para garantir que as redes sejam resilientes à segurança. Resiliência, nesse sentido, refere-se à capacidade de uma entidade retornar ao estado original após um ataque ou violação de segurança.
É necessário implementar modos de cobrir esta prevenção, detecção, contenção e correção de ataques.
- Criptografar dados: Todas as empresas são alvos de violação. Qualquer uma pode se tornar uma vítima, apesar de todos os esforços de segurança. Independentemente das circunstâncias vinculadas a um incidente, uma coisa é certa, qualquer parte dos dados criptografados roubados não tem valor para os ladrões. A criptografia de dados é outra camada de proteção que as empresas, especialmente aquelas que não querem acabar pagando multas exorbitantes por acordos de violação, podem utilizar.
- Use inteligência artificial (IA): A solução mais rápida para a lacuna de habilidades de segurança cibernética é permitir que uma pessoa faça o trabalho de cinco com IA. A única ressalva é que uma pessoa precisa se tornar um especialista em segurança altamente qualificado, capaz de avaliar, escolher e lidar com as ameaças de maneira rápida. Mais uma vez, um problema.
As empresas não podem confiar apenas na tecnologia, nem podem fazer tudo sozinhas. É nesta instância que a terceirização pode ser útil. Em vez de adicionar membros à equipe de segurança, podem aumentar os recursos internos com os dos provedores de serviços de segurança. Só precisam ter certeza de escolher os fornecedores corretos para os requisitos especializados.
- Reduza as lacunas de segurança: Os patches podem ser um aborrecimento, mas são necessários para que uma empresa se mantenha segura contra ameaças, infelizmente. Existem maneiras de tornar a atividade menos entediante. Seguindo este processo simples podemos melhorar e deixá-lo menos chato:
- Mantenha uma lista atualizada regularmente de todas as aplicações e sistemas usados na rede. Não podemos proteger algo que não está na nossa lista.
- Verifique se os patches utilizados em uma aplicação não farão com que outro software dependente pare de funcionar. Quanto mais dependências houver entre sistemas e aplicações, mais difícil será a aplicação dos patches.
- Conte com a ajuda dos usuários mais experientes de sistemas e aplicações ao atualizar os patches. O processo será muito mais rápido e mais fácil se houver usuários experientes, pois isso distribui o esforço e minimiza os erros que podem surgir da falta de conhecimento sobre como os sistemas e aplicações em funcionamento.
- A análise de risco para todas as vulnerabilidades permite que uma empresa priorize o patch para aqueles que apresentam perigos mais significativos. Quanto maiores os riscos que um bug representa, mais prioritário deve ser na lista de tarefas da equipe de vulnerabilidades.
- Testar um patch antes da implementação real reduz os erros que podem surgir devido à incompatibilidade. Esse processo leva mais tempo do que a aplicação da correção, portanto, as empresas precisam garantir que os patches não causem a quebra de aplicações ou sistemas quando foram implementados, para evitar retrabalhos.
- Enriqueça a inteligência de ameaças: Provavelmente o elemento mais crítico da segurança cibernética é conhecer o máximo possível sobre as ameaças para garantir proteção contra elas. Precisamos saber o que estamos enfrentando para descobrir uma maneira de lidar com esta ameaça. A única maneira de uma empresa fazer isso é aprimorando a inteligência de ameaças. As empresas precisam coletar o máximo de informações possível, de onde vem uma ameaça, como ela entra na rede, quem está por trás dela e assim por diante, antes de poderem lidar com ela e agir.
No final do dia, embora nem todos os dados possam ser úteis, vale a pena utilizar todos os recursos disponíveis para apresentar as estratégias de segurança mais eficazes para garantir a proteção geral da rede.
Sobreviver em meio a um cenário de ameaças em constante mudança requer enormes investimentos por parte de uma empresa. Infelizmente, a defesa reativa não é mais suficiente. Uma postura proativa em relação à segurança é mais crítica do que nunca. Isso exige que fiquemos a par dos desenvolvimentos de ataques cibernéticos, precisamos investir em segurança, envolvendo terceiros, se necessário, e coletar informações sobre as ameaças.
Sobre o autor
Jonathan Zhang é o fundador e CEO da Threat Intelligence Platform (TIP), um provedor de dados, com ferramentas e APIs especializadas em soluções automatizadas de detecção de ameaças, análises de segurança e inteligência de ameaças para empresas listadas na Fortune 1000 e cibersegurança. O TIP faz parte da WhoisXML API Inc., um fornecedor de inteligência confiável de mais de 50.000 clientes.