BLOGUE

7 (Mais) mitos de segurança cibernética que estão prejudicando seu negócio

Miniatura de Dan Woods
E madeiras
Publicado em 23 de maio de 2022

Dois anos atrás, escrevi sobre sete mitos de segurança cibernética que criam riscos comerciais e fazem com que equipes de segurança bem-intencionadas se concentrem nas coisas erradas.

Na época, estávamos no início de uma pandemia global, e tanto nossa vida real quanto a digital estavam mudando rapidamente, em alguns aspectos, permanentemente. Desde então, o mundo ficou chocado econômica, política e tecnologicamente. O avanço tecnológico acelerou em relação ao seu ritmo vertiginoso. Estados-nação envolvidos em guerra cibernética atingiram cidadãos comuns diretamente no bolso. Certamente depois de dois anos esses mitos seriam totalmente diferentes, certo?

Errado. Como nos lembra o ditado “plus ça change”, quanto mais as coisas mudam, mais elas permanecem as mesmas. Todos os sete mitos originais ainda são altamente relevantes, mas ofereço sete mitos adicionais sobre segurança cibernética que surgem da imutabilidade da condição humana.

Mito nº 1: Apenas um pequeno número de contas de mídia social são falsas.

Muitas empresas sabem que têm bots, mas a realidade é que as empresas de mídia social geralmente não sabem e não querem saber quantos bots elas realmente têm.

Fizemos uma prova de conceito com um site de rede social anos atrás que mostrou que 98% dos seus logins eram bots automatizados. A empresa estava muito orgulhosa de seu rápido crescimento e animada com o futuro, mas descobriu que tinha apenas um décimo dos assinantes que pensava ter.

A importância desse conhecimento tem se mostrado muito pública com a aquisição do Twitter. O valor da empresa é amplamente baseado no número de usuários. O desafio de Elon Musk à empresa para demonstrar que bots de spam e contas falsas são menos de 5% é uma expectativa justa para qualquer investidor, anunciante, potencial parceiro de negócios e até mesmo seus usuários.

Prevejo que o número de bots do Twitter esteja próximo de 50% ou mais. (Observação: Com base em pesquisas subsequentes, revisei essa estimativa em uma postagem de blog mais recente.) As empresas devem ser obrigadas a validar que os usuários são humanos e gerenciar e mitigar efetivamente o tráfego de bots.

Em termos simples, o sucesso de bots maliciosos indica uma falha de segurança. A prevenção de bots é essencial para garantir a integridade das informações que fluem por esses sites, mas também para ter dados precisos para que as empresas tomem decisões comerciais importantes e para outras pessoas que fazem negócios com elas.

Mito nº 2: A prevenção de bots é um projeto interno do tipo "faça você mesmo".

Temos visto boas empresas com grandes orçamentos e equipes técnicas brilhantes lutando contra bots há anos. No entanto, quando analisamos o tráfego de bots nessas organizações, esperando ver bots sofisticados que evoluíram para superar suas defesas, isso simplesmente não é o caso.

As empresas têm combatido bots bloqueando IPs, regiões e sistemas autônomos, e é aqui que vemos a evolução do tráfego de bots maliciosos: os ataques agora vêm de centenas de milhares, até mesmo milhões de endereços IP. Essas defesas da camada de rede só levam você até certo ponto.

Meu mantra é que os sinais do lado do cliente são fundamentais. Você deve ter biometria comportamental. Você deve interrogar o navegador e interrogar o dispositivo. Todos esses sinais coletados em conjunto são a forma como você identifica não apenas bots, mas também humanos mal-intencionados.

As empresas também acham que podem contratar para sair dessa situação, mas não há como contratar pessoal de TI suficiente para resolver um problema tão grande. A única maneira de realmente combater a automação é com automação.

Mito nº 3: O foco deve estar sempre em uma nova ameaça misteriosa no horizonte.

Nós, da área de segurança, da imprensa tecnológica e de relações públicas corporativas, compartilhamos um medo comum daqueles agentes de ameaças que estão constantemente inovando e se mantendo à nossa frente. Mas, em muitos aspectos, os ataques continuam os mesmos, com apenas pequenos ajustes ao longo do caminho.

A maioria dos bots que vemos hoje mostra o mesmo nível de sofisticação que víamos há cinco anos. Eles apenas vêm de lugares diferentes. O preenchimento de credenciais ainda funciona apesar da autenticação de dois fatores e/ou CAPTCHA. Os invasores não inovarão novos vetores de ataque enquanto o vetor original permanecer bem-sucedido. Tudo o que eles precisam fazer é inventar uma maneira de driblar novas defesas.

As empresas precisam considerar as ameaças emergentes e tentar se preparar para elas, mas o setor também precisa continuar a mitigar as ameaças do ano passado.

Mito nº 4: Gerenciar múltiplas nuvens é um desafio difícil que exige talentos inatingíveis.

O mundo de múltiplas nuvens é uma realidade em que muitas, se não a maioria, das empresas vivem hoje. Seja por causa de uma aquisição, integração com um parceiro ou apenas captura de recursos de ponta, a multi-nuvem veio para ficar.

No entanto, quando pergunto às empresas se elas estão em várias nuvens, uma resposta que ouço repetidamente é alguma versão de "sim, infelizmente". Empresas que operam em várias nuvens às vezes o fazem de má vontade e não aproveitam a oportunidade de obter o melhor de todos os mundos.

Hoje em dia, não há razão para que gerenciar e proteger seu patrimônio de TI em várias nuvens seja árduo. Os fornecedores de nuvem incorporaram a interoperabilidade em suas estratégias, e há muitos outros provedores cujas soluções são projetadas para remover o fardo da integração, abstrair sua funcionalidade entre nuvens e entregá-la por meio de uma interface simples e unificada.

Mito nº 5: Proteger a arquitetura e os dispositivos da empresa é suficiente.

As equipes de segurança estão focadas na infraestrutura da empresa, seus servidores, seus computadores, seus desktops — tudo dentro da organização. O que eles menos focam são as redes domésticas de todos os funcionários da organização .

Um invasor pode querer atingir o CEO para acessar insights de fusões e aquisições ou outras informações estratégicas, mas monetizar isso não é tão fácil quanto atingir um funcionário de contas a pagar ou um administrador de TI. Em um momento em que trabalhar em casa é mais comum do que nunca, as redes domésticas são uma brecha emergente para criminosos .

Mito nº 6: Você pode confiar em seus funcionários.

Ameaças internas têm uma vantagem enorme simplesmente porque é da natureza humana presumir o melhor daqueles que nos rodeiam. Mas o fato é que você não pode contratar 50 ou 100 funcionários sem correr o risco real de introduzir uma ou duas maçãs podres no barril.

Funcionários insatisfeitos não deixam apenas avaliações ruins no Glassdoor. Eles podem jogar arquivos confidenciais em um pen drive e sair pela porta. Há até uma preocupação crescente de que eles possam deixar software malicioso no sistema.

Há muito tempo tenho uma teoria de que provavelmente há pessoas de dentro por trás de muitos ataques de ransomware. Um administrador de TI pode facilmente criar uma persona na dark web, dar a essa persona acesso ao sistema para instalar malware e, então, emitir um pedido de resgate — e, em troca, defender que a empresa simplesmente pague o resgate. É importante notar que ainda não vi evidências disso, mas o incentivo certamente existe.

Mito nº 7: Nossas maiores ameaças cibernéticas vêm de atores estatais-nação que têm como alvo a infraestrutura.

Quando o Colonial Pipeline foi atacado há um ano, causando longas filas nos postos de gasolina e incomodando os consumidores da Costa Leste, isso virou notícia internacional importante.

No entanto, há pouca ou nenhuma conversa sobre os milhões de americanos que são fraudados todos os anos online, muitos dos quais são idosos e vivem de suas economias para a aposentadoria. Esta é uma tremenda ameaça à nossa rede de segurança social que pode ter efeitos devastadores sobre as pessoas e suas famílias — muito mais do que ter que esperar na fila e pagar mais pela gasolina.

Passei anos na aplicação da lei investigando crimes cibernéticos, muitas vezes com resultados frustrantes, e essa questão é uma paixão minha. Ataques à nossa infraestrutura são importantes e muito reais, mas quando você ouve as histórias dessas vítimas, fica claro que a fraude cibernética generalizada deveria estar recebendo mais atenção do que está.

Se você estiver interessado em aprender mais sobre como gerenciar e se defender contra bots, identificar e mitigar ameaças ou implementar confiança zero em sua organização, aqui estão algumas sugestões de leitura complementar:

_____

Por Dan Woods, Chefe Global de Inteligência, F5