Dan Woods, chefe global de inteligência da F5, passou mais de 20 anos em organizações policiais e de inteligência locais, estaduais e federais, incluindo o FBI como agente especial, onde investigou o ciberterrorismo; e a CIA como oficial de operações técnicas, onde se especializou em operações cibernéticas. Nós o encontramos para saber mais sobre sua carreira até o momento, seu trabalho na F5 e quais tendências de segurança cibernética devem ser observadas.
Como era trabalhar para o FBI?
No FBI, investiguei todos os tipos de crimes que tinham um componente cibernético. Não eram necessariamente crimes cibernéticos, mas qualquer crime que envolvesse computadores ou a internet de alguma forma. Por exemplo, trabalhei com o Centro Nacional para Crianças Desaparecidas e Exploradas (NCMEC) para investigar pornografia infantil; ajudei a analisar as evidências digitais associadas aos ataques de antraz de 2001 nos EUA (codinome Amerithrax); investiguei casos de fraude online, que normalmente eram encaminhados pelo Internet Crime Complaint Center (IC3); investiguei sites de doutrinação terrorista e arrecadação de fundos; e investiguei o comprometimento de computadores do governo dos EUA. Meu dia a dia era determinado por tudo o que fosse necessário para avançar minhas investigações ativas ou as investigações de outro agente que eu estava apoiando. Em alguns dias, eu ficava o tempo todo no meu ambiente de trabalho revisando extratos bancários, registros/imagens de computador ou registros telefônicos. Ou eu estaria em campo executando um mandado de busca ou conduzindo entrevistas ou vigilância; ou estaria em treinamento, participando de uma conferência ou me reunindo com o promotor. A única coisa que eu realmente gostava em ser um agente do FBI era que cada dia era diferente e trazia novos desafios.
Você também foi Oficial de Operações Técnicas na CIA. Em que consistia seu trabalho lá?
Comecei no Escritório de Serviço Técnico (OTS). Isso exigiu que eu viajasse pelo mundo todo ensinando nossas fontes de inteligência humana (HUMINT) a usar sistemas de comunicação. Gostei dessa posição, mas não era estritamente cibernética, então procurei outras oportunidades na CIA.
Minha próxima função era o emprego dos meus sonhos: fui designado para a Divisão de Exploração e Ataque de Redes de Computadores (CNEAD) do Clandestine Information Technology Office (CITO), que mais tarde se tornou parte do Information Operations Center (IOC), que hoje faz parte da Diretoria de Informações Digitais (DDI). Nessa função, viajei pelo mundo todo ajudando os agentes de casos (aqueles que recrutavam e lidavam com fontes HUMINT). Isso incluía aproveitar fontes HUMINT para obter acesso a computadores e outros sistemas de informação aos quais eles tinham algum nível de acesso. Por exemplo, se um agente de caso (CO) recrutasse um zelador no provedor de serviços de Internet de um alvo de alto valor, o CO e eu nos encontraríamos com ele e faríamos perguntas sobre o ambiente no ISP. Isso pode exigir muitas reuniões ao longo de vários meses, durante as quais forneceríamos ao zelador ferramentas especiais e treinamento para cada estágio da operação, fornecendo, em última análise, à CIA acesso remoto aos sistemas do ISP. O cargo também me permitiu concluir o treinamento necessário para me tornar um CO. Isso me permitiu dar suporte aos COs de forma mais eficaz.
Qual foi a lição mais importante que você aprendeu trabalhando nessas organizações?
A maioria das pessoas se sente atraída pela minha experiência na CIA e no FBI e faz muitas perguntas sobre essas organizações. No entanto, o cargo mais interessante e transformador que já ocupei foi o de policial no início dos anos 90. Eu dirigia uma viatura policial identificada na área metropolitana de Phoenix, Arizona, e atendi a chamadas relacionadas a violência doméstica, roubo, falsificação, roubo de identidade, tiros, homicídio, violência de gangues, danos criminais, drogas ilegais, crianças desaparecidas ou adultos vulneráveis, veículos roubados, acidentes de trânsito e assim por diante. Ao longo dos anos, isso me fez entrevistar (ou interrogar) milhares de pessoas de todas as esferas da vida. Essas interações me ensinaram compaixão, empatia, o valor da educação e, mais importante, a importância primordial da comunicação eficaz.
Como o ciberterrorismo evoluiu nos últimos anos? Quais ferramentas são mais utilizadas para combatê-la?
Como era de se esperar, os criminosos cibernéticos se tornaram mais sofisticados ao longo dos anos, mas apenas na medida necessária para superar novas contramedidas. Por exemplo, quando as organizações começaram a usar a impressão digital do navegador para impedir logins não autorizados, os criminosos desenvolveram plataformas como o Genesis Marketplace , que não apenas vende nomes de usuário e senhas, mas também muitos dos mesmos atributos da máquina da vítima que são usados para gerar impressões digitais do navegador. Quando as organizações começaram a usar 2FA baseado em mensagens de texto, os invasores começaram a usar bots OTP. Os atacantes não evoluem até serem forçados a evoluir. E as ferramentas usadas para combater o ciberterrorismo são as mesmas usadas para outros tipos de crimes cibernéticos. Precisamos impedir que agentes mal-intencionados obtenham acesso não autorizado aos sistemas, independentemente de seus objetivos.
Você acha que os estados e organizações estão preparados para combater o ciberterrorismo ou ainda têm um longo caminho a percorrer?
Estados e organizações não estão tão preparados quanto deveriam. Os motivos variam de acordo com o estado e a organização, mas alguns motivos comuns incluem: 1) falta de cooperação, ou às vezes até mesmo um relacionamento adverso, entre as pessoas que são necessárias, direta ou indiretamente, para trabalhar juntas para ajudar uma organização a detectar e prevenir ataques; 2) fusões, aquisições ou outros eventos que fazem com que as organizações mudem ou integrem rapidamente sistemas totalmente diferentes; 3) rotatividade de pessoal que resulta na perda de conhecimento institucional; 4) pessoas mal-intencionadas; 5) falta de equipes de segurança devidamente treinadas e adequadamente financiadas. Muitas vezes, estados e organizações tentam resolver todos os desafios internamente, quando a melhor opção é terceirizar certas funções. Por exemplo, gerenciamento de identidade e acesso do cliente, monitoramento e gerenciamento de dispositivos e sistemas de segurança, coleta e análise de dados biométricos comportamentais e identificação e prevenção de bots maliciosos. Todas essas são áreas que podem e devem ser terceirizadas.
Qual é o principal erro cometido na luta contra o ciberterrorismo?
Novamente, isso varia com base em quem está envolvido na luta, mas se eu tivesse que identificar um erro principal, eu diria que é a falta de cooperação, ou às vezes até mesmo uma relação adversa, entre as pessoas que são necessárias, direta ou indiretamente, para trabalhar juntas para ajudar uma organização a detectar e prevenir ataques. Isso pode ser um atrito entre a equipe de segurança e a equipe de operações de rede, falta de alinhamento entre a equipe de segurança e uma unidade de negócios ou até mesmo um conflito de objetivos entre a organização e o estado ou estados nos quais a organização opera. O principal erro não é técnico, é humano: aumentar ou proteger um feudo às custas de outros, acumular orçamentos, comunicação ineficaz, políticas e procedimentos desatualizados e uma falta geral de liderança.
Recentemente, o Fundo Europeu de Defesa (FED) liberou 67 milhões de euros para melhorar suas capacidades de segurança cibernética e desenvolver ferramentas para combater a guerra cibernética e de informação. Isso é suficiente ou é necessário mais investimento?
Nem perto do suficiente. Esse problema nunca será resolvido, mas abordar a solução de forma assintotica custaria bilhões. E os problemas humanos que descrevi acima também precisariam ser abordados.
Descreva sua função como Chefe de Inteligência Global na F5.
Trabalho com cientistas de dados, engenheiros e analistas que examinam bilhões de transações que fluem pela rede da F5 todos os dias. Essas transações estão associadas ao que pessoas do mundo inteiro fazem on-line todos os dias. À medida que analisamos os sinais do lado do cliente associados a essas transações, encontramos evidências de ataques maliciosos, a infraestrutura de ataque que eles usam, novas ferramentas de ataque e novos esquemas de monetização, que compartilhamos com nossos clientes por meio de briefings regulares sobre ameaças. Também usamos essas descobertas como um ciclo de feedback para melhorar continuamente a eficácia do conjunto de produtos de segurança da F5.
Quais você acha que serão as tendências de segurança cibernética nos próximos anos?
As organizações devem olhar para frente e planejar a próxima ameaça. No entanto, muitas vezes as organizações gastam mais tempo e esforço especulando sobre o que pode acontecer a seguir do que resolvendo os problemas reais que enfrentam hoje. Por exemplo, o credential stuffing ainda funciona. Isso ocorre quando um criminoso compra ou obtém milhões, ou até bilhões, de pares de nome de usuário/senha válidos em uma ou mais organizações e, então, os testa programaticamente no aplicativo de login de outras organizações. E devido ao hábito dos consumidores de reutilizar nomes de usuários e senhas, esses ataques acabam comprometendo de 0,1% a 3,0% das contas tentadas. Enquanto esses ataques continuarem funcionando, os invasores não terão nenhum incentivo para evoluir.
Além disso, à medida que as organizações começarem a usar o 2FA de forma mais ampla, os invasores continuarão a encontrar maneiras de derrotá-lo, por exemplo, comprometimentos do SS7, infiltração de empresas de telecomunicações, malware em dispositivos móveis, engenharia social, bots OTP, port-outs e trocas de SIM. No futuro, em vez de implementar contramedidas de segurança que aumentam o atrito do usuário, as organizações devem confiar mais nos sinais do lado do cliente para ajudar a autenticar os usuários. Isso inclui biometria comportamental, bem como sinais do dispositivo, agente do usuário e rede. Juntos, esses sinais podem melhorar a segurança sem aumentar o atrito do usuário.
_______
Confira mais de Dan Woods em suas postagens recentes no blog .