ANÁLISE

O negacionismo da alta gestão em relação aos Riscos Cibernéticos faz com que os Hackers sejam mais estruturados. Por quê?

Prof. Dr. Antonio Celso Ribeiro Brasiliano,
CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris – Est (Marne La Vallée, Paris, França); presidente da Brasiliano INTERISK.

28/06/2021

O risco de ataques cibernéticos é um grande rinoceronte cinza – grey rhino. Aquele animal enorme, pesado, que quando se locomove resulta num movimento massivo que destrói tudo ao redor. Hoje, qualquer tipo de organização pode virar alvo de ataques cibernéticos. Os hackers estão cada dia mais estruturados e ousados. Eles contam com um planejamento primoroso pensado de acordo com sua relação custo x benefício. Por essa razão, foi que a Colonial Pipeline, nos Estados Unidos, pagou o resgate exigido pelos criminosos.

Os ataques cibernéticos ocorridos nos EUA com a Colonial Pipeline, que impactou 17 estados americanos na distribuição de combustível e também a invasão nos sistemas da empresa brasileira JBS só reforçam o negacionismo dos executivos C-Level em relação aos riscos cibernéticos. Na JBS, as operações foram paralisadas totalmente, obrigando os funcionários a cortarem carnes, afiarem facas e até empacotarem seus produtos manualmente. Tudo isso abalou os negócios da organização em âmbito mundial, influenciando operações nos Estados Unidos, Canadá e Austrália.

Ao que tudo indica, os executivos das empresas ainda não possuem uma visão de antecipação e adaptação, mas é isso que o mundo pandêmico do século XXI exige (leia o artigo no qual explico o Mundo BANI. “Empresas brasileiras são alvos fáceis de hackers por falhas de segurança cibernética”, edição 154, revista Gestão de Riscos/março 2021).

 

Existe a necessidade de as empresas serem antifrágeis. Tal conceito está no livro de Nassim Nicholas Taleb, “Antifrágil: Coisas que se Beneficiam com o Caos”. A obra é de 2012, porém o tema não poderia ser mais atual. Como também podemos ver no livro de 2008, “A Lógica do Cisne Negro”, no qual o autor enumera quatro grandes erros que os executivos cometem na tentativa de racionalizar a não materialização de riscos:

 

1. Acham que, ao prever eventos extremos, será possível administrar o risco;

2. Acreditam que estudar o passado vai ajudar a controlar o risco. Ou seja, só olham o espelho retrovisor;

3. Pensam que o risco pode ser medido pelo desvio-padrão, apenas por métricas matemáticas. Cenários projetivos não funcionam;

4. Não entendem que a equivalência matemática não significa equivalência psicológica. Nunca levam em consideração o fator humano.

 

Na verdade, o risco de ataques cibernéticos é um grande rinoceronte cinza – grey rhino. Aquele animal enorme, pesado, que quando se locomove resulta num movimento massivo que destrói tudo ao redor. Hoje, qualquer tipo de organização pode virar alvo de ataques cibernéticos. Os hackers estão cada dia mais estruturados e ousados, tornaram-se criminosos profissionais, pois contam com um planejamento primoroso pensado de acordo com sua relação custo x benefício. Por esta razão, foi que a Colonial Pipeline pagou o resgate exigido.

 

Agora, vamos analisar. Por que há esse negacionismo? O Global Risk Report de 2007 publicou uma pesquisa entre a alta gestão de empresas e governantes.  O objetivo do trabalho era entender as razões pelas quais pessoas tão qualificadas deixavam os grey rhino se deslocarem. Na pesquisa, foram identificadas as atitudes de negação e minimização da realidade como as causas da ineficácia desse grupo avaliado. Ficou comprovada a dificuldade para lidar com os diversos tipos de riscos. Entre os motivos estão:

 

- Conotação negativa da palavra riscos;

- Levar em conta apenas o lado positivo;

- O risco é percebido como afetando principalmente terceiros;

- Gestão de riscos é burocracia;

- Gestão é atendimento a compliance/legislação.

- Jargão técnico excessivo. O usuário não entende.

 

A empresa do Sophos Rapid Response criou uma lista com os principais mitos ou percepções erradas sobre segurança cibernética mais vistos nos últimos 12 meses. O trabalho foi feito com base na experiência e observações dos responsáveis da linha de frente no combate aos ataques cibernéticos. Veja os resultados:

 

Mito 1: “não somos alvo; somos muito pequenos e/ou não temos ativos de valor para um cibercriminoso”.

 

Muitas vítimas de ataques cibernéticos presumem que são muito pequenas ou acreditam estar num setor sem interesse ou sem ativo lucrativo para atrair um cibercriminoso. A verdade é que isso não importa. Se você tem poder de processamento e presença digital, você é um alvo. Apesar das manchetes da mídia, a maioria dos ataques não é perpetrada por atacantes avançados de estados-nação. Eles são lançados por oportunistas em busca de uma presa fácil e de resultados mais fáceis, como organizações com brechas de segurança, erros ou configurações incorretas que os cibercriminosos podem explorar facilmente.

Se a organização acredita que não é um alvo, provavelmente não está procurando ativamente por atividades suspeitas em sua rede. Por esta razão, são pegos sempre de surpresa.

 

Mito 2: não precisamos de tecnologias de segurança avançadas instaladas em todos os lugares.

 

Algumas equipes de TI ainda acreditam que o software de segurança de endpoint é suficiente para barrar todas as ameaças ou pensam que não precisam de segurança para os seus servidores. Os invasores tiram total proveito dessas suposições já que quaisquer erros na configuração, patching ou proteção tornam os servidores um alvo primário e não mais secundário, como poderia ser o caso no passado.

 

A lista de técnicas de ataque que tentam contornar ou desabilitar o software de endpoint e evitar a detecção pelas equipes de segurança de TI, aumenta a cada dia. Os exemplos incluem ataques operados por humanos que exploram a engenharia social e vários pontos de vulnerabilidade para conseguir entrar, utilizando por exemplo código malicioso fortemente compactado e ofuscado injetado diretamente na memória. Eles também fazem uso de ataques de malware sem arquivo, como carregamento reflexivo de DLL (Dynamic Link Library) e aproveitam para efetuar o delito por meio de agentes legítimos de acesso remoto, como Cobalt Strike, juntamente com ferramentas e técnicas de administração de TI do dia a dia. Assim, as tecnologias antivírus básicas terão dificuldade em detectar e bloquear essa atividade.

 

Da mesma forma, a suposição de que terminais protegidos podem impedir que invasores cheguem aos servidores desprotegidos é um erro. De acordo com os incidentes que o Sophos Rapid Response investigou, os servidores são agora o alvo de muitos ataques e os invasores podem encontrar facilmente uma rota direta usando credenciais de acesso roubadas.

 

A maioria dos invasores também conhece uma máquina Linux e costuma invadir e instalar backdoors para usá-los como refúgios seguros, mantendo acesso à rede de um alvo.

Se a organização depende apenas de segurança básica, sem ferramentas mais avançadas e integradas, como detecção comportamental baseada em IA e um centro de operações de segurança 24 horas por dia, 7 dias por semana, os invasores provavelmente encontrarão um caminho para além das defesas.

Por último, mas não menos importante, é sempre bom lembrar que, embora a prevenção seja ideal, a detecção é uma obrigação.

 

Mito 3: temos políticas de segurança robustas em vigor.

Ter políticas de segurança para aplicativos e usuários é fundamental. No entanto, eles precisam ser verificados e atualizados constantemente à medida que novos recursos e funcionalidades são adicionados aos dispositivos conectados à rede. Por isso, é importante verificar e testar as políticas, usando técnicas como teste de penetração, exercícios de mesa e testes de planos de recuperação de desastres.

Isto não ocorre nas empresas, pois elas pensam que é um custo realizar simulações e testes.

 

Mito 4: os servidores Remote Desktop Protocol (RDP) podem ser protegidos contra invasores alterando as portas em que estão e introduzindo a autenticação multifator (MFA).

 

A porta padrão usada para serviços RDP é 3389. Portanto, a maioria dos invasores varrerá essa porta para encontrar servidores de acesso remoto abertos. No entanto, a varredura identifica todos os serviços abertos, independente da porta em que estejam. Por isso, alterar as portas oferece pouca ou nenhuma proteção por si só.

Além disso, embora a introdução da autenticação multifator seja importante, ela não aumenta a segurança, a menos que a política seja aplicada a todos os funcionários e dispositivos. A atividade RDP deve ocorrer dentro dos limites de proteção de uma rede privada virtual (VPN), mas mesmo isso não protege totalmente uma organização se os invasores já tiverem um ponto de apoio numa rede. Idealmente, a menos que seu uso seja essencial, a segurança de TI deve limitar ou desabilitar o uso de RDP interna e externamente.

 

Mito 5: bloquear endereços IP de regiões de alto risco, como Rússia, China e Coreia do Norte, garante proteção contra ataques dessas regiões.

Bloquear IPs de regiões específicas provavelmente não causará nenhum dano, mas pode dar uma falsa sensação de segurança, se você confiar apenas nisso para proteção. Os cibercriminosos hospedam sua infraestrutura maliciosa em diversos países, com hotspots incluindo os EUA, Holanda e o resto da Europa.

 

Mito 6: nossos backups fornecem imunidade contra o impacto do ransomware.

Manter backups de documentos atualizados é essencial para os negócios. No entanto, se os backups estiverem conectados à rede, eles estarão ao alcance de invasores e vulneráveis a serem criptografados, excluídos ou desativados num ataque de ransomware.

É importante notar que limitar o número de pessoas com acesso aos backups pode não aumentar significativamente a segurança, pois os invasores terão passado algum tempo na rede procurando essas pessoas e as credenciais de acesso.

 

Da mesma forma, o armazenamento de backups na nuvem também precisa ser feito com cuidado. Um incidente investigado pelo Sophos mostrou que os invasores enviaram um e-mail ao provedor de serviços em nuvem de uma conta de administrador de TI hackeada e pediram que excluísse todos os backups. O provedor cumpriu.

 

A fórmula padrão para backups seguros que podem ser usados para restaurar dados e sistemas após um ataque de ransomware é 3: 2: 1: — três cópias de tudo, usando dois sistemas diferentes, um dos quais está offline.

 

Uma nota final para cautela: ter backups offline em vigor não protege suas informações de ataques de ransomware baseados em extorsão nos quais os criminosos roubam e ameaçam publicar seus dados em vez de criptografá-los.

 

Mito 7: nossos funcionários entendem sobre segurança.

De acordo com o State of Ransomware 2021, 22% das organizações acreditam que serão atingidas por ransomware nos próximos 12 meses por ser difícil impedir que os usuários finais comprometam a segurança.

 

Táticas de engenharia social, como e-mails de phishing se tornaram difíceis de detectar. As mensagens costumam ser feitas a mão, escritas com precisão, persuasivas e cuidadosamente direcionadas. Os funcionários precisam saber como identificar mensagens suspeitas e o que fazer ao recebê-las. Quem eles notificam para que outros funcionários fiquem em alerta? Este é um dos grandes fatores de risco: o fator humano, sendo o elo mais forte e também o mais fraco da corrente chamada segurança cibernética.

 

Mito 8: equipes de resposta a incidentes podem recuperar dados após um ataque de ransomware.

Isto é bastante improvável. Hoje, os cibercriminosos cometem muito menos erros e o processo de criptografia melhorou, portanto, depender da reação para encontrar uma brecha que possa desfazer o dano é extremamente arriscado. Backups automáticos como cópias de sombra de volume do Windows também são excluídos pela maioria dos ransomwares modernos, além de sobrescrever os dados originais armazenados no disco, tornando a recuperação impossível, exceto com o pagamento do resgate.

 

Mito 9: pagar o resgate recupera os dados após um ataque de ransomware.

De acordo com a pesquisa State of Ransomware 2021, uma organização que paga o resgate recupera em média cerca de dois terços (65%) de seus dados. Apenas 8% recuperaram todos os seus dados e 29% menos da metade. Pagar o resgate — mesmo quando parece a opção mais fácil e/ou está coberto pela sua apólice de seguro cibernético — não é, portanto, uma solução simples para ter de volta todos os dados.

Além disso, restaurar dados é apenas parte do processo de recuperação — na maioria dos casos, o ransomware desativa completamente os computadores, o software e os sistemas precisam ser reconstruídos do zero antes que os dados possam ser restaurados. A pesquisa de 2021 descobriu que os custos de recuperação são, em média, dez vezes o tamanho da demanda de resgate.

 

Mito 10: o lançamento de ransomware é todo o ataque — se sobrevivermos, estaremos bem.

Infelizmente, raramente é esse o caso. O ransomware é apenas o ponto em que os invasores querem que você perceba que eles estão lá e o que fizeram.

É provável que os adversários estejam em sua rede por dias, senão semanas, antes de liberar o ransomware, explorando, desativando ou excluindo backups, encontrando as máquinas com informações ou aplicativos de alto valor para criptografar, removendo informações e instalando cargas úteis adicionais, como backdoors. Manter uma presença nas redes da vítima permite que os invasores lancem um segundo ataque, se quiserem.

 

Esses 10 mitos fazem com que os ataques cibernéticos cresçam exponencialmente. Por esse motivo, o governo americano publicou, no dia 12 de maio de 2021, uma portaria governamental a fim de fazer evoluir a segurança cibernética americana. A portaria é bastante ambiciosa, abrangente e visa, com base nos eventos recentes, minimizar a recorrência dos ataques e seus respectivos impactos.

 

Conheça as sete iniciativas definidas para alcançar uma maturidade considerada alta para o governo e setor privado. São elas:

 

1) Remoção de barreiras para o compartilhamento de informações sobre ameaças entre o governo e o setor privado. Objetiva garantir que provedores de serviços de TI compartilhem informações com o governo com obrigatoriedade para as informações relativas às violações.

 

2) Modernização e implementação de padrões de segurança cibernética “mais fortes” no governo federal. Proteção dos serviços em nuvem e orientação à arquitetura de confiança zero (zero-trust), com implantação de múltiplo fator de autenticação e criptografia.

 

3) Melhoria da segurança na cadeia de suprimentos de software. Provavelmente impactada pelo evento da SolarWinds, a ordem aborda a preocupação com a definição de padrões básicos de segurança para o desenvolvimento de software que seja vendido ao governo, demandando que os desenvolvedores avancem em aspectos de segurança. A exemplo dos selos de consumo de energia para eletrodomésticos, será desenvolvido um selo de qualidade para que o governo e público em geral possa identificar quais softwares foram desenvolvidos dentro dos padrões de segurança esperados.

 

4) Estabelecimento de um Conselho de Revisão de Segurança Cibernética. O conselho será composto por membros do governo e setor privado, o qual poderá ser acionado após um incidente cibernético significativo para analisar o evento e emitir recomendações concretas para evolução da segurança cibernética. De forma análoga, esse processo é realizado no âmbito da aviação para que acidentes não se repitam.

 

5) Criação de um manual padrão para resposta a incidentes de segurança cibernéticos. A portaria cria um manual padronizado para a resposta aos incidentes cibernéticos por departamentos e agências federais. O manual visa garantir que todas as agências federais americanas estejam preparadas para tomar medidas uniformes para identificar e mitigar uma ameaça, bem como responder. Esse manual servirá de modelo para o setor privado.

 

6) Melhoria da detecção de incidentes de segurança cibernética em redes do governo federal. Objetiva melhorar a capacidade de detecção de atividades cibernéticas nas redes federais, permitindo um sistema de detecção e resposta em toda administração e o compartilhamento de informações entre o próprio governo. Dessa forma, a gestão pública deverá liderar a evolução da segurança cibernética.</