A sua empresa utiliza inteligência em Riscos Cibernéticos para mitigar ataques? Não? Então será a próxima vítima!
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris – Est (Marne La Vallée, Paris, França); presidente da Brasiliano INTERISK.
Fevereiro | 2022
A utilização de tecnologia para combater ataques cibernéticos é fator crítico de sucesso para fazer face às técnicas sofisticadas empregadas pelos hackers. Neste primeiro quartel do século XXI, vivemos um mundo BANI, em que não se pode ser frágil, mas é preciso ser ansioso para fazer o que precisa ser feito em altíssima velocidade. Ser linear já não é admissível. É preciso, ao contrário, ser exponencial para lidar de forma apropriada com o caos de um mundo incerto. Nesse contexto, os riscos cibernéticos despontam como uma das grandes ameaças para todo e qualquer tipo de empresa. Para todos os efeitos, a tecnologia deve estar perfeitamente integrada em todo o espectro da defesa em profundidade, de forma a fazer face ao ataque desde as suas etapas iniciais.
A pandemia desempenhou o papel de um catalizador para a implantação dos processos de digitalização por parte das empresas em geral. Esse movimento foi acelerado, como não poderia deixar de ser, mas a velocidade de implantação das novas metodologias ocasionou o aparecimento de muitas brechas que precisam ser gerenciadas.
A digitalização otimizou os processos das empresas, através da implantação da tecnologia, transformando suas operações. Inúmeras empresas migraram para a nuvem, criaram novos canais de atendimento, transformaram sua logística. Como consequência natural, os ambientes ficaram “mais flexíveis” e abertos a mudanças. Ou seja, trata-se de uma realidade em que é possível encontrar os clientes onde quer que eles estejam, em que há uma força de trabalho conectada, em que as decisões de negócios são ágeis – tudo isso mediado por tecnologia. Esse foi de fato um feito e tanto das empresas e de suas áreas de negócios, com apenas um problema: a segurança cibernética não foi tomada na devida conta. Era difícil pensar em tudo naquele momento e os riscos inerentes às mudanças dos processos passaram despercebidos. O resultado é o que se vê hoje, com o aumento exponencial do número de ataques cibernéticos pelas brechas deixadas sem o monitoramento necessário. A falta de controles para detectar as anomalias que ocorrem nas redes agora cobra seu preço. Faltou prevenção, faltou proatividade, faltou gestão de riscos.
Passou despercebido o fato de que, à medida que o número de transações conduzidas online aumentava exponencialmente, aumentava também, de forma exponencial, a complexidade das operações e que a cibersegurança seria vital para a competitividade e continuidade dos negócios das empresas.
Em 2021, cerca de 38% das empresas em todo o mundo foram vítimas de ataques de ransomware, a ameaça cibernética campeã em número de ataques. Por essa razão é que as empresas, para continuarem a expandir suas capacidades, precisam, no mesmo ritmo, aumentar a disponibilidade de ferramentas tecnológicas de cibersegurança para suportar os seus negócios.
O crescimento do volume de negócios das empresas depende primordialmente de a área cibernética incorporar duas competências cruciais:
- Antecipar as situações de ameaça;
- Garantir às empresas o tempo mínimo para elas se adaptarem às novas situações.
Essas competências só poderão ser incorporadas a partir de uma visão dos riscos cibernéticos baseada em cenários prospectivos, já que para a prática da Inteligência de Ameaças faz-se necessária uma ferramenta que possa cruzar informações e fornecer características do modus operandi dos oponentes da organização.
A operacionalização da Inteligência de Ameaças começa pelo entendimento daquilo que a segurança cibernética irá proteger – as chamadas “joias da coroa”. Essa expressão, utilizada pela metodologia imbricada na ferramenta INTERISK, identifica os processos críticos, suas informações consideradas relevantes e os sistemas operacionais que lhes dão suporte. Essa tríade deve obrigatoriamente contar com uma cobertura de segurança cibernética, pois ela constitui o núcleo duro que precisa ser protegido. O próximo passo é levantar quais são as pessoas chaves e seu nível de maturidade cibernética. A importância do conhecimento sobre o nível de maturidade das pessoas que lidam com os sistemas críticos prende-se ao fato de que mais de 85% dos ataques cibernéticos utilizam como instrumento o phishing, que não necessita de mais que a falta de preparo de um único colaborador para abrir as portas de todo o sistema ao hacker.
Figura 1: Joias da Cora
É primordial a segurança cibernética construir um diagrama de causa e efeito para entender como os ataques poderão ser materializados. Abaixo, o diagrama que o INTERISK disponibiliza:
Figura 2: Diagrama de Causa e Efeito de Cenários de Ataques Cibernéticos
Fazendo uso de ferramentas de Inteligência de Ameaças, exemplificadas no diagrama acima, as empresas passam a dispor da necessária visão antecipada dos possíveis ataques cibernéticos. Isso é necessário tendo em vista que hoje os ataques são automatizados e muito rápidos. Os hackers modernos já não são mais pessoas solitárias hackeando para se divertir. Eles fazem parte, isto sim, de estruturas empresariais criminosas ou de grupos apoiados por nações que têm muita tecnologia e apoio financeiro e lançam ataques sofisticados com inteligência artificial para encontrar as brechas, ou seja, as portas de acesso que podem ser até de um dispositivo de segurança física, como um CFTV ligado na rede.
Com os cenários cada vez mais sofisticados, a segurança cibernética deve contar com ferramentas de nível igual e/ou superior ao dos agressores e que incluam inteligência artificial, machine learning e redes de autocura (sistemas que se protegem).
Os alvos mais comuns dos criminosos cibernéticos são sensores industriais de todos os tipos, firewalls antigos e sistemas de segurança mal configurados, links para bancos de dados, acesso telefônico ou conexões de gerenciamento de rede secundária e VPNs, isso para citar apenas algumas. Por outro lado, os sistemas de controle industrial são difíceis de proteger porque alguns são muitos antigos e não foram planejados para o nível de ameaças atual. Outro ponto marcante é que a Tecnologia de Automação (TA) nas infraestruturas críticas foca como aspecto principal a disponibilidade, o que é correto, mas deixa de considerar outro aspecto tão crítico quanto, que é a confidencialidade/segurança.
Tomemos como exemplo o ataque de ransomware de 7 de maio de 2021 à empresa Colonial Pipeline, nos EUA. Na ocasião, foram impactados 17 estados norte-americanos, do Texas a Nova York, em um trecho de aproximadamente 8.850 quilômetros. O impacto foi massivo. A empresa confirmou o ataque cibernético no dia seguinte e alegou que para conter a ameaça houve necessidade de desconectar alguns computadores (além, naturalmente, do pagamento do resgate).
Mudar a mentalidade é essencial
No contexto atual, os criminosos cibernéticos estão ajustando suas táticas à inovação digital e, consequentemente, criando mais riscos. A adição da alta conectividade, tornando a superfície de proteção extremamente grande e abrangente, fragilizou a segurança cibernética. Hoje o perímetro das redes está em toda parte e, com a transição para a nuvem, estão chegando novas vulnerabilidades. Da mesma forma, a Internet das Coisas (IoT), ao expandir os pontos de acesso, abre as portas aos invasores, em sistemas e serviços abertos por meio de câmeras, roteadores e servidores, entre outros dispositivos.
Muitos tomadores de decisões corporativas e governamentais acreditam que, se estiverem na nuvem, estarão protegidos automaticamente, mas isso é ilusão. A realidade é que deve haver segurança cibernética de ponta a ponta: desde o dispositivo do funcionário e da VPN até a instância da nuvem, envolvendo toda a infraestrutura híbrida. Além disso, as organizações devem ter visibilidade centralizada de tudo que acessa e passa por sua rede, fácil gerenciamento e automação. A mudança do “mindset” é fundamental. A implementação de um esquema de segurança cibernética de ponta a ponta deve ser prioritária. Para isso, os gestores de segurança cibernética devem ser pragmáticos e saber onde investir. É por isso que eles precisam de ferramentas e indicadores práticos e eficientes, de modo a facilitar o processo decisório.
Figura 3: Gráfico Tipo Radar – Nível de Maturidade – Fornece uma visão pontual onde encontra as fragilidades
Uma pesquisa recente realizada pela Fortinet indica que as organizações estão se movendo na direção errada em termos de resultados. Nove em cada dez empresas experimentaram pelo menos uma intrusão de OT (tecnologia operacional), em 2020, 19% a mais do que em 2019. E a proporção de organizações que experimentaram três ou mais intrusões aumentou de 47% para 65% durante o mesmo período.
Um software que analisa riscos e também cenários de ataques cibernéticos é essencial para que as empresas possam estar preparadas para dar respostas efetivas.
Não dá para entender como ainda há empresas que trabalham com planilhas, o famoso “SAP” – Sistema Avançado de Planilhas. Como integrar os riscos identificados em vários cenários se não se fizer uso de uma ferramenta tecnológica? É impossível integrar dados em diferentes planilhas e é por esta razão que as empresas continuam fragilizadas.
A matriz acima mostra 8 riscos cibernéticos mensurados. Nesse caso, a empresa necessita criar cenários de ataques cibernéticos, ou seja, descrever como os ataques podem ser materializados.
É essencial que o gestor de segurança cibernética elabore os cenários de ataques com base em seus riscos cibernéticos. A formatação do cenário deve levar em conta o modus operandi de seus reais oponentes.
Com base na Inteligência de Ameaças, o software INTERISK tem um banco de dados que ajuda a alimentar a construção dos cenários.
Cada cenário é composto pelos riscos cibernéticos identificados e mensurados.
A criticidade de cada cenário tem por base as criticidades dos riscos que compõem o cenário.
O Software INTERISK mensura automaticamente as criticidades dos cenários de ataques
Sabemos que a segurança cibernética na Tecnologia de Automação – TA ainda caminha a passos lentos e o desconhecimento é brutal.
Os criminosos cibernéticos aproveitam essa fragilidade e realizam suas invasões, afetando a eficiência operacional, a receita e até a segurança física das empresas e seus colaboradores. Com o aumento da conectividade entre os sistemas de TA, os sistemas de TI e a Internet, as redes de negócios estão se tornando mais complexas, dificultando uma proteção abrangente. Esse é um dos grandes problemas a serem resolvidos.
É preciso sensibilizar a alta gestão de TA sobre a relevância do quesito cibernético. A segurança cibernética não deve ser um plano para o futuro – deve, ao contrário, ser alvo de ação imediata, consistente e eficaz. É uma questão de mudarmos o quanto antes o “mindset”, e isso só depende de nós.