Analysis
A cibersegurança está cada vez mais na ordem do dia. É imperativo proteger as organizações e é preciso ter noção de que qualquer dispositivo que esteja ligado à internet é um potencial alvo de ataque. Informantem, Multicert, Noesis e S21Sec debateram na primeira round table IT Insight de 2019 o estado da cibersegurança
Por Rui Damião . 13/03/2019
Durante 2018, a cibersegurança foi um dos temas em cima da mesa da opinião pública. Não foi apenas o RGPD que trouxe a temática para discussão, mas também os ataques informáticos a várias organizações de relevo no país. Ataques mundiais, como o WannaCry e o Petya / NotPetya, em 2017, começaram por lançar o pânico; afinal, era possível deitar várias organizações abaixo praticamente no mesmo período de tempo. Falhas de segurança, como o Spectre e o Meltdown, divulgados no início de 2018, confirmaram que ninguém está imune a um possível ataque e que estar protegido é o melhor que se pode fazer para minimizar os danos.
Ter mais atenção à cibersegurançaJorge Alcobia, CEO da Multicert, explicou que 2018, em termos de cibersegurança, foi um ano de crescimento. “Sobretudo depois do verão e depois de alguns ataques mais conhecidos, começámos a ver uma preocupação na resolução do tema”, explica. O executivo refere que as empresas já não querem apenas saber que existem determinados problemas e querem saber, sobretudo, como os podem resolver. As empresas dizem que “sim, é importante identificar os problemas para saber o que se passa”, mas é o passo seguinte, o da resolução, é um fator importante. Jorge Alcobia afirma que, na sua experiência, as organizações começam a fazer “pedidos transversais para não só fazer o acompanhamento e monitorização, mas para terem soluções que lhes permitam resolver os problemas e as vulnerabilidades que têm”. Estes ataques mais recentes fizeram com que existisse um maior conhecimento por parte das empresas e cidadãos dos problemas da cibersegurança. Não são apenas as grandes empresas, mas também as PME a olhar para a temática. Antigamente, as PME viam a segurança como um custo e acabavam por descurar este ponto dentro da sua organização.
Os “falsos messias”Como em todas as áreas, e não só no IT, há quem prometa tudo. Daniel Passos, Solutions & Technology Manager da Informantem, relembra que “nada está seguro” em cibersegurança. “O que 2018 trouxe de bom para a cibersegurança foi trazer o tema para a ordem do dia”. O passo seguinte é “separar o trigo do joio”. Daniel Passos recorda que nesta indústria que “há os falsos messias, os falsos profetas” e quem “tiver a solução milagrosa está claramente a enganar-se a si e a enganar-se aos outros”. A cibersegurança não é apenas o trabalho de um dia; é um trabalho contínuo, de alta performance, para assegurar que a organização está o mais protegida possível. É necessário, também, parar para olhar para toda a organização e não apenas proteger o que é mais mediático.
Data leaks“2018 ficou marcado pelos famosos data leaks”, refere Nuno Mendes, CEO da WhiteHat. “As grandes empresas, apesar de todos os investimentos e recursos, não estão imunes”. A perceção de Nuno Mendes no que se relaciona com as PME é de que é “preocupante”. Isto porque ainda é preciso percorrer um longo caminho e, principalmente, aumentar o conhecimento dos envolvidos para os riscos daquilo que é a cibersegurança.
A tecnologia não resolve tudoHá uma tendência de olhar apenas para o topo da pirâmide, para os ataques massivos, mas as empresas esquecem-se, muitas vezes, de proteger o mais básico. Luís Maurício Martins, Infraestructure Solutions Senior Manager da Noesis, explicou que “há uma necessidade grande por parte das organizações de fazerem aquilo que é o básico, mas a maior parte das organizações no nosso tecido empresarial não fazem o básico”. É necessário compreender que “a tecnologia per si, obviamente que vai ajudar a endereçar muitas questões, vai ajudar a automatizar ou agilizar um determinado tipo de coisas, mas, na prática, não vai resolver aquilo que são os problemas da própria organização”, salienta Luís Maurício Martins. Os ataques têm-se tornado numa commodity, o que significa que é relativamente fácil lançar um ataque de qualquer parte do mundo. Esta ‘comoditização’ dos ataques tornou qualquer organização, independentemente do tamanho, alvo de um possível ataque.
PME também são alvo de ataqueAchar que só as grandes empresas são alvos de ataques é errado. Micro, pequenas, médias e grandes empresas são potenciais alvos de ataques. O pensamento de ‘a minha empresa é pequena, ninguém tem interesse no que faço’ é errado; os ataques informáticos têm quase sempre uma componente financeira agregada, o que faz com que qualquer dispositivo ligado à internet seja um possível alvo. João Farinha, Head of Audit da S21Sec, refere que 2018 assistiu a um “aumento generalizado da cibercriminalidade e, se calhar, não se deu tanta atenção quanto isso”. O representante da S21Sec explana que se assistiu, também, a um maior número de ataques transversais, que não tem apenas as grandes empresas como alvo, mas sim todas as empresas. “Observamos em Portugal, se calhar com algum atraso em relação a outros países, o pequeno crime a atingir as PME, mas muito focado: fraude com credenciais que são capturadas”, diz. É preciso não esquecer que o grosso das empresas portuguesas ainda são PME.
Como a indústria respondeJorge Alcobia defende que, em muitos casos, a resposta por parte das empresas às questões de cibersegurança ainda depende muito da pessoa que está no IT. “Não há uma resposta transversal”, diz, acrescentando que “não há dentro das empresas uma única pessoa que consiga ter uma visão global do tema, daí a necessidade de ter alguém no board” que perceba o tema e a sua importância. As organizações ainda têm uma atitude de reação aos grandes acontecimentos. Depois de acontecer um determinado problema mediático, as empresas tomam a decisão de investir nas áreas que são impactadas pela falha de segurança que foi falada nas últimas semanas. Isto acontece porque a segurança não está no topo das prioridades de quem decide e fica muito associada à equipa de IT, ainda que seja um problema que impacte toda a organização e que, em casos extremos, possa colocar toda a organização sem trabalhar. Por outro lado, existe também o problema do investimento, em que nem sempre é alocado o orçamento necessário para proteger uma organização. Nesses casos, é preciso encontrar uma balança entre quais as necessidades da empresa e o investimento, com base no orçamento disponível, que deve ser feita para endereçar o problema.
Segurança por definiçãoDaniel Passos refere que a cibersegurança tem sido um tema mediático, mas não é um tema novo. O RGPD, por exemplo, trouxe para a ordem do dia o tema da segurança, neste caso dos dados. As novas tecnologias devem contar com uma forte componente de segurança por definição, mas não podem ser a única fonte de investimento dentro das organizações uma vez que se corre o risco de se descurar outras componentes igualmente importantes. “Não é possível ter segurança na ótica do utilizador”, diz Daniel Passos, comparando com o facto de os CV contarem regularmente com a caraterística de capacidades de Office na ótica do utilizador. “A segurança é um tema do IT, que tem de agilizar os processos”, mas a resposta massificada pode passar por outro ponto: security by design. O Solutions & Technology Manager da Informantem dá, também, um exemplo comparativo: o das mortes nas estradas. Antes, o número de mortos nas estradas era muito maior porque não existia uma obrigatoriedade de utilizar cinto de segurança. “A segurança era um luxo no setor automóvel. Hoje, qualquer carro tem componentes de segurança por definição”. Este pode ser o caminho também para a cibersegurança.
A evolução das ameaças“É preciso compreender a origem dos ataques e sensibilizar os executivos e o departamento de IT para que compreendam a origem. Muitas empresas têm o pensamento de que quem haveria de querer fazer-lhe mal, de que não têm relevância nenhuma; é preciso perceber que cada entidade, cada elemento que tenha uma interação com a internet é uma potencial vítima”, refere Nuno Mendes. O CEO da WhiteHat explica que as ciberameaças estão sempre a evoluir e, simultaneamente, as empresas estão sempre a responder. No entanto, os cibercriminosos estão sempre um passo à frente. Minimização de ataques A microsegmentação pode ser uma das possibilidades para que um ataque não coloque em causa toda a operação de uma empresa; a organização pode tentar confinar um ataque a um determinado setor dentro da empresa. Para Luís Maurício Martins, as organizações têm de se focar para determinar qual o risco para a empresa. “Hoje em dia, as organizações sabem que, de alguma maneira, um ataque vai acontecer. Mesmo com todas as defesas”. Para a resposta a um ataque ser efetiva, as empresas têm de avaliar e determinar o risco para a empresa. A microsegmentação permite conter o ataque, mas primeiro é preciso determinar qual o risco, perceber o que é que a organização está disposta a perder. Para Luís Maurício Martins, a priorização do investimento em cibersegurança depende da avaliação do risco. “Enquanto essa análise não for feita será difícil priorizar o que se vai conter num ataque”, expõe.
Pensar na resposta“A resposta tem de ser pensada”, diz João Farinha, acrescentando que “não se improvisa na altura de dar a resposta”. Toda a comunidade, seja de atacantes, seja de defensores, tem estado a elevar a fasquia e muitos dos ataques que estão a ser levados a cabo não utilizam a vulnerabilidade desconhecida. Se as empresas sofreram um ataque através dessa vulnerabilidade desconhecida, por norma, é porque o sistema é recente e ainda conta com a vulnerabilidade, ou então porque não foi atualizada. Nesse sentido, é necessário pensar e antever quais são os potenciais pontos de entrada.
IA aplicada à cibersegurançaHoje em dia, a Inteligência Artificial (IA) já é comum. Há uma quantidade de produtos que contam com algum tipo de IA. Segundo João Farinha, a inteligência artificial já deixou de ser um produto inovador para passar a ser uma funcionalidade dos produtos de segurança. No caso da S21Sec, a inteligência artificial consegue auxiliar as equipas humanas a detetar e a responder a incidentes de cibersegurança. Estas funcionalidades de IA podem potenciar a capacidade humana. “Quando um operador de segurança tem de responder a um incidente, se conseguir, junto de um alerta que foi emitido, de forma automática, um pré-processamento assistido que junta incidentes semelhantes e correlacionar isso com outros dados, este processo demora cinco minutos em vez de uma hora”, exemplifica.
Há alternativa à IA?A atual falta de talento e de capacidade humana que existe, torna difícil encontrar uma alternativa à inteligência artificial. Para Luís Maurício Martins, as empresas têm vindo a automatizar tudo aquilo que podem e a investir em machine learning. Quem ataca parte à frente porque tem mais tempo e está mais motivado. Os mecanismos que vão ser utilizados por parte de quem defende para ultrapassar as ameaças vão tornar-se obsoletas, uma vez vão ser descobertas maneiras mais engenhosas de as ultrapassar. A inteligência artificial terá de ser suportada sempre por humanos; já existem vários casos onde a IA ‘do bem’ foi facilmente influenciada para fazer o mal e, como tal, não se deve deixar apenas um produto de machine learning a correr para aprender.
IA já está a ser utilizada“A inteligência artificial já está a ser utilizada por grandes players da indústria”, afirma o CEO da WhiteHat. No caso de Nuno Mendes, a IA já existe e já está a ser utilizada nas soluções que comercializa, muito antes de ser falada pela generalidade das pessoas. O grande papel da inteligência artificial aplicada à segurança passa pela análise de dados e de logs para perceber o que se passou.
Mediatização dos ataquesDaniel Passos defende que quanto menos se falar dos casos de sucesso, melhor. A mediatização de ataques de cibersegurança funciona como um alerta para as organizações, mas também funciona como uma motivação para outros atacantes. A inteligência artificial estará a evoluir para um ponto onde é possível que a tecnologia aprenda e simule ataques. Simultaneamente, também já existem dispositivos que contêm componentes de IA para proteger esses mesmos dispositivos. Sabendo que todos os sistemas têm pontos fracos, a inteligência artificial pode ajudar a defender os pontos mais vulneráveis de uma organização. O tempo necessário para perceber qual o ponto fraco e como o problema pode ser resolvido é, muitas vezes, bastante grande e a IA poderá reduzir esse tempo.
Formar as pessoasSe falarmos de priorização de investimento, uma parte significativa deverá ser alocada na formação das pessoas, defende Jorge Alcobia. Por definição, os equipamentos têm vindo a contar com mais segurança de raiz, mas os ataques continuam a aumentar. Muitas vezes isso dá-se porque são os próprios colaboradores a porta de entrada para o ataque. Não há dúvida que a formação é um ponto importante para aumentar e melhorar a segurança das empresas. Muitas das empresas não passam aos seus colaboradores as boas práticas em termos de segurança, como mudar a palavra-passe com regularidade ou não abrir links suspeitos. O investimento não se pode focar só nas soluções, mas também nos colaboradores de uma organização.
Proteger o básico“Falamos muitas vezes de inteligência artificial e de novos mecanismos, mas por vezes perdemos um pouco o racional do back to basics”, defende João Farinha. O Head of Audit explica que os cinco principais controlos críticos de segurança deveriam fazer parte da priorização de investimento das empresas, mas que nem sempre fazem. Esses controlos críticos passam, por exemplo, por inventários de hardware e software nas organizações, algo que arruma a questão do IoT. “A partir do momento em que se consegue controlar o que está ligado na rede, começamos a conseguir aplicar medidas de segurança”, afirma.
Não é fácil priorizarLuís Maurício Martins concorda que as empresas devem priorizar o seu investimento, mas que nem sempre isso é fácil de conseguir “porque a maior parte das organizações não olha para os seus investimentos de um ponto de vista estruturado”. Ainda que seja verdade que não há uma solução one size fits all, as empresas têm de olhar para os seus problemas e endereçar essas questões. Enquanto não existe uma fórmula mágica para proteger uma empresa, existe, no entanto, um processo. O primeiro ponto passa pela visibilidade e auditar as organizações para que seja possível perceber quais os seus problemas. Nuno Mendes, da WhiteHat, defende que os executivos não devem proteger a sua empresa por comparação ao que outras fazem. “É preciso perceber o que se tem dentro de casa, analisar o risco, quais são as ameaças, que são cada vez mais internas” para que seja possível perceber qual será, de facto, o investimento a fazer na sua organização.
Perceber padrões de tráfegoTambém é necessário perceber quais são os padrões de tráfego dentro de uma empresa. Existem departamentos de IT que advogam que não recebem o orçamento necessário, mas muitas vezes não sabem sequer quais os padrões de tráfego dentro da organização. Para as empresas mais pequenas, o grande ponto de investimento pode passar por soluções que respondem à maior parte dos problemas que os clientes têm, sendo sempre necessário perceber quais os seus problemas. Para perceber quais os problemas, os parceiros de negócio têm um papel fulcral para guiar as empresas. “Ao IT dá-se a responsabilidade de fazer o guidance para apresentar as soluções que sejam mais emergentes e que sirvam o negócio”, explica Daniel Passos. |