Analysis

“Os adversários não são código. São humanos a tentarem ser mais espertos do que a organização”

Chester Wisniewski, da Sophos, passou por Portugal para marcar presença na IT Security Conference e abordou o que é que os líderes tecnológicos e de cibersegurança devem ter em atenção atualmente

Por Rui Damião . 15/11/2023

“Os adversários não são código. São humanos a tentarem ser mais espertos do que a organização”

Em outubro, a IT Security Conference recebeu Chester Wisniewski, Director Global Field CTO da Sophos, que abordouo luxo a que não nos podemos dar”, onde se referiu à importância do tempo na deteção de ameaças e na resposta a incidentes. À margem da conferência da IT Security, Wisniewski partilhou a sua opinião sobre o atual panorama de ciberameaças e o que é que os líderes – sejam tecnológicos ou mais dedicados ao tema da cibersegurança – devem ter em atenção.

Para Wisniewski, há duas razões que contribuem para tornar as organizações vítimas de ciberataques: não conseguir reconhecer uma ameaça rapidamente e não ter os colaboradores necessários para endereçar essas mesmas ameaças.

Muitos dos líderes eram, eles próprios, técnicos há dez anos e ainda há o mindset que muito disto pode ser automatizado e desaparece, ou que não é um humano por detrás do teclado do outro lado”, refere o Director Global Field CTO da Sophos, partilhando que, na sua opinião, esse “é um grande erro que está a ser tomado” pelas organizações.

 

“Quando falamos de práticas de gestão de segurança de dados, temos o hábito de recolher demasiada informação, o hábito de os manter durante muito tempo e de não os proteger corretamente”

Antes, diz, um alerta significava que o produto de segurança tinha trabalhado e bloqueado uma ameaça. Hoje, um alerta “significa o início de um incidente. A rapidez com que se determina que [um alerta] é um incidente e como se responde a esse incidente é absolutamente crítico” para a segurança das organizações.

Chester Wisniewski considera que este é um dos problemas na defesa das organizações, “não reconhecer os incidentes cedo o suficiente”. Essa falta de reconhecimento não está relacionada com o treino, mas sim com a mentalidade de que “temos um alerta, significa que foi bloqueado”. É como “se não estivesse um humano do outro lado” que vai parar com as suas intenções apenas porque foi bloqueado, quando, na verdade, o atacante “vai tentar outra coisa e, por vezes, isso são dois ou três alertas que vão aparecer – ou até só mesmo um –, mas é quase certo que vão fazer barulho a entrar”.

Assim, os líderes devem mudar a mentalidade para estarem preparados para ter “as mãos no teclado” e perceber “que os adversários não são código”, mas sim “um humano a tentar ser mais esperto do que a organização”.

Proteger os dados

Chester Wisniewski referiu, durante a IT Security Conference, que o tempo entre a deteção de um ataque e o momento de exfiltração dos dados é cada vez menor e, na sua opinião, é necessário proteger os dados melhor para que, se forem “roubados”, não estejam num formato não cifrado.

Quando falamos de práticas de gestão de segurança de dados, temos o hábito de recolher demasiada informação, o hábito de os manter durante muito tempo e de não os proteger corretamente”, explica Wisniewski. De qualquer maneira, o mais importante é “tentar minimizar a quantidade de dados e protegê-los corretamente”.

Chester Wisniewski marcou presença na IT Security Conference 2023, em outubro, onde abordou o tema "o luxo a que não nos podemos dar", referindo-se à importância do tempo na deteção de ameaças e na resposta a incidentes

A maioria das organizações têm adotado mais serviços cloud e moveram-se – principalmente durante a pandemia – para acesso à rede zero-trust. “Estas coisas contribuíram para tornar os dados mais seguros”, afirma. Ao olhar para as vítimas, explica, os dados furtados já não são assim tão pessoais ou privados para se tornarem importantes, ou, então, apenas uma pequena porção dos dados são “roubados”.

Isto acontece, refere Chester Wisniewski, porque as organizações “adotaram coisas como zero-turst onde cada aplicação é quase o seu próprio container protegido”. Depois, diz, os cibercriminosos, “quando entram, não são tradicionalmente muito engenhosos” e vão atrás da partilha de ficheiros mais tradicionais.

Ransomware a crescer. E os pagamentos?

É sabido que os ataques de ransomware estão a crescer. Semanalmente, são notícias várias e diferentes organizações que foram vítimas de um ataque de ransomware, onde é pedido o resgate para a devolução ou não divulgação dos dados. No entanto, importa compreender se os pagamentos estão a crescer, não em número absoluto de pagamentos – até porque se os ataques aumentam é normal que o número de pagamentos aumente –, mas se a percentagem de ataques de ransomware que acaba no pagamento do resgate tem vindo a aumentar.

Por vezes, “o custo para remediar um incidente e ignorar o pagamento do resgate é o dobro do que se for feito o pagamento”

 

Chester Wisniewski admite que a resposta é difícil de encontrar porque há várias empresas que optam por não admitir o pagamento e, como tal, não é possível ter a certeza. Mesmo os estudos que a Sophos faz podem estar a cerca de 10% da verdade. No entanto, “o que vimos é que os pagamentos passaram de 30% das organizações há três ou quatro anos para mais de 50% agora, mas o valor depende muito se têm um seguro cibernético. Isso é um ponto importante para o qual os reguladores e os governos devem olhar”.

No inquérito mais recente lançado em 2023, onde a Sophos questionou cerca de três mil organizações, as empresas que tinham um seguro cibernético pagaram 54% das vezes, enquanto aqueles que não tinham seguros cibernéticos comprados pagaram apenas 15%, o que “significa que há uma diferença de 39% entre quem não tem seguro cibernético e quem tem uma política de seguro cibernético dedicado”.

Um outro dado que a Sophos descobriu é que, por vezes, “o custo para remediar um incidente e ignorar o pagamento do resgate é o dobro do que se for feito o pagamento”, o que significa que é mais barato para as seguradoras se as vítimas pagarem em vez de “irem buscar os seus backups, fazerem o seu melhor para reconstruir os sistemas e ignorar o pedido de resgate”.

No entanto, explica o Director Global Field CTO da Sophos, em média, a vítima apenas recebe 80% dos dados depois de pagar. “O problema é que não é possível gerir um negócio com apenas quatro dos cinco ficheiros; precisa dos cinco. É preciso fazer backups na mesma”, refere. Por outro lado, ao negociar com o grupo de ransomware, adiou-se a resposta por, por exemplo, quatro dias, enquanto se tenta descobrir como comprar um milhão de euros em bitcoins, para além de todo o custo de disrupção de negócio e do tempo necessário para colocar o backup a funcionar.

Não digo que se deve banir os pagamentos, mas devemos olhar para os incentivos para desencorajar os pagamentos porque eles não estão a ajudar a vítima; estão a ajudar o comportamento do lado dos criminosos e não nos está a ajudar”, acrescenta Wisniewski.

Uma realidade diferente

No campo das ciberameaças enfrentadas pelas organizações portuguesas, Chester Wisniewski refere que, sendo um país pequeno, as ameaças enfrentadas são ligeiramente diferentes de outros países, estando mais perto das “ameaças que enfrentam o Canadá, a Austrália ou nações europeias mais pequenas”.

As ameaças assistidas em países como a Alemanha, a França e o Reino Unido, e até mesmo nos Estados Unidos do outro lado do Atlântico, são diferentes “porque as empresas são muito maiores; muda o jogo”. As grandes empresas “são muito mais efetivas a defenderem-se, mas os atacantes que querem grandes jackpots têm como alvos essas grandes empresas norte-americanas, alemãs ou britânicas e não tanto as empresas de pequena ou média dimensão que existem em Portugal”.

Assim, e tendo em conta que há, naturalmente, grandes organizações em Portugal – nomeadamente as operadoras de telecomunicações –, as pequenas empresas passam algumas dificuldades para se protegerem eficazmente, onde a “única resposta” passa por “algum tipo de modelo partilhado. Encontre um fornecedor de serviços local, idealmente um managed security service provider”.

Se a organização nem sequer tem um departamento de IT, é importante procurar uma empresa local que tenha alguém a passar pela empresa com alguma regularidade para ajudar a organização naquilo que esta estiver a fazer. E, quando a empresa crescer, então ter staff dedicado ao IT e olhar para a cibersegurança como um recurso partilhado.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.