Previsões de cibersegurança para 2017

Se pensa que 2016 foi um mau ano no tema da segurança, prepare-se que o próximo pode vir a ser bem pior.

Se este ano foi um inferno em relação à cibersegurança, não há nenhuma razão no horizonte para acreditar que 2017 será melhor, dado que os cibercriminosos continuam a empurrar a engenharia social, a encontrar novas formas de entregar malware, a aceder a bases de dados vulneráveis e a alavancar a tecnologia móvel para encontrar maneiras de entrar dentro das defesas corporativas e de indivíduos-alvo.

Neste cenário, Matt Dircks, CEO da empresa de software de acesso seguro Bomgar, e Scott Millis, CTO da empresa de segurança e gestão segura de dispositivos Cyber adAPT, arriscam algumas previsões para 2017.

1. As passwords continuarão sendo um problema
O ataque DDoS que causou estragos numa enorme porção da Internet a 21 de Outubro foi, pelo menos, parcialmente activado por passwords-padrão não alteradas em dispositivos IoT, que os hackers foram capazes de explorar, diz Dircks. Não pense que está imune: quantos dos seus utilizadores têm passwords simples, comuns ou desactualizadas?

Para 2017, Dircks prevê que os serviços de gestão de passwords melhores que os actuais ganharão força, com as empresas a entenderem como estão vulneráveis.

Na sua opinião, os profissionais de cibersegurança terão dificuldades em proteger a infra-estrutura crítica, os sistemas conectados e os sistemas e dispositivos acedidos remotamente, enquanto as práticas de passwords fracas continuarem a ser a norma.

A par do problema das ameaças externas, a mitigação das ameaças internas também pode ser conseguida através de uma melhor gestão das passwords, diz. A melhor maneira de fazer isso é implementar uma solução que armazene de forma segura as passwords que permanecem desconhecidas para os utilizadores e, de seguida, validar e mudar regularmente essas passwords para garantir a sua segurança, diz.

“Do que estamos a falar é de cofres de credenciais. Num mundo ideal, um utilizador nunca saberia realmente qual é a sua password – seria preenchida automaticamente pelo cofre, e mudada e alterada a cada semana. Os hackers são intrinsecamente preguiçosos, e têm o tempo como factor decisivo. Se se tornar mais difícil para eles, eles vão para outro lugar”, diz Dircks.

2. Os privilégios ganham poder
Os hackers querem acesso de alto nível, conseguindo-o através da segmentação de credenciais de utilizadores privilegiados como profissionais de TI, CEOs e fornecedores, diz Dircks. E, embora as organizações tenham aplicado segurança aos sistemas, aplicações e dados que são mais críticos para os seus negócios, essas medidas preventivas simplesmente já não são suficientes. Em 2017, segundo ele, será imposto às organizações mais experientes que finalmente protejam não apenas os sistemas, mas também os utilizadores privilegiados, identificando-os, monitorando o seu acesso e fechando o acesso ao que eles não precisam.

“Tivemos alguns clientes que dizem só dar acesso a utilizadores ou fornecedores externos via VPN e está tudo bem. Acontece que eles não têm ideia do que essas pessoas estão realmente a aceder! Com a gestão de privilégios, pense no acesso como um grupo de elevadores, onde, dependendo do seu papel, só pode chegar a determinados andares. Ele realmente limita o que se pode fazer, especialmente se for malicioso. Mesmo se eu tiver uma password válida e o meu privilégio me permitir aceder os pisos um e sete, se eu tentar ir para o seis, então o sistema vai bloquear-me e notificar alguém”, exemplifica Dircks.

A gestão de privilégios é importante especialmente perante uma mão-de-obra cada vez mais móvel. Muitos preferem sacrificar a privacidade e os dados pessoais para ampliar o acesso e acreditam que a sua segurança será cuidada por fornecedores de serviços terceirizados e criadores de aplicações, diz ele.

“Especialmente nas últimas gerações de nativos digitais, as pessoas estão mais do que dispostas a fornecerem as suas informações pessoais e dados para acesso a aplicações, conectividade, informações – isso pode ser facilmente explorado. E estão dispostas a confiar que esses desenvolvedores de aplicações, esses fornecedores, manterão os seus dados em segurança. Isso é perigoso. Combine a lacuna de capacidades de cibersegurança, escassez de talento, força de trabalho móvel, ambiente “app-centric”, hacking mais sofisticado e tem-se uma tempestade perfeita. Só vai ficar pior antes de melhorar”, antecipa Dircks.

3. O jogo das culpas será maior
“Quando conversamos com os nossos clientes, uma tendência que estamos a ver crescer e que é realmente horrível, é que eles sabem que um ataque pode acontecer, mas não acreditam que realmente vá acontecer. É como se, neste momento, eles estivessem apenas a desistir e a dizer: ‘bem, vou ser atingido mas será muito mau?’ e isso, para mim, é simplesmente aterrorizador”, diz Dircks.

Com o uso crescente da Internet das Coisas (IoT) e a crescente dependência de fornecedores de soluções de segurança, as empresas podem não ser capazes de identificar a origem e o tamanho da violação quando ela ocorre, diz ele. Quem é responsável por garantir, manter e corrigir as várias tecnologias? Pior ainda, um produto foi ligado a sistemas internos que ainda não podem ser corrigidos? Uma série de dispositivos IoT são muitas vezes ignorados porque eles ficam fora do âmbito tradicional da TI, mas isso significa exposição a ameaças.

“Com a integração da IoT, da automação e da nuvem, ninguém parece ter a certeza absoluta de quem é realmente responsável por manter a segurança de todas essas várias peças: o fabricante do dispositivo IoT, o fornecedor de serviços de segurança, o departamento interno de TI, os utilizadores individuais?”

Quando ocorre uma violação, mesmo com camadas de segurança, a questão é de quem a “possui” e quem tem ou teve poder para fazer algo a respeito disso e criará reacções intensas e apontar de dedos, diz ele.

As empresas podem evitar este jogo sobre a responsabilidade garantindo uma comunicação aberta entre a TI e a liderança empresarial para entender as ameaças potenciais, as opções de segurança e os desafios e restrições que existem dentro da organização, nota Dircks.

“Parte do problema é que, como CSO, CISO ou mesmo CIO – qualquer pessoa com responsabilidade de segurança -, é-se invisível se se está a fazer bem o seu trabalho, ou está-se no meio do furacão. Se chegar com grandes políticas, procedimentos e medidas de segurança, muitas vezes deixa isso para ser a TI a operacionalizar. Mas se eles falham porque não entendeu as necessidades do negócio, os orçamentos, os requisitos, então não está realmente a ajudar”, diz ele.

4. Ransomware vai ficar fora de controlo
Desde Janeiro deste ano, o grupo Security Response da Symantec registou uma média de mais de 4 mil ataques de ransomware por dia: um aumento de 300% face a 2015, de acordo com o Internet Security Threat Report 2016.

A maioria das organizações depende do uso de firewalls, de soluções antivírus ou de técnicas de prevenção de intrusões para mitigar ameaças como essas, revela Scott Millis, da Cyber adAPT. No entanto, essas ferramentas são insuficientes e os dados de violação mostram que a detecção e a resposta a incidentes devem ser melhoradas.

Como os atacantes continuam a usar a engenharia social e as redes sociais para recolher dados sensíveis de indivíduos dentro de uma organização, a necessidade de uma educação abrangente em segurança torna-se ainda mais crítica, diz ele.

“Se as políticas de segurança e as tecnologias não têm esses vectores em conta, o ransomware continuará a generalizar-se. Há também a questão da detecção. Alguns atacantes podem estar dentro de ambientes de uma empresa durante meses, muitas vezes agindo lateralmente dentro desses ambientes, restringindo a capacidade de uma organização para prevenir, detectar e responder a ataques avançados”, lembra Millis.

Finalmente, surgem novos ataques – por exemplo, em IaaS, SaaS e IoT – que são ainda tão novas que as organizações não descobriram a melhor maneira de se protegerem, diz ele.

5. Os intervalos entre ataques não vão ter nenhuma melhoria significativa
O tempo de permanência, ou o intervalo entre um ataque bem sucedido e a sua descoberta pela vítima, não terá melhorias significativas em 2017, diz Millis. Nalguns casos extremos, esse tempo pode atingir até dois anos e custar a uma empresa milhões de dólares por acesso ilegal.

“Durante quanto tempo? Na minha opinião, isso é irritantemente simples – há pouco ou nenhum foco na verdadeira detecção da actividade de ataque. No advento da era de malware, empresas, fornecedores de soluções e indivíduos estavam correctamente preocupados em manter os maus do lado de fora, e toda uma indústria cresceu rapidamente para se concentrar em dois temas básicos: defesa em profundidade, que vejo como tácticas de prevenção em camadas para tornar a penetração de fora mais difícil, e a identificação de malware, que se manifestou como uma corrida armamentista para 100% de identificação fiável de malware”, diz Millis.

Embora as tecnologias de resposta e as capacidades de remediação tenham melhorado, e as vítimas pudessam isolar e reparar os danos muito rapidamente, essas tecnologias não ajudam a reduzir o tempo de permanência, excepto se as equipas de resposta tropecem em algo malicioso ou descubram aleatoriamente uma anomalia, afirma.

Hoje em dia, os profissionais de segurança estão a usar arquivos de log de dispositivos de rede para procurar pistas sobre se um ataque foi tentado ou realizado, mas armazenar e classificar as enormes quantidades de dados necessários para essa abordagem é caro e ineficiente, lembra Millis.

“A necessidade de enormes armazéns de dados e de motores de análise massivos impulsionou a nova indústria de informações e eventos de segurança (SIEM ou “security information and event management”). O SIEM é uma excelente ferramenta forense para investigadores, mas ainda não é eficaz na identificação de ataques a decorrer. O que nós – e algumas outras empresas – estamos a fazer agora é desenvolver produtos que se concentram em analisar todo o tráfego da rede para identificar os indicadores de ataque”, diz ele.

6. Móvel continuará a ser uma porta de entrada
Pelo menos uma, se não mais, falhas de grandes empresas será atribuída a dispositivos móveis em 2017, prevê Millis. De acordo com um relatório recente do Ponemon Institute, o risco económico das violações de dados móveis para uma empresa pode chegar aos 26,4 milhões de dólares e 67% das organizações inquiridas relataram ter tido uma violação de dados em resultado dos funcionários usarem os seus dispositivos móveis para aceder a informações sensíveis e confidenciais.

As pessoas e os seus dispositivos móveis estão agora a moverem-se muito e rápido demais para que as estratégias antiquadas de cibersegurança sejam eficazes, refere Millis. Adicione-se a sensação crescente de direito dos utilizadores em relação aos dispositivos que eles escolhem usar, e tem-se uma situação madura para ser explorada.

Os pagamentos móveis também se tornarão uma ameaça. Os indivíduos devem entender que precisam de tratar os seus dados biométricos com a mesma atenção com que o fazem para outros dados financeiros e pessoais. “Novamente, isso resume-se a educação e formação”, diz ele.

“Não seria bom se os fornecedores de acesso WiFi públicos fossem obrigados a alertar sobre os perigos aos quais os utilizadores estão expostos ao usá-los? Algo como os alertas nos maços de cigarros: ‘atenção: esta ligação de acesso público não é segura e as informações que você envia e recebe enquanto está ligado podem ser vistas, recolhidas e posteriormente usadas por criminosos para roubar os seus bens, identidade ou informações privadas'”, diz Millis.

7. Internet das ameaças?
As vulnerabilidades e os ataques à Internet das Coisas (IoT) vão aumentar a necessidade de normalização para várias medidas de segurança – na edição deste ano da Def Con, os hackers encontraram 47 novas vulnerabilidades a afectar 23 dispositivos de 21 fabricantes.

E, claro, em Outubro de 2016, o ataque massivo de DDoS aos principais sites globais, incluindo o Twitter, Netflix, Reddit e os sites do governo do Reino Unido, que teria sido alimentado pela botnet Mirai composta de dispositivos IoT inseguros.

“Muita atenção está focada nos ‘dispositivos inteligentes’, como prova a crescente influência da IoT. A realidade é que um dispositivo conectado não o torna num dispositivo inteligente. As ‘coisas’ que estão a serem ligadas muitas vezes de forma simples, ou têm recursos internos e ferramentas que nem sequer sabemos que existem – como os routers usados na botnet Mirai. Isso leva a uma mentalidade de ignorar esses dispositivos ‘mudos’ sem prestar atenção ao facto de que estes dispositivos, enquanto inerentemente ‘mudos’, estão ligados à Internet “, diz Matt Dircks, da Bomgar.

Autores
O seu comentário...

*

Top