Nos últimos 12 meses tivemos vários incidentes geopolíticos, ameaças globais de malware e enormes violações de dados onipresentes.
Incluindo os vazamentos do CIA Vault7 e da NSA Shadow Brokers no início do ano, as campanhas dos ‘ransomwares’ WannaCry e NotPetya, e as chocantes revelações da Uber no mês passado, os Diretores de Segurança das Informações (CISO – Chief Information Security Officer) do Reino Unido tiveram bastante trabalho. Mas agora que o ano está chegando ao fim, talvez seja importante relembrar alguns dos principais temas de 2017 para fortalecer os sistemas nos próximos 12 meses.
Veja abaixo os cinco principais, sem ordem específica:
Evolução dos ransomwares
Os ransomwares dão trabalho para as organizações há um bom tempo. Mas em 2017 tivemos casos de ameaças usadas de forma nunca vista antes, gerando problemas em escala global. Os ataques do WannaCry e do Petya/NotPetya nos meses de maio e junho tiveram alvos, grupos de ataque e táticas ligeiramente diferentes, mas mostraram que os ransomwares podem ser usados com exploits desenvolvidos por nações para se propagar dramaticamente por meio das redes. O Bad Rabbit nos mostrou uma outra variante neste tema, projetado para infectar vítimas em grande escala usando ataques de watering hole.
Esses incidentes nos ensinaram sobre a importância de corrigir vulnerabilidades conhecidas assim que a correção for disponibilizada, e nos alertaram sobre o que pode acontecer quando governos tentam prejudicar a segurança de centenas de milhões de usuários através de exploits em softwares populares.
Empresas têm prejuízo de bilhões com BEC
De todos os riscos cibernéticos enfrentados pelas organizações atualmente, o Business Email Compromise (BEC) aparentemente é um dos mais fáceis de mitigar. No entanto, de acordo com o FBI, os prejuízos entre outubro de 2013 e dezembro de 2016 superaram US$ 5,3 bilhões. Prevemos um aumento, chegando a US$ 9 bilhões no próximo ano, tendo em vista que as organizações continuam a mostrar que seus funcionários e processos estão expostos a engenharia social.
As fraudes de BEC muitas vezes não usam malwares, ou seja, não podem ser detectados dessa forma. As organizações podem se proteger melhor contra isso com um bom treinamento dos colaboradores e um procedimento bem simples de exigir que dois membros administrativos do setor financeiro aprovem qualquer transferência de valores significativos.
Grandes empresas continuam cometendo erros de principiantes
Quando vão aprender? Nos últimos 12 meses, tivemos outros casos de organizações que “já deviam ter aprendido essa lição” e mesmo assim sofreram violações de dados e incidentes de privacidade prejudiciais. A Yahoo (3bn), a Uber (57m) e a Equifax (145.5m) são os exemplos mais notáveis de empresas que tinham os recursos, mas não tinham a cultura corporativa ou estratégia certa para manter os hackers à distância. Muitas outras organizações ficaram envergonhadas depois de descobrir que informações sensíveis de clientes ou de propriedades tinham sido expostas na internet por causa de configurações erradas no banco de dados da nuvem, que em muitos casos era controlado por um parceiro externo. Muitas organizações tinham falhas nesse aspecto, como Verizon, Accenture, WWE e até mesmo o Departamento de Defesa dos EUA. Em um caso, uma empresa republicana de análise de dados conseguiu derrubar a PII de 198 milhões de eleitores americanos de até dez anos antes.
Esses incidentes nos mostram mais uma vez que as empresas ainda não compreendem os princípios básicos quando se trata de segurança cibernética e estão falhando em impor as políticas aos parceiros e contratados.
A conformidade com o GDPR ainda não é o que precisa ser
Com o passar do ano, o dia 25 de maio de 2018 está cada vez mais próximo: data em que o Regulamento Geral de Proteção de Dados (GDPR) da UE finalmente entrará em vigor. É difícil lembrar de uma nova lei com implicações tão profundas de segurança cibernética e privacidade para as empresas. Contudo, a falta geral de conscientização e comprometimento das diretorias continuam a ser uma preocupação, apesar das multas potencialmente enormes caso não cumpram os requisitos da regulamentação. A Gartner estima que menos de metade de todas as empresas vão cumprir todos os requisitos até o prazo.
A pesquisa da Trend Micro deste ano revelou uma preocupante falta de interesse do C-suite: os executivos sêniores não assumem essa responsabilidade em 57% das empresas. As empresas precisam entender melhor os dados que possuem, criar um plano de notificação de violação e investir em tecnologias de ponta para manter as ameaças à distância.
Da IdC para a nuvem, as vulnerabilidades continuam sendo o principal calcanhar de Aquiles
Já dissemos isso antes, mas vale a pena falar novamente, as vulnerabilidades são uma das principais ameaças à segurança enfrentadas pelas empresas. Não importa se estão no firmware do dispositivo IdC, aplicativos da web, software locais ou na sua infraestrutura da nuvem: se houver uma falha que pode ser explorada em seu ambiente cibernético, ela poderá se tornar um alvo. Já vimos organizações diversas como a NHS e a Equifax severamente afetadas por não corrigirem erros conhecidos rapidamente. No caso da provedora de serviços médicos, essa falha levou a interrupções relacionadas ao WannaCry que forçaram o cancelamento de aproximadamente 19 mil operações e consultas.
Do Devil’s Ivy ao KRACK, novas vulnerabilidades e métodos de ataque são descobertos todos os meses, alguns com grandes implicações na segurança dos sistemas usados por muitas organizações. Os Diretores de Segurança da Informação devem garantir que tenham uma abordagem abrangente e automatizada para administrar as correções e a agilidade para tratar de forma rápida e eficaz a ameaças descobertas recentemente.