Como encarar a cibersegurança em 2018?

Depois de um 2017 intenso, o cibercrime não promete abrandar. Nove representantes da indústria de cibersegurança e um CIO debatem as tendências que marcam os dois lados da barricada

Como encarar a cibersegurança em 2018?

Maior consciência do risco

A crescente popularização do ransomware em 2017, marcado pelos episódios WannaCry e Petya/Not Petya, demonstrou que ninguém escapa ao radar do cibercrime e foi, segundo Pedro Lopes Vieira (GMV), “um fator de sensibilização para as empresas”. Estas começam finalmente a colocar a segurança e a gestão dos dados “no centro das discussões”. Em 2018, acrescentou, existe uma única certeza: “Os ataques vão acontecer”. Luís Ramos, consulting systems engineer da Cisco, confirmou que “as ameaças do ano passado trouxeram alguma consciencialização para o que é a segurança da informação”. Para muitas organizações, acrescentou, “por um diverso conjunto de limitações, inclusive de budget, não eram uma prioridade”.

João Abreu (Fortinet), sublinhou que está a verificar-se uma mudança fundamental: “As abordagens deixaram de ser tão reativas para passarem a ser mais preventivas”. Aliás, recorda, foi por demais evidente, aquando do WannaCry, que as empresas que já tinham implementado medidas precaucionais “não tiveram tanto impacto e que aquelas que não estavam preparadas sofreram mais”. Sérgio Martinho, CIO da Lusitania, foi perentório: “As empresas têm de ter no seu ADN segurança, que não é apenas tecnológica. É a conjugação de três fatores críticos: pessoas; processos; e pensar a segurança desde a génese".

 

O preço a pagar

A consciencialização do risco já começa a existir, o que não significa que estejam a destinar-se mais orçamentos a soluções de cibersegurança. Segundo Fernando Simões (Kaspersky Lab), continua a existir um problema: “O desafio dos investimentos em cibersegurança continua a ser a ausência de um ROI taxativo para o gestor”. Quando o IT sinaliza ao conselho de administração a necessidade de investir neste tipo de soluções, tende a não encontrar do outro lado a perceção de qual o impacto desses investimentos nos resultados globais do negócio. Este aspeto, o da “ausência de perceção do valor”, nas palavras de Fernando Cardoso (Layer 8), é um problema para o próprio CIO, que sente a dificuldade de, internamente, "‘vender’ essa necessidade”.

Deste modo, acrescentou, a perceção do valor passa muito por que “os gestores tenham a consciência de que, ao investirem em cibersegurança, estão a minimizar riscos e a aumentar o valor das empresas”. Carlos Faria (Microsoft) sublinhou que “este tema não está na agenda de um CEO” e que em Portugal não se tem sentido que as organizações tenham uma “cultura centrada na cibersegurança”. É igualmente importante que as empresas percebam que esta já não é uma responsabilidade exclusiva do IT. “A transformação digital dos processos de negócio amplia as superfícies de ataque”, disse, “e mais dados significam mais oportunidades para os atacantes”. As organizações estão, além do mais, crescentemente expostas nas redes sociais, o que pode comprometer a reputação de uma marca. “Isso significa que a segurança passa a ser uma responsabilidade do negócio”, sublinhou.
 

RGPD, premissa para repensar abordagem à segurança

O novo Regulamento Geral de Proteção de Dados (RGPD) é, segundo Sérgio Martinho (Lusitania) uma “excelente oportunidade” para que as organizações percebam que “sem segurança não é possível garantir a privacidade dos dados”. A seguradora está a olhar para o RGPD como uma oportunidade e não como uma ameaça. “Security by design é o nosso mantra. Mas além do privacy by design e do security by design, é vital ter o design to fail. Sabemos que é uma questão de tempo até que as coisas falhem. É importante fazer uma check list, porque está provado que diminui a probabilidade de o erro acontecer”. Pedro Lopes Vieira (GMV) referiu-se ao RGPD como “motivação induzida”, por ter o mérito de “forçar alterações culturais na forma de olhar para a informação”.

A diretiva acaba por levar as organizações a olhar para a salvaguarda dos dados de um outro modo. A Multicert tem observado duas realidades. “Há empresas que estão a aproveitar este processo não tanto para efetuar uma operação de cosmética, mas para uma transformação mais profunda, no sentido inclusive de formar pessoas. Há outras que apenas procuram cumprir os requisitos mínimos, na eventualidade de uma auditoria”, sublinhou Jorge Alcobia, CEO. Carlos Faria (Microsoft) realçou que possivelmente ainda este ano, e certamente no próximo, surgirão novas versões do RGPD, dando o exemplo da cloud enquanto facilitador da compliance, “pela responsabilidade partilhada, retirando peso do lado do cliente”.
 

Ataques "fileless" são tendência

À semelhança do que já aconteceu em 2017, este ano o malware continuará a liderar o ranking das ameaças mais prevalentes, segundo a Agência Europeia para a Segurança das Redes e da Informação. Uma das principais tendências são os ataques fileless, ou seja, a ausência de ficheiros para propagação de infeção. “Por norma o malware recorre a um ficheiro para ser executado, mas a tendência será não para trabalhar com ficheiros, mas para ser residente na memória”, adiantou Luís Ramos (Cisco). Deste modo, os atacantes evitam a deteção por parte das soluções de endpoint security. “É outra forma de tornar o próprio ransomware mais eficaz — se não tivermos um ficheiro que infeta, ele vai à Internet buscar algo que se executa dentro de um flash, por exemplo”, referiu Paulo Vieira (Palo Alto Networks). Este tipo de ataques já está a acontecer, disse, e tornam o processo mais ágil para os hackers, já que podem alterar o ficheiro no momento. Pedro Lopes Vieira (GMV) antecipou um novo propósito do ransomware: “Mais do que capturar dados, o objetivo será cada vez mais o de criar disrupção no negócio, deitar redes abaixo, criar indisponibilidade de serviço”.
 

APTs continuam a ser eficazes

Apesar de não serem uma novidade, as ameaças persistentes avançadas (APT - advanced persistent threats) continuarão a ser uma realidade e podem mesmo ser a principal intenção de um ataque de ransomware. “Numa infraestrutura, o ransomware é o ruído”, frisou Fernando Simões (Kaspersky Lab). Por norma deixa pontos de falha que, na realidade, são ameaças avançadas. O WannaCry, por exemplo, despoletou três APTs, revelou. Ainda de acordo com o responsável da Kaspersky Lab, o WannaCry demonstrou que o objetivo do ransomware “não é encriptar um ou dois PCs, mas fazer o sequestro de empresas inteiras”. A dedicação dos hackers tende a ser incansável e é por isso que os ataques avançados “não têm só uma componente tecnológica”. O alerta foi deixado por Carlos Faria (Microsoft): “Serão mais frequentes os ataques direcionados e com objetivos específicos, e tem de existir uma preocupação a este respeito. Estes ataques obrigam a ter mecanismos de defesa muito mais avançados”.
 

Ransomware: As-a-Service é pago em criptomoedas

O ransomware continuará a vingar este ano “de forma ainda mais destrutiva”, disse Luís Ramos (Cisco). Devido à industrialização do próprio cibercrime, começa a assistir-se a uma evolução para um cenário de ransomware-as-a-service: “Há plataformas disponíveis na dark web e muito facilmente se lançam ataques e se pedem resgates em bitcoins”. O ransomware, sendo a “ponta do iceberg”, não deverá tardar em apontar armas também à cloud, segundo Fernando Cardoso (Layer 8). “Pela quantidade de dados que aí estamos a colocar, irá atacar a cloud e também os providers de cloud pública”. Fernando Cardoso (Layer 8) lembrou que “as criptomoedas são os facilitadores de ameaças como o ransomware”, dado que o pagamento em criptomoedas assegura o total anonimato por parte de quem recebe os resgates.
 

Investir no fator humano

Até o mais sofisticado dos sistemas será sempre insuficiente se as organizações descurarem o mais importante dos fatores: o humano. Não por acaso, os hackers continuam a recorrer à engenharia social, selecionando cuidadosamente as suas vítimas com o objetivo de conseguirem entrar facilmente nas empresas. “Um perfil de Facebook vale 144 euros no mercado negro, e permite dar início a ataques muito específicos”, partilhou Fernando Simões (Kaspersky Lab), como por exemplo campanhas de phishing “mais direcionadas e eficazes”, acrescentou Fernando Cardoso (Layer 8). Apostar na formação dos colaboradores deve ser entendida como uma medida preventiva, porque o elo mais fraco nunca deixará de ser o comportamento humano quando o tema é a cibersegurança. “Muito do plano de cibersegurança assenta em ter uma visão transversal de todo o serviço e negócio, mas também numa componente de ajuda ao utilizador”, sublinhou Manfred Ferreira (Westcon/F5). De acordo com dados recolhidos pela F5 em 174 países, o roubo de dados e de identidade está presente em 27% dos ataques, com 44% a serem ataques aplicacionais, já que “o centro das atenções são as aplicações, que estão de uma forma transparente a enviar dados e a tomar ações sem que as pessoas se apercebam”. O roubo de computação para mineração de criptomoedas é outra clara tendência ao nível dos ciberataques, alertou Fernando Simões (Kaspersky Lab).
 

Inteligência Artificial é arma dupla

O cibercrime é uma indústria e quem ataca não é (quase sempre) quem pensa e desenvolve as ferramentas de ataque, o que tem conduzido a uma democratização das investidas. Um dos fatores que mais tem contribuído para esta realidade, referiu Paulo Vieira (Palo Alto Networks), é a diminuição drástica dos custos da computação, que está “a tornar mais simples para os atacantes o acesso a capacidade de processamento”. O ransomware “é um excelente exemplo”, disse, porque já gera mais dinheiro do que o tráfico de estupefacientes. Ferramentas de inteligência artificial (IA) e machine learning (ML) prometem facilitar ainda mais a vida dos hackers, ao dotar os ataques de um nível superior de agilidade e automatismo. “Já não são os humanos a lançar os ataques, há redes quase independentes a fazê-lo. Tratam-se de células terroristas com capacidades de processamento devastadoras”, advertiu João Abreu (Fortinet). “Estamos a falar de computação distribuída e quem está a defender--se não tem acesso a esses recursos. Dentro de pouco tempo teremos essencialmente máquinas contra máquinas”.

O CEO da Multicert sublinhou a importância da introdução do sandboxing, para efeitos de cyber threat intelligence, nos últimos anos, por permitir “compreender os ataques, perceber como acontecem e como arranjam mecanismos de ofuscação”, técnica cada vez mais utilizada para limpar vestígios, disse. Por esse motivo, explicou Paulo Vieira (Palo Alto), “não é possível trazer pessoas para uma batalha de software — temos de trazer software”. Do lado da defesa, IA e ML estão a ser utilizados para tornar a segurança mais proativa e preditiva. Não é difícil perceber porquê: “As pessoas têm sempre milésimos de segundo para tomar uma decisão. O tempo de reação é crucial e é aqui que entra o machine learning”, reforçou. Carlos Faria (Microsoft) destacou, porém, que o ML só é bem-sucedido se for constantemente alimentado com dados que enriqueçam os algoritmos.

Do outro lado, os hackers estão a socorrer-se cada vez mais de algoritmos que permitam entender se determinado malware está dentro de uma sandbox, no sentido de que este permaneça inativo e infete “apenas no momento em que pode despoletar um ransomware”, explicou, Fernando Cardoso (Layer 8). O uso malicioso da IA não se fica somente pela automatização dos ataques, já que permite a sua diversificação, “recorrendo a user behavioral analytics para imitar comportamento humano”, revelou Pedro Lopes Vieira (GMV). “Não por acaso começa-se a falar de weaponização de IA. A questão do botnet of things, a diversificação da capacidade para produzir ataques com recurso a computação remota será uma tendência”.

 

Participantes da Round Table
 

Tags

REVISTA DIGITAL

IT INSIGHT Nº 12 Março 2018

IT INSIGHT Nº 12 Março 2018

NEWSLETTER

Receba todas as novidades na sua caixa de correio!