A cibersegurança continua na ordem do dia das organizações, sendo hoje uma das principais preocupações dos seus gestores. A Security Magazine consultou a opinião de quatro especialistas sobre as ameaças iminentes e a evolução da superfície de ataque, a escassez de competências e a mudança da mentalidade.
“O ransomware continua a ser a ameaça mais prevalecente que afecta as organizações”, tanto de grande dimensão como de pequena, em vários sectores, afirma John Shier, Field CTO Commercial, da Sophos. “O ransomware é a última fase de um ataque bem-sucedido que também inclui o roubo de informações, trojans, critominers e muitas outras ameaças”.
Segundo aponta, “a reutilização de técnicas de ataque existentes e o aparecimento de novos ataques são comuns no panorama de ameaças. Os cibercriminosos reutilizam frequentemente ferramentas e técnicas bem-sucedidas porque elas funcionam, e vão continuar a fazê-lo até deixarem de funcionar”. Porém, alguns “podem modificar e adaptar as suas ferramentas e técnicas para se adequarem a diferentes alvos ou explorarem vulnerabilidades semelhantes de novas formas”. No entanto, diz, “surgem novos métodos de ataque, à medida que a tecnologia evolui e os atacantes procuram continuamente novas formas de contornar as medidas de segurança”.
Perante a melhoria das defesas, “vimos os cibercriminosos adoptarem drivers vulneráveis para contornar as ferramentas de Detecção e Resposta de Endpoints (EDR)”. Também são vistos “a imitarem grupos de Estados-nação, integrando as ferramentas e tácticas destes últimos nos seus manuais de ataque”.
À medida que a superfície de ataque evolui, “é importante que os indivíduos, organizações e governos se mantenham vigilantes, implementem práticas de segurança robustas e invistam em inteligência sobre ameaças, monitorização proactiva e capacidades de resposta a incidentes”, alerta. Avaliações de segurança regulares, gestão de patches, sensibilização dos colaboradores e parcerias com especialistas em cibersegurança “são cruciais para que nos possamos antecipar às ameaças emergentes no ciberespaço em constante mudança”.
Rui Ribeiro, Security Leader da IBM Portugal, destaca alguns dos dados obtidos através do seu estudo “State of Attack Surface Maagement Report”, o qual aponta para uma expansão da superfície de ataque; para a existência de 30% dos activos desconhecidos ou não geridos, prevendo-se que o valor aumente para os 50% em 2026; e para o facto de em sete de cada 10 organizações comprometidas, um activo não gerido foi parte do caminho crítico desse comprometimento. “Esta situação materializa o que costumo chamar a «espargata tecnológica»”.
Por exemplo, “as organizações começarem a passar workloads para a Cloud não tendo transformado o seu contexto, arquitectura e procedimentos e, ao fazê-lo, colocarem-se numa situação de sustentação muito difícil – ainda que por um período limitado”. O risco associado a este processo é identificado no estudo da empresa, “Cost of a Data Breach”, que refere que “as organizações estão mais vulneráveis a ciberataques em momentos de transição na sua jornada para a Cloud”. Do ponto de vista de um atacante, “esta situação é claramente favorável – pois a um atacante basta encontrar um ponto de penetração, enquanto os defensores têm de manter sob vigilância todos os possíveis vectores”. O responsável destaca que tem havido nos últimos anos “um enorme aumento do interesse dos atacantes sobre tecnologias OT – por via destas terem-se tornado progressivamente “ITizado” e estarem, cada vez mais, expostas –, e isso pode vir a ser traduzido em potenciais consequências cada vez mais reais para os cidadãos”. Em 2021, houve um aumento de 2.204% nas actividades de “reconhecimento “ sobre dispositivos OT a partir da internet, recorda.
Marcelo Carvalheira, country manager da Fortinet Portugal, recorda o relatório “FortiGuard Labs Threat Landscape”, no qual a empresa notou o reaparecimetno de nomes conhecidos ao nível do malware, wiper e botnet, incluindo o Emotet e GandCrab. O responsável destaca que “as cinco principais famílias de ransomware, de um total de 99 detectadas, foram responsáveis por cerca de 37% de toda a actividade de ransomware no segundo semenstre de 2022”. Como sublinha, o malware mais proeminente foi o GandCrab, uma ameaça RaaS que surgiu em 2018. “Vimos que a maior parte das primeiras posições eram ocupadas por malware com mais de um ano. Alguns deles – como o Lazurus – existem há mais de 10 anos e são pilares da história da Internet”, diz.
Como aponta, “esta reunitilização de Código permite que os hackers se baseiam em resultados de sucesso anteriores, melhorando interactivamente os seus ataques e ultrapassando as barreiras defensivas”. Como salienta, “os cibercriminosos têm um espírito empreendedor e estão constantemente à procura de formas de aumentar o valor dos actuais investimentos e conhecimentos em operações de ataque para ampliar a sua eficácia e rentabilidade”.
Além da reutilização de código, “estão a maximizar as oportunidades utilizando ameaças conhecidas e infraestruturas existentes”. Por exemplo, “se olharmos para as ameaças de botnets em função da sua difusão, muitas das principais botnets não são novas – entre as cinco principais botnets observadas, apenas a RotaJakiro foi criada nos últimos dois anos”. Como existe retorno do investimento, “continuam a explorar a actual infraestrutura botnet e a transformá-la em versões cada vez mais persistentes, utilizando técnicas altamente especializadas”.
A reutilização de código e a modularização possibilitada por um ecossistema de Crime-as-a-Service em expansão reforça a importância dos serviços de segurança que podem ajudar as empresas a afastar as ameaças com uma defesa coordenada e impulsionada por IA”. De acordo com o relatório global de Ransomware de 2023, “apesar de uma economia em mudança, quase todas as organizações (91%) esperam aumentar os orçamentos em segurança no próximo ano”.
Rui Duro, country manager da Check Point Software em Portugal, destaca que as ameaça “têm vindo a progredir a um ritmo extraordinário nos últimos anos. Tudo muito devido a uma maior sofisticação e capacidade de compreensão de oportunidades para potenciais ataques. As superfícies de ataque não estão a evoluir, elas mantém-se as mesmas, porém a abordagem às mesmas é que tem vindo a ser alvo de uma criatividade maquiavélica por partes dos cibercriminosos, que não deixaram de usar as antigas atividades de crime de engenharia social, e têm vindo a explorar também as falhas técnicas e humanas que se tornam cada vez mais sensíveis”.
Escassez de competências
Para o responsável da IBM, o tema da inclusão, incluindo a diversidade de género, diversidade racial e neurodiversidade “são de facto abordagens interessantes (não só do ponto de vista da justiça, mas da sua eficácia), como fonte de captação de recursos para procurar endereçar a falta de competências”. Mais do que procurar recursos técnicos, com competências de engenharia, “as organizações precisam de procurar recursos com características individuais adequadas aos perfis em falta”.
Na verdade, “há quem refira que os profissionais destas áreas de Cibersegurança e Segurança da Informação têm “a certain brain wiring”, ou seja, que têm uma forma de pensar única – o profissional de segurança é a pessoa que quando uma porta tem o letreiro “Puxe” pergunta-se: «O que acontece se eu empurrar?»” Segundo o responsável da IBM, “uma outra abordagem complementar é a de definir processos muito estruturados para certas actividades, atomizando-as de tal forma que recursos com menos conhecimento possam ser utilizados – isto pode ser particularmente verdade para sistemas grandes, em que a economia de escala possa ser alavancada”. Dito isto, “estas abordagens requerem que as organizações tenham a capacidade de localizar estes perfis, e depois treiná-los para as competências necessárias – o que nem sempre acontece”.
Uma terceira dimensão, diz, “é a utilização de tecnologia diversa para aumentar as capacidades dos humanos, e desmultiplicar o esforço humano na identificação, protecção, detecção, resposta e recuperação dos ambientes (nomeadamente, IA Orquestração e Automação de processos)”.
Por fim, refere, “o próprio mercado está a encarregar-se de progressivamente resolver o problema, com o crescente interesse por cibersegurança, uma vez que há cada vez mais jovens interessados no tema – e que encontrarão um mercado de trabalho entusiasmado por os receber”.
Sobre o problema da escassez de competências detectada na área da cibersegurança e segurança da informação, o responsável da Sophos destaca que são necessárias várias soluções em muitas frentes. “A diversidade e inclusão são estratégias muito importantes, e algumas estratégias adicionais incluem a colaboração com o meio académico para garantir um fluxo constante de profissionais qualificados quando saem das faculdades e universidades”.
Outra estratégia é a “melhoria das competências ou requalificação dos actuais profissionais de TI, para que possam transitar para funções centradas na cibersegurança”. A automação poderá “aliviar alguma da carga de trabalho manual e aumentar as capacidades humanas”. Como destaca, “é importante notar que colmatar o défice de competências de cibersegurança é um esforço a longo prazo que exige o empenho dos sectores público e privado”, sendo que “a colaboração, investimento e uma abordagem abrangente são essenciais para desenvolver uma mão-de-obra especializada em cibersegurança capaz de se defender contra ameaças em constante evolução”.
“Como se não bastasse a preocupação de se anteciparem aos cibercriminosos, as organizações também estão a trabalhar para gerir outro risco: a escassez de talentos”, reforça o responsável da Fortinet. Neste sentido, diz, “o recrutamento e a retenção de profissionais qualificados exigirão, inevitavelmente, estratégias criativas entre as organizações que procuram preencher essas funções”.
Como sugestão deixa a aposta em formação contínua aos profissionais actuais, recrutar talentos inexplorados e estabelecer parcerias e recrutar junto de instituições de ensino superior, medidas nas quais a Fortinet está fortemente empenhada.
O responsável da Check Point indica que “de nada vale criarmos teses assentes em modismos, interesses e pressões sociais, quando o problema está no conhecimento básico. E para o conhecimento básico só a educação e formação contínua pode combater este problema”.
O elo mais fraco
Os seres humanos desempenham um papel crítico na cibersegurança e são frequentemente designados como o “elo mais fraco”. Como é que os empregadores podem elevar a fasquia para evitar a exploração do comportamento ou da psicologia humana? Será que as empresas devem avaliar o desempenho/consciência dos funcionários em matéria de segurança?
O responsável da Sophos considera que “embora os seres humanos possam, de facto, ser fáceis de enganar, também podem actuar como uma primeira linha de defesa contra os ataques”. Neste sentido, as equipas de segurança “devem providenciar formação e sensibilização, mas também processos de execução fácil e irrepreensível para comunicar actividades suspeitas”. Segundo aponta, “confiar nos humanos para serem a única linha da frente de defesa contra os ataques nunca vai funcionar”.
Assim, sugere que “deve ser implementada tecnologia que limite o volume de ataques a que os humanos estão sujeitos e que detecte rapidamente actividades suspeitas quando os humanos falham”. Em alguns casos, como o comprometimento de emails empresariais, “as mitigações são orientadas para os processos e não para a tecnologia. Todas estas vertentes devem ser consideradas aquando da implementação de um plano de defesa”.
O responsável da Fortinet destaca que “ter pessoas, processos e tecnologias certas é uma componente vital de qualquer estratégia eficaz de gestão de riscos, incluindo os colaboradores que desempenham um papel crucial na segurança da empresa”. De acordo com o Security Awareness and Training Global Research de 2023 da Fortinet, 81% dos ataques de malware, phishing e/ou password ocorridos nas organizações no ano passado foram direccionados aos utilizadores.
“Embora os atacantes estejam constantemente a encontrar novas formas de se infiltrarem nas organizações, a realidade é que, normalmente, são os colaboradores – e não apenas a equipa de segurança – que estão na linha da frente quando se trata de travar os ciberataques”, diz. Neste sentido, “a força de trabalho tem potencial para ser uma das melhores defesas contra os ciberataques, mas isso só é possível se os colaboradores conhecerem e puderem identificar rapidamente os métodos comuns que os agentes de ameaças utilizam para obter acesso a uma rede”. Uma das melhores formas de garantir que os colaboradores têm esse conhecimento crucial é “implementar um programa de formação contínuo de conscientização cibernética”.
“Com mais de 90% dos líderes a acreditar que o aumento da consciencialização dos colaboradores em matéria de segurança ajudaria a diminuir a ocorrência de ciberataques, é importante procurar formações que não só abranjam os aspectos básicos – como phishing, ransomware, utilização de redes sociais, utilização de dispositivos móveis ou engenharia social e segurança na cloud – mas que também permitam personalizar o conteúdo, como a inclusão de formação sobre tácticas de ataque que sejam exclusivas a cada sector”.
Para o responsável da IBM, “um sistema é tanto mais fraco quanto o mais fraco dos seus elementos”. Como exemplo, aponta que numa experiência social realizada em Londres há cerca de 10 anos, permitia-se a utilizadores ter acesso a um hotspot wi-fi com base num conjunto de Termos & Condições, o primeiro dos quais era “doar o filho primogénito” ao fornecedor do serviço.
Um número esmagador dos utilizadores que se registaram aceitaram estes T&C – porque inevitavelmente não leram o que estavam a assinar, ou seja assinaram um contracto sem ter a noção das suas consequências.
O primeiro princípio que as organizações devem implementar para “elevar a fasquia”, é “procurar transformar os utilizadores de “elo mais fraco” em “primeira linha de defesa”, e entenderem que esta jornada não se consegue exclusivamente com “formações em cibersegurança”, mas com a criação de uma certa cultura de segurança generalizada, que começa pela valorização da informação a que os utilizadores têm acesso e da sua importância na sua defesa, bem como pela clara explicação das consequências de uma falha no processo, seja esta por que razão for”.
Na IBM, “tenho tido várias experiências em que este tipo de mentalidade, quase obsessiva, vai sendo transmitida às novas contratações que, por sua vez, já nascem numa cultura de protecção da informação”. Os componentes necessários à criação dessa cultura “ passam acima de tudo pela capacidade de gerar o entendimento de que é responsabilidade do utilizador proteger a sua informação e, não menos importante, informar imediatamente em caso de potencial risco para a organização”.
“A existência de um contexto generalizado de segurança – por exemplo, a existência de uma segurança física e controlo de acessos eficaz com áreas reservadas – também dá forma a esta mentalidade”, aponta. Finalmente, “a evolução desta cultura tem de ser permanentemente monitorizada, com testes frequentes a todos os utilizadores, exercícios diversos e um feedback honesto”.
Como conclui, “as organizações não devem só usar a cibersegurança para proibir, mas que a melhor forma de alterar processos e procedimentos é criar “caminhos de menor resistência” aos utilizadores”.
Ao proibir ou restringir alguma actividade, “a organização deve tentar compensar os utilizadores com formas mais fáceis de fazer o mesmo trabalho – para evitar o recurso a shadow IT ou a formas mais “criativas” de trabalhar, e respectiva cultura de informalidade que não se pretende”.
Para o responsável da Check Point “as instituições devem desenvolver programas de formação contínua, que levem os seus colaboradores a tomarem uma consciência clara do risco que a cibersegurança acarreta, bem como programas de validação de conhecimento e de simulação periódica de conhecimento com testes, simulações, falsos ataques, que utilizem as mais recentes técnicas de ciberataque para treinar os seus colaboradores a estarem mais despertos e que possam agir correctamente aquando de enfrentar um ataque real. Estes programas, em conjunto com uma solução de cibersegurança completa e integrada permitirá reduzir a “fraqueza” humana”.
A ter em conta as respostas dadas à Security Magazine pelos especialistas em matéria de cibersegurança, este é um mercado dinâmico, com uma grande margem de progressão e crescimento, mas também de aprendizagem para as empresas de uma forma transversal.
A cibersegurança desempenha um papel crucial na protecção de informações e sistemas vitais no mundo conectado que hoje conhecemos. A consciencialização dos gestores está a mudar e tem aumentado nos últimos anos, à medida que mais pessoas reconhecem os riscos associados à exposição de dados e informação sensível, bem como aos impactos ao nível da interrupção de serviços e as suas consequências para a sociedade civil.
Mas se, por um lado, aumenta a consciencialização, do outro lado, do cibercrime, aumentam também os ataques mais sofisticados, com novos ou antigos métodos, tendo em vista, nomeadamente, o lucro. Neste sentido, parece evidente que é essencial a colaboração entre Governos e o sector privado, entre especialistas do sector, tendo em vista enfrentar os actuais e futuros desafios do sector.
Importa recordar que na cibersegurança, tal como noutra qualquer área da segurança, o desafio é contínuo e está em constante evolução e mutação, surgindo a cada dia novas e melhores práticas e estados de alerta.
Registe-se na newsletter da Security Magazine e receba no seu email notícias como esta.
