10 motivos para ser pessimista em relação à cibersegurança

Morey Haber, Chief Technology Officer
March 12th, 2018

(OBS do Editor: Este é o primeiro de dois blogs. Amanhã, vou escrever sobre os 10 motivos para ser “otimista” em relação aos desafios de cibersegurança.)

O copo está meio cheio ou meio vazio? Você é otimista ou pessimista? Uma coisa em que podemos concordar é que o tema “segurança da informação” ainda é o calcanhar de Aquiles de muitos CIOs e CSOs. Infelizmente, enquanto tentamos impedir uma violação aqui, outra vulnerabilidade ali, ataques privilegiados, ransomware ou outras ameaças, a sensação é de que nunca estaremos tranquilos. Na verdade, estamos sempre num beco sem saída porque atores de ameaças e hackers estão sempre tentando minar as empresas na esperança de lucrar com os ataques.

No que diz respeito à história registrada, ladrões sempre existiram e, até à data, nunca houve uma sociedade (fora da ficção científica) que conseguiu exterminá-los. Para alguns, isso nos tornou muito pessimistas quanto ao estado da cibersegurança. Para outros, muito otimistas levando em conta o desafio e a oportunidade de melhorar o status quo.

Para você que, assim como eu, fica deprimido só em pensar que o final de semana acabou, abaixo eu cito dez razões para sermos pessimistas em relação à cibersegurança:

1) Os atores ameaçadores estão sempre à frente

Sempre que desenvolvemos uma estratégia e tecnologia para combater uma ameaça, os atacantes evoluem suas táticas para contornar defesas ou desenvolver novos vetores de ataque para criar um incidente. Enquanto os velhos ataques conhecidos ocorrem o tempo todo, a evolução das ameaças sempre coloca o atacante um passo à frente. Afinal, você não pode desenvolver uma defesa quando não sabe quais são as ameaças potenciais que um atacante está planejando. E, enquanto você pode inventar novos vetores de ataque, não importa o quão bom esteja, você sempre sentirá falta de algo que a mente criminal desenvolveu. Isso sempre os coloca um passo à frente.

2) As soluções modernas não estão acompanhando a evolução das ameaças

Enquanto os atores de ameaças estão um passo à frente, é preciso tempo para projetar, desenvolver, amadurecer, implantar e testar novas soluções de segurança. Isso as torna potencialmente obsoletas – no momento em que a ameaça evolui. Infelizmente, isso refere-se à defesas de segurança cibernética que não evoluem rápido o suficiente, pois atores ameaçadores mudam suas táticas o tempo todo.

3) As soluções de segurança cibernética são sempre defensivas, nunca ofensivas

Todas as ferramentas de nossos arsenais são de natureza defensiva. A ética da Cibersegurança nos proíbe de sermos ofensivos. Embora existam enormes ramificações legais e morais na pirataria, sempre seremos defensivos. Isso, infelizmente, justifica os dois primeiros pontos de vista pessimistas, já que nunca podemos avançar com eles.

4) Não há profissionais da segurança cibernética suficientes

Será que isso realmente precisa de uma justificativa? Estamos todos conscientes do déficit de profissionais da segurança cibernética e do impacto que isso causa para as empresas. Felizmente, esta é uma das poucas coisas que podemos reverter, à medida que as universidades e organizações privadas intensificam o treinamento em segurança cibernética.

5) As iniciativas de compliance não são suficientes

As iniciativas de compliance realmente provaram ser insuficientes nas organizações atuais. Elas fornecem orientação para tudo, desde o controle de aplicativos até o gerenciamento de log, mas vacilam em explicar o modo de fazer. Uma coisa é você dizer que precisa de um programa de gerenciamento de vulnerabilidades e outra é fazê-lo funcionar. Não me interprete mal. A orientação em iniciativas e enquadramentos de conformidade regulamentar é estelar. Elas compartilham traços comuns entre cada uma delas, mas em uma organização moderna, fazê-las funcionar de forma eficiente e com custo efetivo é outra. Seria ideal se essas regulamentações evoluíssem para incluir as melhores práticas para implementação versus dizer “faça acontecer”.

6) Nenhuma provisão é pra sempre

Os sistemas operacionais modernos duram aproximadamente doze anos. Embora alguns possam argumentar que é muito tempo, eu afirmo que é muito pouco tempo. Se estão funcionando bem, com base em tecnologia comprovada, e se tornando parte de nossa infraestrutura crítica para operações, apenas porque estão no fim do ciclo de vida útil, não significa que devemos substituí-los. Na verdade, a maioria das regulamentações exige que sejam substituídos, mas os sistemas desatualizados são usados atualmente para geração de energia e defesa antimíssil. Eles são muito caros e problemáticos para substituir.

Isso significa que, quando concedido o status de exceção, não podemos mais mantê-los com patches de segurança ou outra tecnologia moderna. Portanto, as provisões que temos para protegê-los são limitadas. As empresas confiaram em arquivo e papel por muito mais de dez anos. À medida que evoluímos na economia da próxima geração, mesmo as bibliotecas terão de rodar seus sistemas de armazenamento e sistemas em muito menos de uma geração humana. Afirmo que temos provisões puras para o fim da vida e a tecnologia dessa natureza deve durar pelo menos uma geração (25 anos).

7) Crescimento rápido da Internet das coisas (IoT).

Não há dúvida de que este campo da tecnologia cresce exponencialmente. O problema é que muitos dos produtos não têm “higiene básica” de segurança cibernética. Considere se você comprou um sino de porta ou um termostato com base em IoT. Quanto tempo receberá atualizações de segurança e qual é o tempo de vida útil? A média são cinco anos. Isso significa que você vai ligar um novo sino de porta, termostato ou mesmo câmeras a cada três a cinco anos? Eu duvido muito. Isso deixa as versões antigas suscetíveis a potenciais hacks.

8) Organizações com higiene básica de segurança precária

Mesmo depois de 20 anos desde a bolha da Internet, ainda não dominamos a higiene básica da segurança cibernética. Ainda não dominamos o gerenciamento de vulnerabilidades, de patches, de privilégios, de logs, etc. Esses conceitos básicos são a base para qualquer defesa de segurança cibernética e são absolutamente necessários por qualquer estratégia de segurança defensiva moderna. Portanto, sem uma base sólida, a evolução dos ataques evade organizações e dificulta a detecção e proteção contra ameaças.

9) Desensibilizado para violações

Toda semana, ouvimos falar de mais um caso de violação nas notícias. E sabemos que nossas informações pessoais estão por aí e não há como permanecer verdadeiramente fora da rede. Considerando a gravidade das violações em 2017 e o que já ocorreu em 2018, não há muito mais espaço para nos surpreender. Estamos verdadeiramente desensibilizados para o próximo anúncio e perda de informação.

10) Possíveis problemas de cibersegurança com a remoção da neutralidade da rede

Uma das mudanças tecnológicas mais controversas da atual administração dos Estados Unidos é o fim da neutralidade da rede. Embora isso possa ser mantido nos tribunais durante anos, o potencial impacto de segurança tem implicações teóricas além de filmes e download ilegal de bit torrents. Se você considera que todas as soluções de segurança exigem atualizações e assinaturas, a limitação dessa informação por parte de um provedor poderia bloquear a capacidade de uma organização de receber informações de segurança necessárias para se defender contra um ataque. Embora eu reconheça que não há nenhuma prova, um provedor poderia acelerar as atualizações de assinaturas antivírus ou os patches de segurança para um sistema operacional, sem a neutralidade da rede.

Agora é hora de refletir sobre essas questões. Também é hora de enxergar os erros que estamos cometendo e transformar a energia negativa em uma causa produtiva. Precisamos encontrar soluções para essas questões – algumas podem ser políticas, processos, atitudes ou mesmo produtos, mas, no final, se sucumbirmos às nossas opiniões negativas, falharemos. Empodere as equipes para consertar ou melhorar os problemas e recompensá-los. Nós nunca resolveremos permanentemente essas questões, mas aceitar que elas são realidade e que podemos combater nossos instintos naturais só fortalecerá nossas defesas.

Estamos aqui para ajudar. Contate-nos para planejarmos a segurança cibernética de sua empresa.

Morey Haber, Chief Technology Officer

With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.