À medida que o mercado geral de TI e a Internet em todas as suas formas crescem, cresce também a correspondente actividade maliciosa. Aqui estão alguns casos e cenários mais vivos: nada de absolutamente novo, mas as tendências que agora analisamos estão em forte ascensão.
Os atacantes unem-se, assim devem os defensores
Os hackers solitários ainda rondam o ciberespaço, mas o trabalho de equipa é a verdadeira tendência (e ameaça!) de hoje. Há apenas alguns anos atrás, um ataque executado por uma equipa era sobretudo motivo de orgulho enquanto bebia cerveja com os seus amigos. Agora é a chave do sucesso, e não apenas porque as paredes cibernéticas contemporâneas são demasiado grossas para um único intruso.
Imagine uma equipa de hacking a ter acesso (não importa como por agora) à IA de uma empresa alvo. Nomeadamente: ser capaz de mexer na aprendizagem da máquina desta rede em particular – mesmo que o resto do perímetro esteja melhor guardado do que um repositório de ogivas nucleares. Com manipulações não complicadas, existe a forma de “educar alternativamente” o sistema de reconhecimento de imagem da vigilância por vídeo de um alvo. Assim, ao ver um intruso físico nas instalações, as câmaras não se desviarão timidamente – apenas ficarão cegas para um indivíduo, pelo que um membro da equipa de hacking poderia entrar e aceder pessoalmente às áreas mais protegidas.
Ok, pode soar um pouco a “missão-impossível” demais. Mas o facto é: os hackers unem-se efectivamente para distribuir as responsabilidades e organizar ataques poderosos que são curtos no tempo e muitas vezes difíceis de notar. As técnicas que utilizam evoluem ao ritmo do crescimento da Internet, ou seja, muito rapidamente; mais os intrusos são livres de seleccionar as suas tácticas para qualquer ataque específico e mudá-las, rapidamente também, ao enfrentarem obstáculos inquebráveis. O cenário descrito acima não é de um tipo extraordinário: por vezes os ataques são concebidos como ciberfísicos, quando enganar o sistema simplifica a invasão real. Ou vice-versa, quando a invasão começa a partir de uma invasão física – para ficar viciado no sistema de um alvo.
As pró-acções de um lado defensor também devem ser dirigidas em equipa, mas para um alvo o cenário é bastante diferente. Os riscos de violação deixam de ser uma dor de cabeça apenas do Departamento de TI, uma vez que esses riscos podem comprometer todo o negócio – fugas de dados sensíveis, exposição de terceiros, etc. Assim, hoje em dia, a gestão de topo, com os supervisores das sucursais, certamente que financia e até, por vezes, marketing e comunicações – tem de ter o protocolo de resposta à violação de dados pronto, tal como para os outros casos críticos. A tendência que está a surgir em relação a estas pró-acções é o seguro de possíveis riscos de perda/exposição de dados. Este passo já foi considerado durante algum tempo, portanto, mais uma vez – não o novíssimo. Mas as maiores ocorrências de tais contratos de seguro – e até agora os reembolsos correspondentes – ainda não chegaram às notícias.
Controlo remoto
“Home offices” é provavelmente a tendência recente mais distinta. As suas características principais podem ser vistas como uma espécie de males infantis: o seu nascimento foi bastante repentino enquanto o seu crescimento foi (ainda é) explosivo, ambos devido à natureza pandémica da própria tendência. Introduzindo o modo remoto, as empresas estavam, naturalmente, a considerar as questões de segurança. Mas muitas vezes, com a urgência de uma mudança rápida, a protecção foi pensada com menos atenção.
Os atacantes preferem alvos mais fáceis: em vez de fazer heads-on em infra-estruturas empresariais agora esticadas, mas ainda bem defendidas, procuram vulnerabilidades em protocolos de desktop remoto e/ou visam dispositivos pessoais que possam ter acesso a redes empresariais. Mais uma vez, os desenhos de ataque são mais complexos do que simples violações directas. Por exemplo, a obtenção de alguns dados empresariais a partir de dispositivos pessoais é, conscientemente, a fase preparatória. Depois, com a ajuda de engenharia social qualificada e, alternativamente, de pedaços de informação corporativa (que se acumula numa base de dados significativa) o ataque principal, causando danos muito maiores, será executado.
Como a palavra “clandestino” se refere quase directamente à espionagem, um desenho de ataque clandestino é amplamente utilizado para sugar dados altamente sensíveis das empresas. Tais ataques são realizados com uma espécie de graça técnica – utilizando malware sem ficheiros. Este método utiliza processos e ferramentas integradas no SO; não há literalmente nada a ser escrito em discos – e portanto muito mais difícil de detectar em comparação com o malware “regular”. De acordo com as conclusões da ESET, em 2021 mais ataques deste tipo serão dirigidos a instituições governamentais em vez de entidades empresariais.
As medidas de protecção para defender as partes incluem normalmente o endurecimento das políticas de acesso das empresas. Torna o trabalho remoto menos conveniente, mas, como observam os especialistas em crescimento empresarial do Mobius Institute, “no mundo empresarial, a fiabilidade é muitas vezes superior à conveniência”. A propósito, a mesma instituição de ensino empresarial continua a chamar: esclareça o seu pessoal, parceiros e todos os envolvidos sobre segurança cibernética e ensine pelo menos as competências básicas de segurança da informação.
O factor humano continua a ser a maior questão
“É da natureza humana cometer erros”. Ou “ninguém é perfeito”, e mais uma dúzia de desculpas totalmente válidas. A mesma pergunta tem de ser feita em resposta a todos os mencionados: pura indiferença ou intenção? Curiosamente, a resposta a esta pergunta é pouco importante: cerca de 90% das violações de dados comerciais são causadas pela negligência dos empregados. Mais do que isso, indicadores tão chocantemente elevados datam de meados de 2010 e continuam a flutuar apenas dentro de um único intervalo de dígitos desde então.
A discriminação adicional é mais ou menos assim:
- malware cujas acções são mais ou menos automatizadas e não directamente ligadas a operações humanas – diminuiu para 15,5% em 2020, contra 19% em 2017;
- falha/não fiabilidade do software – os mesmos 17% estáveis ao longo dos últimos anos. Note-se que os dados mais recentes sobre o desempenho do software em modo “home office” ainda estão por recolher e analisar;
- o resto das percentagens pertence a acidentes de/para terceiros. Isto inclui negligência dos prestadores de serviços, embora vários inquéritos atribuam apenas 11% do total de violações aos prestadores de serviços de nuvem e afins
Um pouco mais de estatísticas: A Grand View Research calculou o mercado ocidental de cibersegurança no valor de 166B USD em 2020, com a taxa de crescimento anual composta de 10% prevista e uma dimensão estimada de apenas 330B USD em 2027.
Duas menções honrosas são adequadas aqui, embora não se trate apenas de B2B.
Número um: engenharia social altamente flexível e por vezes verdadeiramente elaborada continua a trazer aos ciber-criminosos o seu pão – muitas vezes o sanduíche inteiro. Phishing, esquemas fraudulentos, aquelas cartas extra-notícias da Nigéria: é difícil de acreditar, mas mesmo esta última técnica ainda funciona, mesmo com o nível crescente de literacia média de informação. As tendências mais contemporâneas (mas também não as novíssimas) do phishing são: promover plataformas concebidas de forma quase idêntica às verificadas e fingir ser representantes das forças da lei já a investigar esquemas anteriores de phishing – onde os mesmos cartões de crédito ou dados semelhantes são “necessários” para prosseguir com as investigações.
O phishing por correio electrónico também entrou no segmento empresarial, particularmente numa forma de “man-in-the-middle”. Por exemplo, intrusos, com informações sobre um contrato em perspectiva, substituem endereços com, mais uma vez, os muito semelhantes. Uma vez que a troca de correio electrónico é normalmente feita em cadeias de mensagens, a participação falsa é mais difícil de detectar. Em muitas ocasiões, a fraude só é descoberta após a conclusão de transacções financeiras.
O mesmo par de perguntas e respostas permanece inalterado desde, como, por exemplo, os tempos do Oeste Selvagem, se não antes:
– Porque é que está a roubar bancos? – Porque eles têm dinheiro!
No entanto, os sistemas bancários modernos estão bem protegidos, pelo que as pessoas mal intencionadas estão a virar a sua atenção para entidades não bancárias que oferecem certos instrumentos monetários: portais de jogo onde as realizações podem ser trocadas por “ouro” provisório e vice-versa, fornecedores de Internet e de telemóveis com sistemas de bónus convertíveis em dinheiro desenvolvidos e contas financeiras ligadas a identificações de clientes, etc.
A 2ª menção honrosa é a dos jovens “nativos da Internet”, milenares e de idades mais tenras. Mesmo com ferramentas de controlo parental totalmente activas, os adolescentes tendem a comportar-se de forma insegura em linha – o que não se trata tanto de perdas financeiras directas ou outros tipos de fraude, mas sim de afectar profundamente as personalidades e atitudes dos jovens. Questões abertamente assustadoras como movimentos suicidas, bandos de adolescentes ou tiroteios escolares estão para além do âmbito deste post, embora provavelmente pela primeira vez estejamos a assistir a “Internet-natividade” a ter um impacto palpável offline.
A automatização da análise, incluindo modelos comportamentais, é vista como uma solução para este assunto. A monitorização proactiva do conteúdo não só irá contrariar as tendências destrutivas existentes, como também é provável que seja capaz de detectar as tendências futuras. A preocupação adicional, pessoal e muito mais fácil de executar, é manter as crianças afastadas dos dispositivos que estão envolvidos nas actividades comerciais dos pais/parentes/guardiões.
Abordagem integral da protecção
Estamos deliberadamente a omitir outra tendência futura, a segurança na Internet das Coisas. Especialmente porque estas estradas, ainda em grande parte em construção, já são conhecidas. Cada dispositivo precisa da sua própria protecção; e é óbvio que não só pequenos aparelhos, mas também sistemas tão grandes como uma cidade inteligente ou instalações de transporte, poderiam ser atacados.
Como mencionámos anteriormente, hoje em dia as questões de segurança da informação devem ser consideradas tão importantes como, ousa dizer, a protecção COVID-19. Desde um comportamento cauteloso básico em qualquer nível de uma empresa até à monitorização automatizada e cooperação estreita de todos os responsáveis pela segurança de uma empresa – apenas uma abordagem integral manterá os dados sensíveis intactos e os intrusos afastados.
Como as infracções podem ser dispendiosas, também o são hoje em dia as medidas de protecção. Nem todas as entidades se podem permitir uma equipa de segurança de informação completa nas instalações da empresa. Estão disponíveis várias soluções externas: começando com uma auditoria independente de segurança da informação realizada a seu pedido, e até ao estabelecimento de cooperação com o Centro de Operações Seguras ou o fornecedor de Serviços Geridos especializado em questões de segurança. Também omitiremos a sua dor de cabeça relacionada com a segurança e questões CAPEX, uma vez que nessa cooperação não há praticamente nenhuma.
Outro método de protecção, um teste de penetração, é algo autónomo. Como nos exercícios militares: “A melhor maneira de repelir o ataque é simular um”. Os Pentests, conduzidos por profissionais experientes de fornecedores de TI com espírito de segurança, imitam ataques no perímetro de um cliente, infra-estruturas, etc. – por vezes revelando vulnerabilidades que nem sequer foram imaginadas. Outro benefício dos pentests é a sua incapacidade de prejudicar o sistema existente: mesmo com múltiplos buracos na rede de um cliente, os ataques imitados apenas apontam para os elos fracos, não mudando nada.
Artigo anterior
