tim-bandos

30/08/2023

CISOs agora podem evitar danos causados por ameaças desconhecidas

Sua campainha toca. Qual é a sua primeira reação? Verificar sua câmera Ring ou Nest para ver quem é? Ou simplesmente abrir a porta e permitir que a pessoa tenha acesso direto à sua casa, quer você a conheça ou não? Atualmente, os softwares de segurança cibernética funcionam com base na verificação da identidade de todos os “visitantes” ou “pacotes” antes de deixá-los entrar.

Essa abordagem funciona bem na maioria das vezes, mas está longe de ser infalível. Os sistemas atuais baseados em detecção são fornecidos como software usado por equipes de segurança internas ou comprados como um serviço por empresas que não podem pagar por segurança do tipo “faça você mesmo”. As empresas de pesquisa estimam que a dimensão do mercado atual seja cerca de US$ 200 bilhões, crescendo para até US$ 500 bilhões até o final da década.

Por que o mercado vem crescendo tão rápido? Em parte porque o nível de ameaça continua aumentando. De acordo com o DataProt, a cada dia, são detectados 560 mil novas variantes de malware. Há também a ameaça emergente da IA, utilizada como arma pelos hackers para aumentar o volume e a engenhosidade dos ataques. Além disso, há os custos que as empresas enfrentam quando não podem se defender.

É impossível estimar com exatidão o custo de ataques de segurança cibernética bem-sucedidos, em parte porque as empresas relutam em divulgá-lo, mas as estimativas são absurdas.

A Cybersecurity Ventures calculou o custo global de ransomware e outros ataques em 2023 em US$ 8 trilhões, o que equivale a quase um bilhão de dólares por hora. A projeção é que esse valor ultrapasse US$ 10 trilhões até meados da década. Se os hackers do mundo fossem um Estado, eles estariam em terceiro lugar, atrás dos EUA e da China.

Nesse contexto, os gastos com defesa da segurança cibernética parecem modestos, mas apenas se estiverem funcionando. A escala fenomenal da taxa de criminalidade global dá a entender que esse não é o caso.

Todos os métodos defensivos baseados em detecção dependem de ser capazes de verificar se algo é seguro antes de deixá-lo entrar. A menos que a pessoa à porta seja um vilão conhecido ou esteja apontando uma arma, você fará uma destas duas coisas: deixá-la entrar e esperar pelo melhor, ou mantê-la fora até que tenha certeza de que ela não lhe causará nenhum dano.

A segunda opção parece sensata e, se fosse deixada para as equipes de segurança, tudo estaria em estado permanente de bloqueio. Ótimo para segurança, mas não tão bom se você estiver tentando administrar um negócio. Uma estimativa calcula que o custo de produtividade da segurança superprojetada é de mais de 20 minutos por semana para cada funcionário – 182 dias perdidos a cada ano para uma empresa com 250 funcionários. Os CISOs relatam inúmeras reclamações de usuários de que os procedimentos de segurança prejudicam a produtividade e inibem a inovação.

A produtividade sofre um segundo impacto quando um ataque bem-sucedido é realizado. A operação de limpeza pode afetar toda a força de trabalho se dispositivos individuais precisarem ser inspecionados, os agentes de software precisarem ser atualizados ou novas políticas de segurança forem introduzidas. Além disso, há as próprias equipes de segurança cibernética. A incansável rotina de responder a alertas de ameaças e o tedioso trabalho de correção são citados como principais fatores para o êxodo de profissionais de um setor que já sofre com a escassez de pessoal qualificado.

O outro problema com a detecção é que entidades aparentemente benignas não declaram sua intenção imediatamente, mas podem permanecer nos sistemas por meses ou anos antes de propagar seu malware. Em dezembro de 2022, quando a empresa de hospedagem GoDaddy começou a ouvir relatos de clientes de que seus sites estavam sendo alvo de demandas de ransomware, o código malicioso estava armazenado nos sistemas da empresa há anos.

Esse fenômeno, conhecido como tempo de permanência, é o tempo em que um intruso fica sem ser detectado nos sistemas. O tempo médio de permanência em todo o setor é de 21 dias. Com um bom monitoramento e análise das comunicações, alguns desses intrusos podem ser encontrados antes de começarem a atuar. Muitos outros não são.

A natureza imperfeita da defesa está incorporada ao modelo de negócios do setor de segurança cibernética. Como diz o ditado, os hackers só precisam estar certos uma vez; a equipe de segurança precisa estar certa o tempo inteiro. Mesmo assim, os clientes podem se sentir prejudicados. “Quando a detecção não funciona, muitos fornecedores de segurança começam a pressioná-lo para que você compre seus retentores para serviços de resposta a incidentes. Como eles podem justificar a solicitação de mais dinheiro do cliente que eles não conseguiram proteger?”, disse-me Jared Winn, vice-presidente de tecnologia e infraestrutura da Greater Sum Ventures.

Mesmo que aceitemos que a guerra cibernética não pode ser vencida em termos absolutos, não devemos presumir que não podemos fazer mais para reduzir nossas perdas. Hoje em dia, excluímos tudo o que possa ser suspeito até que tenhamos a chance de verificar. Isso é frustrante, é ruim para a produtividade e não está funcionando. E se invertêssemos o modelo para que ninguém tivesse que esperar na porta?

É aqui que a analogia fica um pouco tola, mas e se você pudesse cercar cada visitante com uma esfera protetora, de modo que, mesmo que eles tenham uma arma escondida, eles não possam prejudicá-lo? É contraintuitivo, mas a melhor maneira de proteger a rede pode ser admitir tudo e deixá-la funcionar. Você pode fazer isso com segurança em um ambiente virtualizado, sem restringir o que o usuário pode acessar e impedir sua produtividade. Qualquer coisa que entre na rede pode ler do ambiente, mas não gravar nele. O código de entrada ainda seria analisado em busca de sinais de comportamento prejudicial. Se o malware for detectado, ele poderá ser encerrado sem que tenha sido capaz de se espalhar por qualquer lugar.

Chegou a hora de os CISOs e as equipes de segurança repensarem e perguntarem o que realmente estão procurando em uma solução de segurança cibernética: algo que seja excelente para detectar riscos ou uma solução focada na prevenção de danos. Grande parte do debate sobre segurança cibernética gira em torno do primeiro – obcecado com taxas de detecção mais altas, taxas de detecção mais ágeis e taxas de detecção mais rápidas.

Felizmente, uma nova tecnologia para fazer isso está finalmente sendo disponibilizada no mercado brasileiro através da Positivo, TD Synnex e muitos outros parceiro conhecidas como “Contenção ZeroDwell”. Podemos usá-la ou – parafraseando a definição de loucura de Einstein – continuar fazendo a mesma coisa e esperar por um resultado diferente.

. Por: Tim Bandos, EVP de Serviços de SOC da Xcitium.