Abrimos o ano de 2024 com cenários mais complexos e desafiadores para segurança de dados, iniciando um novo capítulo na corrida contra a indústria do cibercrime. Trouxemos do ano anterior a herança de uma incidência crescente de golpes cibernéticos que incluem um ataque de ransomware a cada 14 segundos em âmbito mundial. Sabemos que dezenas de novas ameaças, mais tecnológicas e agressivas, surgem diariamente, no entanto, 70% dos incidentes registrados ao redor do mundo estão baseados em vulnerabilidades conhecidas e quase metade deles (43%) é favorecido por brechas internas nas redes de computadores, muitas das quais poderiam ser evitadas.
Chegamos a esses números por meio de análise de dados de diferentes fontes entre parceiros de negócios, mercados que atendemos globalmente, pesquisas em bancos de dados como o CVE (Common Vulnerabilities and Exposures – sistema criado para identificar, definir e catalogar vulnerabilidades publicamente conhecidas) e MITRE ATT&CK (base de conhecimento acessível globalmente de táticas e técnicas adversárias baseadas em observações do mundo real), entre outras. Esse trabalho de compilação foi desenvolvido por nossos times de Red Team LATAM e EMEA para ajudar empresas a manterem a segurança das suas redes em dia.
Sistemas atualizados e educação dos usuários
O percentual de 43% dos ataques cibernéticos facilitados por brechas nas redes é um alerta de que ainda há gaps importantes na utilização das melhores práticas em segurança de dados. A atualização de sistemas, por exemplo, é fator crucial para que patches de segurança estejam up to date com o avanço das ameaças cibernéticas, afinal, não adianta investir em uma plataforma com tecnologia de ponta se o servidor e o sistema operacional estão ultrapassados, sem correções críticas de segurança.
Além disso, não podemos descartar o fato de que muitas atualizações de segurança são lançadas de forma reativa, após a identificação de uma nova ameaça, o que requer atenção redobrada. Nesse sentido, outras medidas protetivas precisam ser planejadas e orquestradas de acordo com porte, padrão do processamento de dados e outras demandas especificas, garantindo cobertura de rede aderente ao modelo do negócio, racionalizando custos e otimizando a operação.
Reitero – afinal, não é novidade – que o usuário é o elo mais fraco do ciberespaço. – 95% dos ataques em 2023 ocorreram devido a erros humanos. É por isso que volto a recomendar às empresas que invistam na educação dos seus colaboradores sobre as melhores práticas no uso da internet e das redes corporativas. Vale lembrar que esse é um trabalho que deve ser recorrente, não só para criar o mindset nas equipes, como para reciclagem das informações, à medida em que as ameaças se renovam.
Identidades são alvo visado como porta de entrada para ataques
Manter o controle das redes suportando enésimos dispositivos conectados – e aqui devemos considerar inúmeros terminais como sensores, câmeras e outros equipamentos entendidos como IoT (Internet das Coisas) com sistemas próprios embarcados – depende de uma gestão aprimorada a partir dos acessos e identidades (observamos que as ameaças de identidade emergiram como o principal tema das intrusões interativas. 80% de todas as violações usam identidades comprometidas).
Percebemos que o Kerberoasting, método de ataque utilizado para extrair credenciais de contas de serviço, cresceu 583% em 2023 em comparação a 2022. Também identificamos aumento de 160% nas tentativas de coletar chaves secretas e outras credenciais por meio de APIs de metadados de instância de nuvem. Outro dado a ser observado é que, no ano passado, 36% dos ambientes de nuvem apresentaram configurações padrão inseguras do provedor de serviços de cloud.
Inteligência em segurança de dados com apoio da IA
Com a consolidação do 5G e da Edge Computing, ampliando o perímetro do fluxo de dados e, consequentemente, os riscos iminentes, acredito que a Cyber Threat Intelligence, ou CTI, tende a ganhar espaço nobre nas estratégias de cibersegurança. Falando de uma maneira simples, o processo de inteligência de ameaças digitais começa em um estágio "desconhecidos-desconhecidos" em que não temos ideia sobre as ameaças e tentamos localizá-las.
Após a obtenção das informações preliminares sobre aquelas ameaças, passamos para a segunda etapa chamada de "desconhecidos conhecidos". Nesta fase, analisamos as informações e entendemos a natureza das ameaças e, com esses dados, mitigamos as ameaças e chegamos ao estágio final, denominado "conhecidos-conhecidos".
Isso não significa que ferramentas já aplicadas como Zero Trust, Bug Bounty (mecanismo utilizado para identificar vulnerabilidades com dados da comunidade de cibersegurança – pesquisadores e hunters) e testes de intrusão perderão usabilidade, muito pelo contrário, a proteção de dados é um conjunto de medidas que incorpora novas ferramentas à medida em que o cibercrime evolui.
Alexandre Armellini, gerente de Red Team da Cipher.