Os crimes cibernéticos avançam rapidamente e o ransomware já se tornou uma das maiores ameaças à segurança de rede que as empresas enfrentam. O ataque se sofisticou, é distribuído em alta velocidade via Internet e redes privadas e utiliza criptografia de grau militar. Esse ambiente de ataques cibernéticos tem exigido dos gestores de segurança (CSOs, CIOs e CISOs) um monitoramento que está além das suas responsabilidades tradicionais de cuidar de operações do dia a dia, como a salvaguarda dos ativos físicos da corporação e o gerenciamento de crises.
Pior ainda, os atores das ameaças atuais exigem resgates multimilionários e espera-se que os ransomwares custem às empresas cerca de US$ 20 bilhões este ano e mais de US$ 265 bilhões até 2031. Este ano, o maior pagamento de ransomware efetuado até agora foi da seguradora CNA Financial, ironicamente conhecida por vender seguros cibernéticos, que pagou US$ 40 milhões por um único ataque de ransomware em março passado.
Mas o ransomware é apenas uma das muitas ameaças com as quais as organizações têm que lidar. Dentre os mais comuns estão: ataques distribuídos de negação de serviço (DDoS) e Man in the Middle (MitM), engenharia social, ameaças internas, malware, spyware, ataques de senha, ameaças persistentes avançadas (APTs).
Planejamento para a segurança
Apresento aqui sete ações estratégicas que podem tornar a organização e o trabalho dos gestores de segurança de redes mais seguros para enfrentar as inúmeras ameaças do cibercrime:
- Crie uma cultura de "Segurança em Primeiro Lugar"
É necessário criar um sistema imunológico digital robusto e distribuído com uma reengenharia radical do comportamento dos funcionários e implementar políticas de segurança que realmente funcionem, e sejam reavaliadas e testadas rotineiramente.
Os funcionários representam um grande desafio para o Chief Security Officer (CSO), uma vez que em sua maioria detêm apenas conhecimento básico das melhores práticas de segurança cibernética. Sem um treinamento contínuo, testes de conhecimento e conscientização, o comportamento do pessoal é um dos maiores riscos de segurança que a empresa enfrenta.
Um estudo da Accenture revelou que menos da metade dos novos funcionários recebe treinamento de segurança cibernética e atualizações regulares ao longo de sua carreira; apenas quatro em cada dez entrevistados disseram que os programas de ameaças internas eram uma alta prioridade; e mesmo que quase três quartos dos entrevistados concordaram que "o pessoal e as atividades de segurança cibernética precisam ser ispersos por toda a organização", a segurança cibernética é ainda uma função centralizada em 74% das empresas.
- Crie um Programa de Educação de Segurança Contínua para manter o pessoal atualizado
Uma cultura de "segurança em primeiro lugar" exige que todos seus participantes entendam e valorizem o conceito de ameaças à segurança da rede. Entretanto, essa cultura somente alcançará o resultado desejado, se os funcionários forem treinados sistematicamente para garantir a atualização de seu conhecimento.
- Implemente um Modelo Zero Trust em toda a Organização
Uma equipe bem treinada e um ambiente monitorado são cruciais para o sucesso da proteção de qualquer empresa, mas sem um ambiente de Zero Trust as defesas serão intrinsecamente fracas.
O modelo Zero Trust é uma estratégia para evitar ameaças à segurança das redes, que em sua essência se baseia em não confiar em ninguém ou em nada em sua rede. Isto significa que o acesso à rede nunca é concedido sem que seja conhecida a origem exata do entrante.
Além disso, o uso de micro perímetros e o monitoramento do acesso em vários pontos da rede garante que usuários não autorizados não estejam se movendo lateralmente através da rede. Para que um modelo do Zero Trust funcione, é necessária uma inspeção e análise profunda do tráfego para identificar ameaças à segurança da rede e bloquear o que é essencialmente o ponto cego no modelo Zero Trust.
- Implemente Inspeção e Visibilidade SSL
O fator fundamental para monitorar a implementação de um modelo de Zero Trust é o uso de soluções de inspeção Transport Layer Security (TLS) / Secure Sockets Layer (SSL) que decodificam e analisam o tráfego de rede criptografado para garantir o cumprimento de políticas e padrões de privacidade.
A inspeção TLS/SSL, permite: a detecção e remoção de cargas úteis de malware e comunicações suspeitas na rede, impede a exfiltração de dados controlados e possibilita que o modelo Zero Trust cumpra sua missão – fornecer proteção rigorosa para as redes contra ameaças internas e externas.
- Reavalie e teste regularmente suas defesas de ataque de negação de serviço distribuídas (DDoS)
Para detectar um ataque distribuído de negação de serviço (DDoS), é crucial que sejam feitos testes de rotina contra uma lista de verificação das configurações e padrões de desempenho esperados, bem como testes aleatórios de integridade de segurança. Além disso, todos os cenários de teste devem ser visualizados por sua solução e registrados para verificar se sua instrumentação e registro estão funcionando como esperado.
Os testes de desempenho da rede devem ser executados pelo menos diariamente porque um ataque DDoS nem sempre tem alcance total; e pode ser também de baixo volume projetado para reduzir, mas não remover a conectividade.
- Assegure que todo o tráfego da rede de entrada e saída seja protegido usando criptografia SSL/TLS
Quando os computadores dos usuários se conectam aos recursos da rede pela Internet, a inspeção SSL/TLS cria um canal seguro. Há três componentes para isso: criptografia, autenticação e verificação de integridade. A criptografia oculta as comunicações de dados de terceiros que tentam escutar indevidamente enquanto a autenticação assegura que as partes que trocam informações são verdadeiras, e juntas, asseguram que os dados não foram comprometidos.
Se o tráfego sem segurança for permitido, então ele deve ser limitado a segmentos específicos de rede segura e monitorado de perto.
- Estabeleça Planos de Recuperação de Desastres e Testes de Validação
Uma parte fundamental de um plano de recuperação de desastres envolve backups. Entretanto, é surpreendente a frequência com que a restauração a partir de sistemas de backup em situações do mundo real não tem o desempenho esperado. Por exemplo, é importante saber quais ativos digitais estão e não estão incluídos nos backups e quanto tempo será necessário para restaurar o conteúdo. Além disso, é importante planejar a ordem na qual os recursos são recuperados e qual será a janela de inicialização.
O teste de backups também deve ser uma tarefa de rotina de TI com verificações de validação específicas para garantir que uma recuperação seja possível.
Se sua organização ainda não adotou uma estratégia de Zero Trust combinada com uma inspeção robusta de tráfego TLS/SSL, chegou a hora de começar a repensar sua postura de segurança. As sete ações estratégicas descritas podem assegurar que os gestores estejam aptos a enfrentar os muitos novos agentes de ameaça, que incluem países e hackers "profissionais", que surgem a cada dia e dispõe de maiores habilidades e recursos para desferir seus ataques com sucesso.
Ivan Marzariolli, diretor geral da A10 Networks no Brasil.
