Dois desafios determinam as ações dos times de segurança digital no Brasil em 2021: identificar e corrigir as vulnerabilidades que, exploradas por criminosos digitais, podem afetar os negócios. E, em paralelo, investigar como funcionam as gangues digitais. São duas faces de uma mesma moeda que exigem que o CISO e sua equipe (Blue Team e Red Team) trilhem uma jornada de aprendizagem constante, capaz de lançar luzes sobre as brechas do ambiente digital da empresa e, também, sobre as estratégias dos criminosos para explorar essas vulnerabilidades.
Quem fizer isso estará vários passos à frente do próximo ataque a ser disparado contra sua empresa.
Segundo o relatório Atlas VPN, o faturamento do crime digital atingiu a marca de US$ 1,5 trilhão em 2020. É uma indústria que investe pesadamente em novas tecnologias. Inteligência artificial e aprendizagem de máquina têm acelerado o go-to-marketing de novos malware e a aumentado a rentabilidade desses ataques. No relatório da Tenable Até que ponto as vulnerabilidades são lucrativas, a empresa detalha que, para cada 12 dólares gastos pelas gangues digitais em uma nova atividade, empresas e governos irão investir 1 dólar para se defender. O investimento feito pela gangue digital se paga rápido: é uma operação criminosa em escala global. O estudo da Tenable mostra, por exemplo, que o preço de venda de um exploit para iOS (Apple) pode chegar a US$ 2 milhões. Existem, também, ofertas de prateleira, com exploits sendo vendidos na Dark Web por valores baixos. Tipicamente, esses ataques são voltados a empresas pequenas e médias e o ganho dos criminosos digitais (ransomware) fica na faixa de cinco ou dez mil reais.
Os profissionais da Tenable Research apontam, ainda, que um único exploit direcionado a uma plataforma de mercado exige investimentos na faixa dos US$ 30.000,00 ou R$ 165.000,00. De acordo com o instituto de pesquisa Rand, que analisou 200 exploits coletados entre 2002 e 2016, em 71% dos casos o desenvolvimento de um novo exploit pode levar apenas 31 dias. A elite do universo das gangues digitais busca desenvolver exploits Zero Day e, a partir daí, usar essa tecnologia para seu próprio lucro. É comum que, depois de passar por PoCs (Prova de Conceito) e mostrar sua eficácia, o exploit seja oferecido por seu desenvolvedor ao mercado negro. É possível alugar ou contratar, em forma de licença, esse malware.
Os exploits mais inovadores não são vendidos, permanecendo propriedade de seus desenvolvedores. Acontece, também, o desenvolvimento de variações de um exploit, com códigos atualizados que visam burlar soluções de defesa configuradas para versões anteriores desse malware.
O outro lado desse contexto é o que as empresas estão fazendo para se proteger contra as gangues digitais.
O primeiro passo é ganhar visibilidade sobre as vulnerabilidades de seus ambientes digitais, priorizando a correção das brechas com impacto sobre os negócios. A aceleração da economia digital impõe cronogramas muito exigentes ao desenvolvimento de software. O resultado dessa realidade é que as empresas brasileiras podem utilizar soluções que, quando entram em operação, já têm vulnerabilidades. E, conforme o ambiente vai ficando mais complexo, com o uso da nuvem, de APIs e de conectores, essas vulnerabilidades podem se multiplicar. Cresce no Brasil e no mundo a consciência da importância de se projetar e implementar ambientes digitais secure by design. É uma mudança de paradigmas que, além de novas tecnologias, demanda o surgimento de uma nova cultura de desenvolvimento de software.
A situação no Brasil e no mundo, hoje, é revelada com clareza pelo Relatório de Vulnerabilidades Tenable: em 2020, 18.358 novas brechas foram descobertas. São pontos mal protegidos em todo tipo de software, de sistemas estruturais a grandes aplicações corporativas. Nas grandes empresas, esse número pode se multiplicar. Uma mesma vulnerabilidade pode estar presente, por exemplo, em milhares de dispositivos de acesso à Internet espalhados pelas diversas filiais de uma única empresa. As descobertas da Tenable não acabam aí. Em todo o mundo, a vertical de serviços de saúde – setor muito afetado pela pandemia e que teve de acelerar a sua digitalização ao longo de 2020 – lideram em número de violações de dados. Enquanto saúde responde por 25% desse total, educação é responsável por 13%. A próxima posição é ocupada pela vertical Governo (12,5%).
Os experts da Tenable apontam, também, a delicada situação das VPNs. Cinco das principais vulnerabilidades de 2020 são relacionadas a tecnologias que suportam VPNs. Essas redes tiveram vulnerabilidades identificadas há meses e correções foram lançadas pelos fornecedores de VPNs. Ainda assim, a falta de implantação desses patches pelas empresas usuárias fez com que sistemas críticos se tornassem alvo preferencial de gangues digitais.
E, finalmente, o relatório indica que, de um grupo de 700 violações examinadas em profundidade pelos experts da Tenable, 35% foram causadas por bem-sucedidos ataques de ransomware e 14,4% por ataques via e-mail. Isso indica o desafio constante de treinar e capacitar usuários para identificarem o que é uma mensagem lícita, o que é uma armadilha que pode abrir caminho para a gangue digital até o coração dos sistemas corporativos.
Em 2021, será impossível corrigir as milhares de vulnerabilidades presentes nos sistemas de uma empresa.
Uma forma de lidar com essa realidade é agregar, à métrica mais tradicional do mercado (CVSS), novas tecnologias e métricas que indicam o risco específico de uma vulnerabilidade para cada empresa, cada contexto. A partir daí, é possível priorizar a correção da brecha que, no caso de sofrer um exploit, poderia derrubar o negócio. É recomendável agregar, a essa estratégia, uma clara visão sobre o modelo de negócios e de produção das gangues digitais.
Arthur Capella, country manager da Tenable Brasil.
