O enredo é sempre parecido. Em um dia qualquer, os colaboradores de uma empresa ou instituição chegam para trabalhar e seus computadores e sistemas estão travados, enquanto a organização se vê diante de um pedido de resgate milionário, seja para liberar os computadores, ou para que os invasores não publiquem ou vendam suas informações confidenciais na dark web. No final, muitos acabam cedendo e pagando o valor, e mesmo assim encontram as suas informações e de seus clientes disponíveis na Internet. Nessas situações, a pergunta é sempre a mesma: "O que fazer?". No momento do ataque, não há muitas opções, e em qualquer uma delas haverá perda de dados, tempo e dinheiro. O trabalho, na verdade, precisa se iniciar muito antes, e o primeiro passo é entender o inimigo.
Os ataques que estamos todos acompanhando nos últimos anos consolidaram uma tendência que se iniciou há bastante tempo, com a profissionalização dos grupos. Não há mais ataques por jovens buscando diversão ou para defender uma causa e, sim, por quadrilhas do crime organizado digital e de grupos bancados por Estados. Mas, mesmo que os objetivos sejam diferentes, ambos possuem estrutura e um orçamento de recrutamento, pesquisa e desenvolvimento maior do que o de muitas empresas e órgãos públicos. Um dos grandes exemplos é o uso da Inteligência Artificial no desenvolvimento de código malicioso e na confecção de fraudes.
A profissionalização trouxe também outro elemento: não há tempo a perder, o que significa que técnicas e procedimentos bem-sucedidos continuarão a ser usados até que não funcionem mais. Essa é a principal razão da técnica mais utilizada há décadas ser a de enganar o ser humano. Um dos relatórios mais antigos sobre ameaças, publicado pela empresa norte-americana Verizon, o Data Breach Investigations Report, em sua edição de 2023, cita que 74% das quebras de segurança envolveram um elemento humano. Outros dois relatórios, da Proofpoint, o State of the Phish e o Human Factor, ambos também com edições publicadas anualmente, e que cobrem especificamente o Brasil, corroboram o cérebro humano como a principal vulnerabilidade explorada pelos atacantes.
A estratégia de defesa deve, portanto, levar em conta esses fatores. Um dos princípios mais antigos na defesa cibernética é a de mitigar as vulnerabilidades. Mas, como fazer isso quando a vulnerabilidade somos nós mesmos? É possível corrigir o cérebro humano, tendencioso a acreditar primeiro para duvidar depois? Não é possível corrigir, mas é possível treiná-lo. Um ataque que engane o usuário será, majoritariamente, por um e-mail fraudulento (phishing) ou pelo acesso via web. Às vezes ambos vêm juntos, quando a mensagem leva a pessoa a clicar em um link nela contido. Ao mesmo tempo em que a instituição deve investir em sistemas de defesa contra phishing e malware via web, ela deve também investir na educação de seus colaboradores.
Uma vez que um intruso tenha conseguido acesso à uma empresa, ele tentará obter acesso privilegiado aos seus sistemas e informações e, para isso, ele irá buscar por credenciais que possam ser utilizadas até chegar a de um administrador. O processo leva menos tempo do que pensamos e um segundo passo no plano de defesa será necessário: identificar credenciais vulneráveis e monitorar o ataque a elas.
Não há planos à prova de falhas em cibersegurança, mas entender o processo de uma invasão e atacar seus pontos críticos será sempre a melhor estratégia para dificultar e impedir que um invasor tenha sucesso em suas investidas.
Marcelo Bezerra, gerente sênior de segurança da Proofpoint.
