Basta uma análise mais profunda de ataques cibernéticos efetivos para perceber um cenário desafiador para a proteção dos ambientes digitais. A tecnologia embarcada nas soluções de segurança continua a evoluir sim, mas recursos como aprendizado de máquina, automação de detecção e orquestração de resposta não mitigam riscos que estão na mira dos cibercriminosos.
O desafio está na diversidade das técnicas utilizadas por atacantes, motivados justamente por posturas cibernéticas organizacionais cada vez mais robustas. O uso de múltiplo fator de autenticação, por exemplo, vai pressionar o adversário a encontrar maneiras de realizar o by-pass dessas camadas.
E aí encontramos os dois primeiros fatores da tempestade perfeita: não por acaso, vemos que boa parte dos vetores iniciais de ataques destrutivos recentes são desenvolvidos a partir da engenharia social, que busca fazer com que usuários aceitem uma notificação push ou mesmo insiram uma chave OTP em um ataque AiTM (adversary in the middle) para realizar a captura de um cookie de sessão válido e comprometer a aplicação ou sistema.
O risco criado por esta ação do usuário, que pode pôr em xeque todas as ferramentas de segurança e melhores práticas implementadas na sua empresa, não é reduzido nem pela mais alta tecnologia de defesa disponível hoje.
A produção de vídeos falsos, que usa rostos, expressões, vozes e maneiras de uma pessoa, digitalmente criados, é mais um artifício das investidas que usam engenharia social, aumentando a dificuldade de identificação de um golpe por usuários.
O deepfake é o catalisador dessa situação e cria uma ameaça real. Projetos de código aberto para ferramentas de criação de vídeos falsos se popularizam a cada dia. O poder de processamento das últimas gerações de GPUs (mesmo as de menor custo) permitem a renderização em tempo real e interação ao vivo em salas de reunião virtuais, por exemplo, com resultados muito convincentes. Além da engenharia social, os artefatos em vídeo criados por deepfake são utilizados por atacantes para fazer o by-pass de algumas validações biométricas em aplicativos financeiros, por exemplo.
Para finalizar o cenário tempestuoso: risco residual
Muitas empresas implementaram e executam projetos de gestão de vulnerabilidades. Definir uma estratégia de testes manuais e scans, identificar, classificar, priorizar e mitigar falhas encontradas é uma abordagem que nem sempre funciona e pode criar uma falsa sensação de segurança. A razão para isso pode estar nos detalhes.
Em 2020, de acordo com o Ponemon Institute, as empresas falharam em corrigir quase 1/3 de todas as vulnerabilidades encontradas. Mais do que isso, 4 em cada 10 empresas que sofreram ataques, foram vítimas através da exploração de uma falha conhecida, mas não corrigida. A maioria das empresas usam o Common Vulnerability Scoring System (CVSS) isoladamente, mas a criticidade de uma falha também está diretamente relacionada à probabilidade de ela se tornar explorável e, principalmente, à posição estratégica que o ativo vulnerável ocupa contextualizado à operação do próprio negócio.
Para endereçar essa falha processual e de governança se faz necessário adotar uma abordagem diferenciada, que leve em consideração métodos consagrados com soluções tecnológicas que consolidem diferentes fontes de identificação de risco como:
- Regras de priorização baseadas na classificação de risco dos ativos;
- Matrizes de responsabilidade de correção;
- Estratégias eficientes de remediação (poucas ações que corrijam muitas vulnerabilidades)
- SLAs bem definidos para o tratamento das falhas.
A resolução do problema passa também por considerar a desconexão entre a identificação de vulnerabilidades e o ponto de vista real do cibercriminoso. É necessário projetar uma possível kill-chain das falhas encontradas, realizar uma simulação controlada de quebra de perímetro e saber o que, realmente, coloca a empresa em risco.
Em nossas simulações de ataque, utilizamos uma escala de 0 a 10 para avaliar o potencial de impacto de incidentes (quanto maior o número, maior o impacto) e a complexidade necessária para sua exploração (quanto maior o número, mais fácil é executar o ataque). Na média, o potencial de impacto é 9,1 e o índice de complexidade de ataque 7,8. Ou seja, as empresas estão em estado crítico, mesmo que elas corrijam 100% das vulnerabilidades encontradas, ainda poderão ser vítimas de ataques cibernéticos.
Sem uma gestão de vulnerabilidades que se baseia no risco real das falhas para o negócio e um trabalho de combate às novas tendências de ataques destrutivos com foco em pessoas, será praticamente impossível evitar um incidente no futuro próximo.
A questão é: sua empresa está preparada?
Se você está em dúvida, vamos promover no dia 18 de outubro, às 10:00h, em parceria com o CISO Advisor, um painel de debates sobre o tema, online, com as maiores empresas do mercado brasileiro e executivos líderes em segurança da informação. A GC Security (www.gcsec.com.br) é uma consultoria de riscos cibernéticos que aplica segurança ofensiva em simulações de ataque e gestão de vulnerabilidades com base em risco em empresas de todos os setores de mercado. Inscreva-se no evento através do link bit.ly/meet-greet-gc.