Inteligência em gestão de redes e segurança de dados

Alexandre Armellini*
16/01/2024

Abrimos o ano de 2024 com cenários mais complexos e desafiadores para segurança de dados, iniciando um novo capítulo na corrida contra a indústria do cibercrime. Trouxemos do ano anterior a herança de uma incidência crescente de golpes cibernéticos que incluem um ataque de ransomware a cada 14 segundos em âmbito mundial. Sabemos que dezenas de novas ameaças, mais tecnológicas e agressivas, surgem diariamente. No entanto, 70% dos incidentes registrados ao redor do mundo estão baseados em vulnerabilidades conhecidas e quase metade deles (43%) é favorecido por brechas internas nas redes de computadores, muitas das quais poderiam ser evitadas.

Chegamos a esses números por meio de análise de dados de diferentes fontes entre parceiros de negócios, mercados que atendemos globalmente, pesquisas em bancos de dados como o CVE (Common Vulnerabilities and Exposures – sistema criado para identificar, definir e catalogar vulnerabilidades publicamente conhecidas) e MITRE ATT&CK (base de conhecimento acessível globalmente de táticas e técnicas adversárias baseadas em observações do mundo real), entre outras. Esse trabalho de compilação foi desenvolvido por nossos times de Red Team Latame EMEA (Europa, Oriente Médio e África) para ajudar empresas a manterem a segurança das suas redes em dia.

Sistemas atualizados e educação dos usuários

O percentual de 43% dos ataques cibernéticos facilitados por brechas nas redes é um alerta de que ainda há gaps importantes na utilização das melhores práticas em segurança de dados. A atualização de sistemas, por exemplo, é fator crucial para que patches de segurança estejam up to date com o avanço das ameaças cibernéticas, afinal, não adianta investir em uma plataforma com tecnologia de ponta se o servidor e o sistema operacional estão ultrapassados, sem correções críticas de segurança.

Além disso, não podemos descartar o fato de que muitas atualizações de segurança são lançadas de forma reativa, após a identificação de uma nova ameaça, o que requer atenção redobrada. Nesse sentido, outras medidas protetivas precisam ser planejadas e orquestradas de acordo com porte, padrão do processamento de dados e outras demandas especificas, garantindo cobertura de rede aderente ao modelo do negócio, racionalizando custos e otimizando a operação.

Reitero — afinal, não é novidade — que o usuário é o elo mais fraco do ciberespaço: 95% dos ataques em 2023 ocorreram devido a erros humanos. É por isso que volto a recomendar às empresas que invistam na educação dos seus colaboradores sobre as melhores práticas no uso da internet e das redes corporativas. Vale lembrar que esse é um trabalho que deve ser recorrente, não só para criar o mindset nas equipes, como para reciclagem das informações, à medida em que as ameaças se renovam.

Identidades são alvo visado como porta de entrada para ataques

Manter o controle das redes suportando enésimos dispositivos conectados — e aqui devemos considerar inúmeros terminais como sensores, câmeras e outros equipamentos entendidos como IoT (internet das coisas) com sistemas próprios embarcados — depende de uma gestão aprimorada a partir dos acessos e identidades (observamos que as ameaças de identidade emergiram como o principal tema das intrusões interativas. 80% de todas as violações usam identidades comprometidas).

Percebemos que o Kerberoasting, método de ataque utilizado para extrair credenciais de contas de serviço, cresceu 583% em 2023 na comparação a 2022. Também identificamos aumento de 160% nas tentativas de coletar chaves secretas e outras credenciais por meio de APIs de metadados de instância de nuvem. Outro dado a ser observado é que, no ano passado, 36% dos ambientes de nuvem apresentaram configurações padrão inseguras do provedor de serviços de cloud.

Inteligência em segurança de dados com apoio da IA

Com a consolidação do 5G e do edge computing, ampliando o perímetro do fluxo de dados e, consequentemente, os riscos iminentes, acredito que a cyber threat Intelligence, ou CTI, tende a ganhar espaço nobre nas estratégias de cibersegurança. Falando de uma maneira simples, o processo de inteligência de ameaças digitais começa em um estágio “desconhecidos-desconhecidos” em que não temos ideia sobre as
ameaças e tentamos localizá-las.

Após a obtenção das informações preliminares sobre aquelas ameaças, passamos para a segunda etapa chamada de “desconhecidos conhecidos”. Nessa fase, analisamos as informações e entendemos a natureza das ameaças e, com esses dados, mitigamos as ameaças e chegamos ao estágio final, denominado “conhecidos-conhecidos”.

Isso não significa que ferramentas já aplicadas como zero trust, bug bounty (mecanismo de recompensa utilizado para identificar vulnerabilidades com dados da comunidade de cibersegurança — pesquisadores e hunters) e testes de intrusão perderão usabilidade, muito pelo contrário, a proteção de dados é um conjunto de medidas que incorpora novas ferramentas à medida em que o cibercrime evolui.

*Alexandre Armellini é gerente de Red Team da Cipher.

Compartilhar: