A falta de transparência na segurança cibernética nos coloca em perigo. Com mais de 25 anos de experiência no assunto e reputação para publicar e falar francamente, acho que este é um tema muito importante para permanecer em silêncio. Só posso imaginar quantos profissionais de segurança e pesquisadores são silenciados por advogados ou não têm a plataforma para fazer suas vozes serem ouvidas.
Como você pode imaginar, a Tenable é especialista em pesquisa de vulnerabilidades e, ao longo de um ano, podemos trabalhar com mais de cem fornecedores de software para identificar e lidar com novas brechas de segurança. Em março, descobrimos duas vulnerabilidades (uma das quais consideramos críticas) na plataforma Azure da Microsoft.
Ambas as vulnerabilidades eram exploráveis por qualquer pessoa que utilizasse o serviço Azure Synapse. Depois de avaliar a situação, a Microsoft decidiu resolver discretamente um dos problemas, minimizando o risco. Foi só quando lhes disseram que seria tornado público, que o discurso deles mudou… 89 dias após a notificação inicial da vulnerabilidade, quando reconheceram na prática a gravidade do problema de segurança. Até o momento, os clientes da Microsoft não foram notificados.
Este é um padrão de comportamento que se repete. Várias empresas de segurança escreveram sobre suas interações de notificação de violação com a Microsoft e a atitude desrespeitosa da companhia sobre o risco que as vulnerabilidades representam para seus clientes. Orca Security, Wiz, Positive Security e Fortinet publicaram exemplos proeminentes, com este último cobrindo o desastre de segurança conhecido como “Follina”.
Para um provedor de infraestrutura de TI ou provedor de serviços em nuvem que não é transparente, as apostas são exponencialmente altas. Se não for relatado a tempo e em detalhes, os clientes não têm uma ideia se foram, ou estão, vulneráveis a um ataque… ou se foram vítimas de um ataque antes da vulnerabilidade ser corrigida. E não notificar os clientes nega a eles a oportunidade de buscar evidências de que eles estavam ou não envolvidos, uma política altamente irresponsável.
A FireEye/Mandiant forneceu um modelo exemplar de divulgação responsável quando a empresa divulgou sua violação, mesmo antes dos testes forenses que resultaram nas revelações do SolarWinds de 2020.
A resposta não pode ser apenas pedir aos fornecedores que façam melhor. É essencial exigir dos provedores de nuvem ou tecnologia um nível de atenção e transparência. A auditoria e avaliação independentes da infraestrutura de TI e dos provedores de serviços em nuvem devem ser obrigatórias.
A raposa vigia o galinheiro. Confie, mas verifique. As lições simples que aprendemos desde pequenos ainda são aplicáveis no campo cibernético.
*Amit Yoran é CEO da Tenable.
