Read, hack, repeat

RSAC21 | O que vimos de legal hoje (19)

Ramon de Souza

Um pouco mais fria do que nos dias anteriores, a RSA Conference 2021, nesta quarta-feira (19), se destacou ao trazer alguns profissionais de renome para discutir insights e tendências do mercado de segurança da informação. Um deles foi Manny Rivelo, CEO da Forcepoint, que foi entrevistado ao vivo pelo jornalista Georgie Barrat. Para Manny, a pandemia do novo coronavírus (SARS-CoV2) não simplesmente ocasionou mudanças, mas sim acelerou tendências que já podiam ser observadas ao longo dos últimos anos.

Isso inclui, é claro, o “funcionário móvel”, que há tempos já usava seus próprios dispositivos para trabalhar enquanto se locomove livremente. “Com a pandemia, o perímetro está permanentemente morto”, afirma o executivo, referindo-se ao fato de que não temos mais uma rede para proteger. “Enquanto vislumbramos essas mudanças no mercado, os hackers estão sempre tentando estar um passo à frente. Mais casos de phishing, mais casos de ransomwares. Os usuários estão em todos os lugares, as aplicações estão em todos os lugares. As empresas descobriram como ser mais dinâmicas nesse novo mundo”, diz.

A solução, para o chefão da Forcepoint, é integrar as políticas de segurança para essa nova realidade híbrida, automatizando a detecção de ameaças com base em análises comportamentais. A palavra de lei é ser proativo. “São mais de 100 milhões de novas linhas de código sendo escritas que podem estar vulneráveis a brechas. São mais endpoints, acessando mais linhas de código, o que aumenta a superfície de ataques”, ressalta Manny.

A forma certa de usar dados

É clichê, mas vamos lá: dados são o novo petróleo. Valiosos, são coletados, armazenados e… Será que eles são usados corretamente? Doug Merritt, CEO da Splunk, nos explica sobre um fenômeno que ele batizou de “ansiedade de dados”, que nada mais é do que a coleta exacerbada de informações sem a inteligência de saber como aplicá-los no mundo real — especialmente quando falamos em segurança da informação. Como exemplo, ele citou a Intel, que passou a tomar decisões baseadas em dados para automatizar detecções de ameaças e conseguiu barrar 99% das ameaças contra seu ambiente.

“Todo dado é relevante para resolver seus desafios de segurança”, garante Doug. Segundo ele, 76% dos líderes de segurança dizem que funcionários remotos são difíceis de proteger e 78% das empresas aguardam outro ataque de supply-chain aos moldes do incidente da SolarWinds em breve. O dwell time (tempo em que um atacante permanece indetectado dentro de um ambiente) caiu de 78 dias em 2018 para 17 dias em 2020; porém, esse número pode — e deve! melhorar em 2021.

Doug Merritt, CEO da Splunk (Captura de Tela: The Hack)

“Sua empresa pode fazer isso. Dados e automação podem fazer sua equipe detectar e responder a ameaças mais rápido”, explica. Para ele, fazer decisões baseadas em dados “é o que separa os inovadores dos adeptos”. De qual lado você quer estar?

Uma corrida contra o tempo

Para ressaltar a importância de modernizar a forma como identificamos e mitigamos ameaças, Tim Junio — vice-presidente de produtos da Palo Alto e ex-CEO da Expanse — trouxe alguns números bastante perturbadores.

Como pontuado pelo especialista, os atacantes estão escaneando a internet com uma velocidade absurda para identificar vulnerabilidades e também dispositivos desprotegidos — senhas fracas e má-configuração no Remote Desktop Protocol (RDP) responderam por 30% dos incidentes graves atendidos pela Palo Alto em clientes da Fortune 500. A maioria dos problemas está na nuvem (78.91%), contra apenas 21.09% em ambientes on-premise.

O ciclo de desenvolvimento dos atacantes leva segundos, e o ciclo de defesa leva dias. O que as empresas estão usando? Pentest, red teaming e gerenciamento de vulnerabilidades. Mas todos esses métodos são mais lentos do que os atacantes”, explica, citando, como exemplo, o recente caos relacionado aos servidores Microsoft Exchange. Poucos minutos após a divulgação do conjunto de vulnerabilidades conhecido como ProxyLogon, diversas instâncias já estavam comprometidas.

Better Call Sudhakar

É difícil estar em uma posição como a de Sudhakar Ramakrishna — o executivo aceitou se tornar CEO da SolarWinds em janeiro deste ano, enquanto a empresa ainda tentava entender exatamente o que havia acontecido e como criminosos cibernéticos conseguiram “envenenar” um dos seus softwares. Foi o ataque de cadeia de suprimentos mais sofisticado da história, e, participando da RSAC 2021, Sudhakar revelou, em primeira mão, que tudo indica que os invasores estavam no ambiente da companhia desde janeiro de 2019 — muito antes do que nós imaginávamos.

O executivo se lembra: foi no dia 12 de dezembro, seu aniversário, quando ele recebeu uma ligação para informá-lo da gravidade do comprometimento da plataforma Orion. O board queria um novo CEO, mas encontrar um rosto novo, que não estivesse familiarizado com os processos da marca, seria uma má ideia em tempos de crise. Por ser chairman da SolarWinds durante muito tempo, Sudhakar foi a escolha certeira para assumir o cargo.

“A equipe de segurança cibernética da SolarWinds possui um sistema de comunicação com os clientes e, no geral, isso já estava funcionando muito bem. A pergunta que mais estávamos recebendo era ‘o que isso significa pra mim e o que eu devo fazer sobre isso?’”, afirma. Para Sudhakar, precisamos ser humildes o suficiente para entender e aceitar que incidentes e vazamentos de dados vão acontecer uma hora ou outra, independentemente de quanto você investe em segurança cibernética.

Previsões bem-acertadas

Levantando — e ressaltando — mais tendências para o futuro, Nicolas Fischbach (CTO da Forcepoint) e Nicolai Solling (CTO da Help AG) ressaltaram que a segurança cibernética se tornou um diferencial e atua como uma “parte integral de qualquer transformação”. Nicolas reforça que “o trabalho remoto já é complexo” o suficiente e, por isso, é um papel das lideranças garantir que as soluções de segurança tenham o mínimo de fricção possível para aumentar a produtividade dos colaboradores.

Os especialistas levantaram ainda a bandeira da desinformação, que, embora estejamos acostumados a enxergar como uma ameaça para o usuário final, pode se tornar um risco para as empresas em breve com a chegada da “desinformação-como-serviço”. “Precisamos reformar a conscientização, testar e validar seus usuários constantemente e usar a tecnologia certa para validar a fonte da informação”, explica Nicolai. Riscos como ameaças internas (mesmo que não-intencionais) e falta de visibilidade de dados também foram temas para debate entre os executivos.

Mais segurança para os EUA

Você conhece a Cyberspace Solarium Commission (CSC)? Trata-se de um órgão bipartidário criado em 2019 nos EUA para determinar recomendações de segurança cibernética a serem adotadas pelas próprias entidades governamentais e pelo setor privado. Em 2020, eles divulgaram um relatório com nada menos do que 88 recomendações, das quais 55 deram origem a proposições legislativas. Os congressistas Mike Gallagher e Jim Langevin, envolvidos no projeto, marcaram presença no evento.

(Reprodução: War on the Rocks)

“Nosso objetivo não é criar alarmismo sobre as ameaças cibernéticas, mas sim demonstrar recomendações que podem ser implementadas imediatamente”, explicam os congressistas. Para eles, trata-se de um projeto colaborativo, que precisa da ajuda do setor privado e que não visa desfigurar a atuação de órgãos já consolidados como a CISA e o FBI. Foi proposto, porém, a criação do Bureau of Cyber Statistics (ou algo como Escritório das Estatísticas Cibernéticas), para centralizar o armazenamento e estudo de dados sobre ameaças cibernéticas.

Jim também citou o período eleitoral de 2020 como um “case de sucesso”, mas há espaço para melhorias. “Tivemos as eleições mais seguras da história. Isso não significa que devemos parar por aqui. Precisamos de um investimento continuado do governo para manter essa otimização. A batalha agora será sobretudo sobre desinformação, então uma educação cívica é importante”, finaliza.

Concluindo...

Com o terceiro dia da RSAC 2021 terminando com uma demonstração prática sobre técnicas usadas pelos atores maliciosos do caso SolarWinds (com foco no vetor de ataque Golden SAML, que permite ao atacante movimentar-se lateralmente em ambientes Azure forjando credenciais “legítimas”), vale citar também que acompanhamos a competição Innovation Sandbox, que colocou dez startups mais promissoras da área de segurança da informação para defenderem suas soluções em um rápido pitch.

A grande vencedora foi a Apiiro, que promete “reinventar o ciclo de desenvolvimento seguro”  ao projetar a primeira plataforma de risco de código. A solução da marca promete fornecer uma visão holística de segurança e riscos de compliance em todas as etapas possíveis — do design à produção, passando por aplicações, infraestrutura, desenvolvedores e impacto corporativo.


Confira o que mais já publicamos sobre a RSA Conference 2021:

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.