Recursos/White Papers

Notícias

Previsões de segurança de 2017

Se você pensou que 2016 foi um ano ruim, ajuste o cinto de segurança - o próximo vai ser ainda pior

Sharon Florentine, CIO/EUA

Publicada em 09 de dezembro de 2016 às 07h05

2016 tem sido um inferno em relação à segurança cibernética , e ainda não acabou. E não há nenhuma razão no horizonte para acreditar que 2017 será melhor. Em qualquer caso, poderia ser ainda pior, já que os cibercriminosos continuam a empurrar a engenharia social, encontrar novas formas de entregar malware, crackear bases de dados vulneráveis ​​e alavancar a tecnologia móvel para encontrar maneiras de entrar dentro de defesas corporativas e de indivíduos-alvo.

Pedimos a duas principais especialistas em segurança cibernética, Matt Dircks, CEO da empresa seguro software de acesso Bomgar e Scott Millis, CTO da Cyber, para arriscarem algumas previsões para 2017.

1. As senhas  continuarão sendo um problema
O recente ataque DDoS que causou estragos em uma enorme porção da internet em 21 de outubro foi pelo menos parcialmente ativado por senhas padrão não alteradas em dispositivos IoT  que hackers foram capazes de explorar, diz Dircks. Não pense que você está imune; Quantos de seus usuários têm senhas simples, comuns ou desatualizadas? Em 2017, Dircks prevê que serviços de gerenciamento de senhas melhores que os atuais ganharão força com as empresas entendendo como são vulneráveis.

Na sua opinião, profissionais de segurança cibernética terão dificuldades em proteger infraestrutura crítica, os sistemas conectados e sistemas e dispositivos acessados ​​remotamente, enquanto práticas de senha fraca continuarem sendo a norma, mas não são apenas as ameaças externas serão um problema. A mitigação de ameaças internas também pode ser conseguida através de um melhor gerenciamento de senhas, diz. A melhor maneira de fazer isso é implementar uma solução que armazene de forma segura senhas que permanecem desconhecidas para os usuários e, em seguida, validar e rodar regularmente essas senhas para garantir a segurança, diz ele.

"Lado dos cofres de credenciais. Em um mundo ideal, um usuário nunca saberia realmente o que era sua senha - seria preenchido automaticamente pelo cofre, e girado e alterado a cada semana. Olhe - os hackers são intrinsecamente preguiçosos, e têm o tempo como fator decisivo. Se você tornar mais difícil para eles, eles vão para outro lugar", diz Dircks.

2. A gestão de privilégio ganhará poder
Hackers querem acesso de alto nível, o que eles conseguem através da segmentação de credenciais de usuários privilegiados como profissionais de TI, CEOs e fornecedores, diz Dircks. E, embora as organizações tenham aplicado segurança aos sistemas, aplicativos e dados que são mais críticos para seus negócios, essas medidas preventivas simplesmente não são mais suficientes. Em 2017, diz ele, será imposto às organizações mais experientes que finalmente protejam não apenas os sistemas, mas também os usuários privilegiados, identificando-os, monitorando seu acesso e fechando o acesso ao que eles não precisam.

"Nós tivemos alguns clientes que dizem só darem acesso a usuários ou fornecedores externos via VPN e está tudo ok. Acontece que eles não têm ideia do que essas pesoas estão realmente acessando! Com o gerenciamento de privilégios, pense no acesso como um grupo de elevadores, onde, dependendo do seu papel, você só pode chegar a determinados andares. Ele realmente limita o que você pode fazer, especialmente se você for malicioso. Mesmo se eu tiver uma senha válida, e o meu privilégio me permitir acessar  os pisos um e sete, se eu tentar ir para seis, então o sistema vai me bloquear e notificar alguém", diz Dircks.

O gerenciamento de privilégios é importante especialmente diante de uma mão-de-obra cada vez mais móvel. Muitos preferem sacrificar privacidade e dados pessoais para ampliar o acesso e acreditam que sua segurança será cuidada por provedores de serviços terceirizados e criadores de aplicativos, diz ele.

"Especialmente nas últimas gerações de nativos digitais, as pessoas estão mais do que dispostas fornecer suas informações pessoais e dados para acesso a aplicativos, conectividade, informações - isso pode ser facilmente explorado. E estão dispostas a confiar que esses desenvolvedores de aplicativos , esses provedores, manterão seus dados em segurança. Isso é perigoso. Combine a lacuna de habilidades de segurança cibernética, escassez de talento, força de trabalho móvel, ambiente app-centric, hacking mais sofisticado e você tem uma tempestade perfeita. Só vai ficar pior antes que melhore", diz Dircks.

hacked

3. O jogo de empurra será maior
"Quando conversamos com nossos clientes, uma tendência que estamos vendo crescer e que é realmente horrível, é que eles sabem que um ataque pode acontecer, mas não acreditam que realmente vá acontecer. É como se, neste momento, eles estivessem apenas levantando as mãos e dizendo: 'Bem, eu vou ser atingido. Mas quando e onde?'  E isso, para mim, é simplesmente aterrorizante ", diz Dircks.

Com o uso crescente de Internet das Coisas e a crescente dependência de provedores de soluções de segurança, as empresas podem não ser capazes de identificar a origem e o tamanho de violação quando ela ocorre, diz ele. Quem é responsável por garantir, manter e corrigir as várias tecnologias? Pior ainda, um produto foi conectado a sistemas internos que ainda não podem ser corrigidos? Uma série de dispositivos IoT são muitas vezes ignorados porque eles ficam fora do âmbito tradicional da TI, mas isso significa exposição a ameaças.

"Com a integração da IoT, da automação e da nuvem, ninguém parece ter certeza absoluta de quem é realmente responsável por manter a segurança de todas essas várias peças: o fabricante do dispositivo IoT, o provedor de serviços de segurança, o departamento interno de TI, os usuários individuais?"

Quando ocorre uma violação, mesmo com camadas de segurança, a questão de quem "a possui" e quem tem ou tem poder para fazer algo a respeito criará reações intensas e apontar de dedos, diz ele.

As empresas podem evitar este jogo de empurra sobre a responsabilidade garantindo uma comunicação aberta entre a TI e a liderança empresarial para entender as ameaças potenciais,as  opções de segurança e os desafios e restrições que existem dentro da organização, diz Dircks.

"Parte do problema é que, como um CSO, um CISO ou mesmo um CIO - qualquer pessoa com responsabilidade de segurança - você é invisível, se está fazendo o seu trabalho direito, ou você está no meio do furacão.

4. Ransomware vai ficar fora de controle
Desde 01 de janeiro de 2016, o grupo Security Response da Symantec tem registrado uma média de mais de 4 mil ataques ransomware por dia: um aumento de 300% sobre 2015, de acordo com o Internet Security Threat Report 2016.

A maioria das organizações depende do uso do firewall, de soluções antivírus ou de técnicas de prevenção de intrusões para mitigar ameaças como essas, diz Scott Millis, da Cyber ​​adAPT. No entanto, essas ferramentas são insuficientes e os dados de violação mostram que a detecção e a resposta a incidentes devem ser melhoradas.

Como os atacantes continuam a usar a engenharia social e as redes sociais para coletar dados de indivíduos sensíveis dentro de uma organização, a necessidade de uma educação abrangente em segurança torna-se ainda mais crítica, diz ele.

"Se as políticas de segurança e as tecnologias não levam esses vetores em conta, o ransomware continuará a infiltrar-se. Há também a questão da detecção. Alguns atacantes podem residir dentro de ambientes de uma empresa por meses, muitas vezes se movendo lateralmente dentro de ambientes, restringindo a capacidade de uma organização para prevenir, detectar e responder a ataques avançados ", diz Millis.

Finalmente, novas superfícies de ataque - por exemplo, IaaS, SaaS e IoT - ainda são tão novas que as organizações ainda não descobriram a melhor maneira de protegê-las, diz ele.

5. Os intervalos entre ataques não terão nenhuma melhora significativa
O tempo de permanência, ou o intervalo entre um ataque bem-sucedido e sua descoberta pela vítima, não trará melhoria significativa em 2017, diz Millis. Em alguns casos extremos, a duração dos ensaios pode atingir até dois anos e pode custar uma empresa milhões por violação .

"Por que tanto tempo? Na minha opinião, isso é irritantemente simples - há pouco ou nenhum foco na verdadeira detecção de atividade de ataque. No advento da era de malware, empresas, fornecedores de soluções e indivíduos estavam corretamente preocupados com manter os rapazes maus do lado de fora, e toda uma indústria cresceu rapidamente para se concentrar em dois temas básicos: defesa em profundidade, que vejo como táticas de prevenção em camadas para tornar a penetração de fora mais difícil, e a identificação de malware, que manifestou-se como uma corrida armamentista para 100% de identificação confiável de malware", diz Millis.

Embora as tecnologias de resposta e as capacidades de remediação tenham melhorado, e as vítimas pudessam isolar e reparar os danos muito rapidamente, essas tecnologias não ajudam a reduzir o tempo de permanência; a menos que as equipes de resposta tropecem em algo malicioso ou descubram aleatoriamente uma anomalia, diz Millis.

Hoje em dia, profissionais de segurança estão usando arquivos de log de dispositivos de rede para procurar pistas sobre se um ataque foi tentado ou realizado, mas armazenar e classificar as enormes quantidades de dados necessários para essa abordagem é caro e ineficiente, diz Millis.

"A necessidade de armazéns de dados enormes e motores de análise massivos impulsionou a nova indústria de informações e eventos de segurança (SIEM). SIEM é uma excelente ferramenta forense para investigadores, mas ainda não é eficaz na identificação de ataques em andamento. O que nós - e algumas outras empresas - estamos fazendo agora é desenvolver produtos que se concentram em analisar todo o tráfego da rede para identificar os indicadores de ataque", diz ele.

6. Mobile continuará a ser uma porta de entrada
Pelo menos uma, se não mais brechas de grandes empresas, será atribuída a dispositivos móveis em 2017, prevê Millis.  De acordo com relatório recente do  Ponemon Institute, o risco econômico das violações de dados móveis para uma empresa pode chegar a US $ 26,4 milhões e 67% das organizações pesquisadas relataram ter tido uma violação de dados como resultado de funcionários usando seus dispositivos móveis para acessar informações sensíveis e confidenciais.

As pessoas e seus dispositivos móveis agora estão se movendo muito, e rápido demais, para que as estratégias antiquadas de cibersegurança sejam eficazes, diz Millis. Adicione a isso uma sensação crescente de direito dos usuários com relação aos dispositivos que eles escolhem usar, e você tem uma situação madura para a exploração.

Os pagamentos móveis também se tornarão um passivo.  Os indivíduos devem entender que precisam tratar seus dados biométricos com a mesma atenção com que fazem outros dados financeiros e pessoais. "Novamente, isso se resume a educação e treinamento", diz ele.

"Não seria bom se os provedores de acesso WiFi públicos fossem obrigados a alertar sobre os perigos aos quais os usuários estão expostos em usá-los? Algo como os alertas nos maços de cigarros: "Atenção: esta conexão de acesso público não é segura e as informações que você envia e recebe enquanto está conectado podem ser vistos, coletados e posteriormente usados ​​por criminosos para roubar seus bens, identidade ou informações privadas'", diz Millis.

7. Internet de ameaças?
Vulnerabilidades e ataques da Internet das coisas vão aumentar a necessidade de padronização para várias medidas de segurança - na edição deste ano da Def Con os hackers encontraram 47 novas vulnerabilidades que afetam 23 dispositivos de 21 fabricantes.

A maioria desses aparelhos inteligentes é bastante estúpido quando o assunto é segurança. Muitos já são vendidos com senhas administrativas padrão e não exigem que os usuários as mudem. Eles usam Universal Plug and Play (UPnP) para passar por firewalls de redes para acesso remoto. Também usam conexões sem criptografia pela web. E costumam rodar versões desatualizadas e vulneráveis à exploits dos sistemas e módulos open-source para acesso de rede.

Esses equipamentos raramente recebem updates de sistema, mesmo quando são vendidos em grandes quantidades e os pesquisadores ou empresas de segurança encontram ataques. Mesmo quando as atualizações são liberadas, a maioria dos donos nem fica sabendo delas, ou não possuem o conhecimento necessário para conseguir fazer o update da forma correta.

Assim, esses aparelhos podem ser sequestrados, e isso vem acontecendo cada vez mais ultimamente. E o tipo de comportamento que mostram quando estão realizando um ataque pode ser inteiramente invisível para os seus donos: os ataques lotam as conexões upstream, não downstream, e nem sempre interferem com uma função do aparelho ou com a rede do usuário. 



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui