Tecnologias de Segurança
Atualmente, as práticas, ferramentas e estratégias usadas por cibercriminosos variam de região para região do planeta. Inclusive, em alguns países, há leis e as mesmas são aplicadas. Em geral, os objetivos destes grupos criminosos são, na maioria dos casos, a monetização das ações maliciosas. Assim, o cibercrime passou a enxergar as oportunidades cada vez maiores introduzidas pela transformação digital crescente das organizações e das sociedades.
O novo contexto do cibercrime: facilidades da Deep Web
Com maiores riscos, até criminosos que agem no mundo real procuram a Dark/Deep Web para alcançar mais vítimas e mitigar os seus próprios riscos. Aliás, a Deep ou Dark Web e as criptomoedas facilitam bastante a evolução do cibercrime. De fato, muitos destes atores maliciosos sequer tentam se refugiar na possibilidade de ficar completamente anônimos na Deep Web/Dark Web e usam a Internet comum para aplicar seus golpes.
Porém, em outros países, as leis são mais frouxas ou praticamente inexistem. Nesse caso, as autoridades estão, em geral, completamente despreparadas para combater o crime nesse novo cenário. Daí, os cibercriminosos são menos cuidadosos e não se preocupam tanto em encobrir seus rastros.
Por exemplo, é muito comum ver cibercriminosos brasileiros anunciando seus produtos pelo Facebook ou Youtube sem qualquer receio de serem capturados. Já os criminosos russos morrem de medo de serem apanhados pelas autoridades. Por isso, na maioria das vezes, lançam suas campanhas criminosas buscando alvos em países que não falam russo para evitar qualquer tipo de problema com autoridades policiais do seu próprio país.
Enquanto o combate ao cibercrime ainda está engatinhando, isso tem proporcionado um desenvolvimento rápido de todo um ecossistema para os cibercriminosos, com uma intrincada e organizada cadeia de fornecimento de serviços e produtos entre eles.
Tecnologias de Segurança: o mundo mudou…
Certamente os profissionais de segurança da informação e de todas as áreas do conhecimento devem concordar comigo: a digitalização de quase tudo introduziu grandes mudanças no cenário do crime. Hoje, cada vez mais as pessoas estão conectadas. Além disso, a tecnologia está em todos os lugares. E o poder computacional das mãos das pessoas é impressionante.
Por exemplo, um celular é tudo, além de um telefone. Com certeza, é um computador muito mais poderoso que aquele que levou o homem à lua na Apollo 11. Assim, antigamente era muito mais simples entender onde deveríamos colocar salvaguardas, tecnologias de segurança e controles para proteger equipamentos e redes.
Mas, o advento da comunicação sem fio, a lei de Moore e a evolução tecnológica como um todo bagunçaram tudo. Hoje, estamos falando em robôs, inteligência artificial, carros autônomos, Internet das Coisas (Internet of Things ou simplesmente IoT). Aliás, essas não são coisas que estão em um futuro distante. Pelo contrário, essas novidades estão todas ali perto. Basta virar a esquina para enxergar que o mundo mudou totalmente.
A quarta revolução industrial e a singularidade das máquinas
Hoje, estamos falando da Quarta Revolução Industrial, que provocará um oceano de mudanças nas vidas das pessoas. Não só nas condições de trabalho, nos empregos como conhecemos hoje em dia, mas também no convívio social, na produtividade, na qualidade de vida, etc. De fato. é uma mudança disruptiva. Isto é, a humanidade não será a mesma.
Aliás, alguns temem máquinas mais inteligentes e autônomas, capazes de aprender exponencialmente e que fiquem sempre mais inteligentes. Assim, atingindo em algum momento a chamada singularidade (aquele momento em que as máquinas serão mais inteligentes que os seres humanos). Que salto, hein?! Realmente, parece loucura! Dentre estes que estão assustados com a ideia de que isto aconteça estão algumas das mentes mais brilhantes do planeta. Por exemplo, falo de pessoas como Elon Musk, Bill Gates e o Stephen Hawking, apenas para citar alguns.
Novas tecnologias: oportunidades para o cibercrime
Mas, com todas essas novidades, aparecem as oportunidades, inclusive para os cibercriminosos. Afinal, as novas tecnologias proporcionam sempre algumas brechas de segurança que vêm sendo bem exploradas pelos agentes maliciosos. Em geral, usuários da tecnologia não estão cientes dos riscos nem das formas de ficar seguro em meio a este emaranhado de tecnologias saborosas que nos acompanham diariamente.
Por exemplo, olhem o caso dos dispositivos de IoT (Internet das coisas). Sem dúvida, vários dispositivos são bacanas, propiciando maior comodidade e conforto para a vida moderna. Assim, através deles, posso controlar o volume do som, a temperatura e a luminosidade do meu quarto, apenas usando um aplicativo instalado no celular.
Por outro lado, vários destes dispositivos de IoT chegam ao mercado com problemas de segurança e/ou são conectados à rede com seus parâmetros inseguros de fábrica. Então, o resultado disto é que muitos deles já foram virtualmente convocados por hackers. Dessa forma, são usados em ataques contra quaisquer vítimas no ciberespaço. A seguir, voltaremos a falar sobre isto.
Do IloveYou para o Wannacry…
Não! Não é uma história de amor com um final infeliz. Mas, mostra um pouco da mudança nos objetivos de atores maliciosos.
De fato, em pouco menos de duas décadas, vimos atores maliciosos que criavam malwares sozinhos e com o objetivo de satisfazer o próprio ego. Assim, o “ILoveYou” foi um destes casos. A saber, foi um worm criado por um “lobo solitário” cujo objetivo era fazer vítimas e sobrescrever os arquivos das mesmas. De fato, muito danoso, claro. Mas, bem diferente dos objetivos de grupos maliciosos atuais, mais organizados e que funcionam como verdadeiras empresas.
Atualmente, podemos mencionar os operadores de ransomware que, com toda a sua sofisticação, segue extorquindo todo tipo de organização redor do mundo. Por exemplo, vejam o caso do Wannacry, cujo objetivo era conseguir dinheiro.
Temos tecnologias…
Então, com todo este cenário hostil, precisamos deixar de olhar apenas as boas práticas dos importantes frameworks de segurança da informação. Também é preciso passar a observar cuidadosamente as TTPs (Táticas, Técnicas e Procedimentos) dos diversos grupos maliciosos operando pelo mundo. Por exemplo, o MITRE ATT&CK, mapeia esses grupos e suas respectivas TTPs. Assim, a ideia é usar esta informação de inteligência para construir suas proteções. Trata-se do “Threat Informed Defense”. De fato, novos vetores de ataques vêm sendo usados por estes grupos, que são muito criativos e usam e abusam de várias técnicas para fazer o weaponization de arquivos e até mesmo gadgets USB.
Tecnologias de Segurança: Zero Trust
Outro conceito que deve ser usado na proteção das organizações modernas é o “Zero Trust”. Aqui a ideia é criar mecanismos para autenticar, autorizar e monitorar as ações de usuários e dispositivos conectados às redes. Afinal, não podemos apenas confiar nos usuários e nos dispositivos conectados à rede só porque eles fizeram uma autenticação. Assim, são aspectos fundamentais dentro desta realidade:
- Segregação de redes;
- microsegmentação;
- adoção de MFA;
- concessão de acessos baseada no need-to-know e no privilégio mínimo;
- monitoramento contínuo.
Sem dúvida, é preciso estar preparado para quando os controles de prevenção falharem. Assim, criando mecanismos para dificultar a movimentação lateral dos atores maliciosos. Não só isso, mas também evitar que eles consigam escalar privilégios e aumentar a possibilidade de capturá-los em ação, com ferramentas de detecção.
Inclusive, é na movimentação lateral que o ator malicioso gasta mais tempo durante um ataque. Portanto, o nosso grande desafio é dificultar ao máximo que o grupo criminosos atinja o seu objetivo final. Por exemplo, roubar informação, cifrar dados, sabotar sistemas, coletar credenciais privilegiadas, etc.
Outras tecnologias de segurança disponíveis
A saber, para dificultar a movimentação lateral dos cibercriminosos, os diversos vendors de segurança têm trazido importantes tecnologias de segurança. Sobretudo, tratam-se de ferramentas detectivas que observam comportamentos de usuários e máquinas e que implementam técnicas de IA. Por exemplo, machine learning, deep learning e reconhecimento de linguagem natural.
Hoje contamos com todo um arsenal, incluindo:
- tecnologias XDR/EDR (Extended Detection and Response/Endpoint Detection and Response),
- NDR (Network Detection and Response),
- PAM (Privileged Account Management),
- NAC (Network Access Control),
- UEBA (User and Entity Behavior Analysis),
- DLP (Data Loss Prevention),SIEM (Security Incidents and Events Management).
Com certeza, todas estas tecnologias, aliadas às tradicionais e preventivas (Firewall, IPS, IAM, dentre outras), podem ajudar a dificultar as ações do agente externo ou interno malicioso. Sobretudo, que ele consiga facilmente fazer a movimentação lateral, escalar privilégios e alcançar seu objetivo final. Hoje, todas estas tecnologias são complementares e estão mais aderentes ao cenário atual com os inovadores vetores de ataque e com as TTPs dos grupos de ATP conhecidos.