*Por Rangel Rodrigues
2023 começou a todo vapor e ataques de ransomware e phishing continuam causando estragos nas organizações. A exploração de falhas em software como Zero Day se tornou um pesadelo aos executivos. Exemplo disso é o recente ataque em massa aos sistemas VMware, em que muitos servidores virtuais na Europa e nas Américas ficaram indisponíveis.
Para mitigar esses tipos de ameaças, os controles de Patch Management e Awareness Security ainda são primordiais, isso é indiscutível! Mas o que vemos é que essas práticas se tornaram obstáculos aos profissionais de Cibersegurança.
Previamente, tenho que ser sincero e dizer que sua empresa, de alguma forma, pode sofrer um incidente nos próximos anos, seja de pequena ou grande proporção. Parece estranho esta afirmação, não é? Pois é real que a combinação de Cyber Risk Management e Patch Management seja um ponto de precaução e de sobrevivência no cenário atual.
Além disso, creio que chegou a hora de a organização reconhecer que o risco pertence ao negócio também. O papel dos Cyber Risk Managers, CISOs e equipes de Cibersegurança agora envolve entender o cenário cultural da organização e agir com assertividade, conscientizando os executivos da importância de tratar os riscos. Não se pode mais usar o processo de gerenciamento de risco apenas como uma forma de entregar um produto sem a devida proteção.
Aonde quero chegar? Proponho mentalizar os cenários complexos que todo departamento de Cyber Risk tem encarado, para enfim, saber como mitigá-los. Considera-se estes pontos como obstáculos no contexto atual:
1- Stakeholders e IT Owners vão continuar usando a gestão de risco como um trampolim para lançar seus produtos. Alguns riscos serão efetivamente remediados no prazo concordado, mas outros vão merecer uma atenção mais profunda.
2- Mesmo com processos de SAST, DAST, IAST, Pen Testing, Bug Bount, entre outros, os desenvolvedores vão continuar escrevendo linhas de código vulneráveis, especialmente pelo uso de componentes ou libraries que possuam falhas sem updates. Risk Suppressions e outros controles como WAF, treinamentos e frameworks OWASP podem ajudar, mas lembremos que a agilidade é a arte principal do negócio. O DevSecOps está ajudando nisso?
3- Há 20 anos atuo em Cibersegurança. Lembro que um dos primeiros worms, o CodeRed, foi responsável por infectar milhões de servidores web Microsoft IIS em 2001, deixando muitos sistemas inacessíveis por horas devido à falta de correção. Apesar disso, atualmente, o pecado da falta de um patch, um erro de configuração no S3 bucket, a ausência de criptografia e/ou a falta de classificação da informação assertiva continuarão sendo dinamites para os times de Cyber Risk.
4- As equipes estão cada vez mais reduzidas devido à automatização, seja em desenvolvimento, operação ou Cyber. Mas também pela falta de profissionais capacitados. Portanto, as afirmações de TI continuarão sendo desculpas para não aplicar um patch, para não criptografar dados sensíveis ou para não implementar um WAF. Chegou mesmo a hora de considerar a automatização de processos.
5- Neste ano, é evidente que a Inteligência Artificial está em alta, especialmente devido ao lançamento do ChatGPT. Você já experimentou perguntar sobre algum malware como Prilex destinado à ATM/PoS, ou como mitigar um ransomware? As respostas sobre qual controle deve-se aplicar serão coerentes. Na realidade, já usamos soluções de WAF, IPS e Zero Trust com IA, e mesmo assim, as empresas continuam patinando. Já recebeu um pedido para analisar Chatbots que capturam informações sensíveis como PII/PCI? Qual a sua posição em Cyber Risk olhando para o Risk Appetite da sua organização?
6- Em situações críticas nas quais precisamos apresentar a saúde real do produto, é necessária a aplicação de uma análise de risco, em que identificamos também impactos, probabilidades e estratégias de mitigação. A técnica de análise de risco qualitativa é eficaz quando não temos muito tempo, mas a aplicação de uma análise quantitativa é um diferencial quando apresentamos estimativas baseadas em número.
Com um time treinado e ambas as técnicas aplicadas em conjunto, o resultado é o Cyber Risk superando as expectativas da organização, alinhado com o Risk Appetite e gerando confiança, eficiência e governança sobre risco. Se você ainda não usa, explore a metodologia FAIR.
7- Riscos em cloud e multicloud são obscuros. Para o time de tecnologia, a nuvem ainda é uma tecnologia nova e a mudança massiva de on-premises para cloud tem sido o objetivo das organizações para redução de custo. Mas em contrapartida, os especialistas em configuração de serviços em cloud (AWS, Azure, GCP, etc) têm esquecido de fazer o básico de higiene.
Isso inclui a falta de segregação de ambientes de desenvolvimento e produção, VPCs que segregam serviços em operação, configurações de segurança em containers, S3 bucket public, ausência de patch e criptografia, MFA etc. Estes problemas trazem vilões desconhecidos e dores de cabeça para os Cyber Risk Managers.
Além do mais, o controle de acesso é o principal alvo de ataques em cloud. Mas sem a devida aplicação de controles de landing zone e cloud Governance, este assunto não será tratado como prioridade. Em outras palavras, não adianta ir para cloud sem uma ferramenta apropriada, sem treinar os colaboradores e sem preparar o ambiente para uma integração efetiva com DevSecOps, permitindo mitigar o problema de patch management com mais eficácia.
Eu posso mencionar ainda outros pontos importantes, mas meu intuito neste artigo é pensar onde estamos, para onde vamos e como iremos chegar ao nosso destino.
Como profissionais de Cyber Risk, temos o propósito de ajudar a organização a sobreviver. E para isso temos as ferramentas e estratégias apropriadas para usar contra a próxima ameaça, seja ela um Zero Day, um incidente de fraude ou um Finding de auditoria. Acredito que tudo isso vai continuar em evolução, então resta a nós evitarmos distrações, nos tornando mais articulados e sentinelas!
Há um provérbio que diz: “Se o sábio não edificar a estrutura da casa, não adianta nada trabalhar para construí-la. Ou seja, se não proteger o que realmente precisa ser protegido”, não basta aos guardas vigiarem. Pensem na arquitetura do ambiente e boa sorte!
*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP, CCSK, Certified in Cybersecurity, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é Senior Security Risk Engineer para a uma empresa financeira nos Estados Unidos.
