O evento VeeamOn Tour de 2024 contou com a presença de Jason Buffington, Vice-Presidente de Estratégia de mercado da empresa e responsável pelos estudos Data Protection Trends Report e Ransomware Trends Report. Em entrevista para a Security Report, o executivo ressaltou os dados de reincidência de ransomware, em que 26% das empresas sofreram ao menos um ataque por trimestre, mais do que os que não teriam sofrido nenhum ataque.
De acordo com Buffington, uma das causas mais importantes para essa reinfecção é utilizar backups não testados para tentar retomar as operações corporativas rapidamente. O problema, segundo ele, é que a restauração utilizada pode já estar comprometida pelo ransomware, e se não for testada antes, a empresa deixará uma porta aberta para que o invasor volte a acessar o ambiente.
Para que esse cenário se reverta, o Vice-Presidente reforça o discurso da Veeam de que os times de Cibersegurança e de infraestrutura de Backup precisam permanecer mais próximos. “A cultura relacional das equipes são bastante diferentes, embora tenham essencialmente o mesmo objetivo. Uma das medidas que nós, como mercado, podemos tomar é oferecer ferramentas e soluções amplas, que possam abarcar demandas de ambas”, disse ele.
Security Report: Um dos dados mais impactantes do Ransomware Trends Report diz respeito à taxa de reincidência, em que mais empresas são atacadas trimestralmente do que aquelas que acreditam não terem sido atacadas. O que está havendo nesse caso? Por que essa taxa tão alta de ataques recorrentes?
Jason Buffington: Essa é uma questão importante. Os agentes hostis, com frequência, agem como valentões de escolas primárias: ao perceber que alguém está disposto a entregar o dinheiro do almoço após ser intimidado, eles o farão consistentemente até que o cenário deixe de ser favorável. Então, quando falamos que há uma reincidência no ataque de ransomware, não significa necessariamente que foi um agente hostil diferente, nem que o mesmo atacante forçou uma segunda invasão.
Talvez a maior causa dessa reinfecção seja a necessidade de se retomar rapidamente as operações via repositório de backups. O problema é que 63% das empresas não possuem meios para testar se os backups seguem íntegros, por testagem em sandbox, por exemplo. Isso faz a companhia correr o risco de se reinfectar através de repositórios que já carreguem o comprometimento do primeiro ataque.
SR: Isso mostra que manter estruturas de backup não é mais suficiente para preservar a continuidade do negócio, correto? Por que as empresas ainda têm esse conceito errado?
JB: Exatamente, e uma das nossas lutas diárias é convencer o mercado em geral que precisamos avançar justamente na proteção dos próprios backups, e não contar com elas como uma estrutura de segurança por si. De fato, manter estruturas de proteção do backup não é algo fácil, mas é extremamente necessário, pois o plano dos invasores é exatamente comprometer esse “salva-vidas”. 96% dos ataques miraram os repositórios de backup, e 76% deles foram bem-sucedidos nessa ação.
SR: E a pesquisa também ressalta que o custo operacional de um ataque vai muito além do “dinheiro do almoço”. As empresas estão cientes desse impacto adicional?
JB: Danos à marca, produtividade e integridade da companhia são as primeiras grandes consequências que vem à mente nesses ataques. Por isso, sinto que as organizações têm percebido que tais incidentes se tornam bem mais caros do que se imagina, e para recuperar não apenas o dinheiro, mas toda a reputação afetada, será necessário um longo tempo. Sofrer reincidentemente novos ataques apenas multiplica esse custo e torna ainda mais difícil retomar o padrão anterior.
Coordenação na resposta a incidentes
SR: O reporte da Veeam enfatizou a falta de alinhamento entre os times envolvidos nas operações de respostas a incidentes. Como vocês veem esse cenário?
JB: O Ransomware Trends usa um conjunto de entrevistados formado igualmente por líderes de Segurança, de Backup e de Business, e isso nos permite perceber como cada grupo de executivos entende este cenário. Os executivos de negócio, por exemplo, são os que perceberam problemas de relacionamento das equipes. Já os outros dois grupos têm percepções muito similares sobre isso e se veem como subvalorizados.
Assim, podemos dizer que há um cenário de líderes de negócio com uma visão – por falta de termo melhor – inocente da relação dos times de tecnologia e culturas relacionais diferentes entre as equipes de Cyber e Backup, que não os permite se verem como aliados, mesmo que tenham um mesmo objetivo a cumprir.
SR: Nesse sentido, Quais consequências esse relacionamento conturbado pode gerar e quais transformações você acredita que sejam mais críticas?
JB: Na minha visão, o problema mais claro é que esses três grupos acabam divididos em silos cada vez mais isolados um do outro, o que obviamente dificulta uma reação coordenada de resposta a incidentes. No fim, isso também contribui largamente para que a empresa sofra a reincidência de ataque que comentamos, pois fica mais complicado de detectar as brechas de Segurança na arquitetura e qualquer tentativa de testar os backups se torna simplesmente inviável.
Curiosamente, uma das medidas que nós, como mercado, podemos tomar para ajudar é oferecer ferramentas e soluções mais amplas, que possam abarcar as demandas tanto de Security quanto de Backup. Esse desafio foi apontado pelos líderes, pois cada parte ter o seu próprio conjunto de produtos gera uma complexidade desnecessária. Então podemos dizer que, na Veeam, temos buscado entregar uma estrutura mais ampla de resposta a incidentes, especialmente por parcerias estratégicas.
SR: E quanto aos C-Levels, como CISOs, CIOs e CEOs? O que eles podem fazer para mudar como essa aproximação é feita?
JB: No caso deles, a ênfase em mudança de cultura é crucial, e nesse ponto, uma coisa que gosto muito de reforçar, e que todos os líderes executivos podem fazer melhor é celebrar quando as coisas dão certo e não terem medo de compartilhar quando as coisas dão errado. No geral, um ataque de ransomware depende de apenas um dia para ocorrer, mas nos outros 364 dias do ano, os profissionais de Cyber e Backup trabalham intensamente para que esse único dia não se multiplique, e essa realidade nunca é celebrada por ninguém.
Quando uma ação correta ou bem-feita não é celebrada, como é o caso desses profissionais, ela não é valorizada e não é incentivada a se repetir. Isso cria a relação necessária entre as partes para valorizarem mais um ao outro e abram espaço de diálogo para apontar eventuais falhas ou erros. Isso parte da gestão dos C-Levels, que tem o dever de saudar o sucesso de seus times e os incentivam a apontar erros que precisam ser corrigidos.
Mudanças no mercado de backup
SR: Quais são as suas expectativas para o futuro, considerando os dados do reporte desse ano? Podemos esperar resultados melhores para a edição de 2025?
JB: Como não entrevistamos clientes da Veeam na pesquisa, conseguimos coletar percepções mais realistas do mercado. Descobrimos que 54% dos entrevistados pretendem mudar de provedora de backup em 2024/25. Isso indica certa insatisfação com as soluções atuais e o entendimento de que, se nada mudar, as taxas de ataque devem seguir piorando. Teremos agora que permanecer atentos se essas mudanças serão, de fato, levadas à cabo pelas organizações e se elas resultaram em melhoras efetivas na proteção de dados.
SR: Nesse caso, quais medidas podem ser tomadas para as organizações para que esses dados sejam menos críticos no próximo ano, especialmente em mercados emergentes como os da América Latina e do Brasil?
JB: Eu acredito que, nesses locais específicos, ainda há uma barreira de capacitações que é ainda mais urgente de se quebrar que na América do Norte ou Europa. Nesse sentido, todas as vendors, incluindo a Veeam, tem uma função importante em ajudar na redução dessa demanda por capacitações oferecendo meios simplificados de lidar com todas as nuances da infraestrutura de tecnologia e, especificamente, de Segurança e continuidade de negócios. Nesse ponto, temos focado em construir parcerias que viabilizem esse melhor relacionamento com a sua estrutura e, assim, permitir que mesmo as brechas mais complexas possam ser administradas melhor.
