*Por Nikesh Arora
Em vez de desacelerar no final do ano, as equipes de segurança, já sobrecarregadas, trabalharam duro durante as férias de 2020 a fim de garantir que suas companhias estivessem seguras após o ataque à SolarWinds, um fornecedor de software de gerenciamento de infraestrutura de TI. Os invasores conseguiram comprometer a plataforma de gerenciamento e monitoramento de infraestrutura de TI da empresa, chamada Orion, afetando até 18.000 clientes da SolarWinds.
Enquanto o mundo se concentra na lista crescente de organizações que foram comprometidas pelo ataque em questão, há também uma lista crescente de empresas que acreditam que estão indo bem. Muitos adotaram a abordagem de que, se não estiverem executando o SolarWinds ou uma versão específica dele, podem retornar aos negócios normalmente.
Há algo de errado com essa postura de segurança. A atividade cibernética aumentará, não diminuirá. Se todos pensávamos que a segurança cibernética era importante antes, 2020 a tornou ainda mais importante. Sua loja física está fechada, seus funcionários estão todos se conectando de casa – todo o seu negócio acabou de tornar-se digital.
Nesse cenário, a SolarWinds expôs deficiências de infraestrutura nas organizações. É incrível como muitos se esforçavam para descobrir onde estavam executando produtos relacionados e quantos/quais foram afetados. Essa resposta precisa ser mais rápida da próxima vez.
Minha mensagem não é para as empresas que confirmaram que foram violadas – mas para aquelas que estão comemorando por terem escapado do ataque. Faço aqui uma recomendação para modernizarem a segurança cibernética. Existem áreas nas quais as organizações precisam se concentrar imediatamente para se prepararem.
É fundamental que as empresas mantenham uma linha de base completa e atualizada de sua infraestrutura digital. Isso significa ir além de simplesmente verificar se eles executam o SolarWinds. Muitas companhias não sabem tudo o que têm e nem tudo o que têm é atualizado para as versões mais recentes (ironicamente, salvando milhares de clientes da SolarWinds que demoravam para baixar a atualização corrompida). Você não quer gastar dias de seu tempo de resposta a incidentes críticos apenas descobrindo qual é o seu inventário. As organizações devem concluir com urgência uma análise detalhada de todos os seus sistemas, infraestrutura, software, cadeias de suprimentos e superfície de ataque externa. As organizações ágeis não apenas detectarão e evitarão esses ataques no futuro, mas, com essa linha de base, serão capazes de conduzir investigações forenses rapidamente.
Conserte a infraestrutura de verdade. As arquiteturas de TI corporativas precisam ter todos os dados de log, rede e segurança conversando entre si, com software inteligente o suficiente para identificar coisas úteis dentro desses dados. Os ataques da SolarWinds poderiam ter sido interrompidos mais cedo se os produtos fossem mais integrados. As organizações precisam adotar uma plataforma de segurança cibernética que possa detectar e correlacionar milhões de eventos em hosts, redes, firewalls e nuvens em tempo real e, em seguida, implementar detecção e resposta abrangentes. Os hackers usam ferramentas e metodologias altamente eficientes. As organizações precisam adotar a eficiência de uma plataforma de segurança cibernética com Machine Learning para acompanhar o ritmo.
Aceleração da inovação no governo. Habilitar processos mais simples para a adoção de novas capacidades defensivas é um dos pontos para defender as agências governamentais de ataques cada vez mais direcionados e sofisticados. Com uma complexa rede de serviços essenciais, o governo é alvo de atacantes e isso não deve mudar nos próximos anos. É por isso que o Brasil criou a Lei Geral de Proteção de Dados (LGPD) para estabelecer padrões de gerenciamento de privacidade de dados.
Tecnologia é tudo o que funcionou em 2020. Quando a pandemia COVID-19 começou, o acesso remoto manteve empresas e governos operando. Os varejistas se tornaram digitais porque era a única maneira de sobreviver. Mas isso significa que estamos protegendo um perímetro em constante expansão de ataques cada vez mais sofisticados. O ataque ao SolarWinds pelo grupo que chamamos de SolarStorm não foi o último grande ataque cibernético.
E depois?
Ter 100% em prevenção, 100% das vezes é impossível. Em algum ponto, você precisa confiar nos fornecedores e nas atualizações de segurança que eles entregam. Mas contra os bandidos que estão sempre tentando nos superar em inovação, a segurança deve ser mais proativa e preparada para o futuro. Se você não conseguiu evitar um ataque em tempo real, precisa detectar e investigar em tempo real. Os dias de segurança fragmentada e longos ciclos de investigação ficaram para trás. Precisamos de bons dados e tecnologias avançadas, como Machine Learning, para progredir.
Agora não é hora de dar um suspiro de alívio por não ter sido atingido. Hackers sofisticados passam anos planejando campanhas. Devemos dedicar recursos semelhantes às nossas defesas para que, inevitavelmente, quando o próximo ataque vier, não estejamos lutando para reconstituir o que aconteceu.
*Nikesh Arora é CEO e presidente da Palo Alto Networks