PortuguêsEnglish

Notícias Segurança Cibernética em tempos de WannaCry, e agora?

Publicado em 15 de Agosto de 2017

Segurança Cibernética em tempos de WannaCry, e agora?

(Rodrigo Fragola fala sobre a falência das estratégias usuais de segurança cibernética baseadas em velhas dualidades, como risco físico e virtual ou risco interno e externo)

O especialista em segurança cibernética Rodrigo Fragola, que é CEO da Aker N-Stalker e Vice-Presidente de duas entidades da indústria de TI lançou uma espécie de “alerta vermelho” no congresso internacional de segurança cibernética do Gartner, que terminou dia 9 último em São Paulo.

Na visão de Fragola, a indústria de segurança não está conseguindo acompanhar a rápida evolução tecnológica do cibercrime, nem o aumento dos riscos ocasionados pela expansão da chamada “terceira plataforma”, que é o cruzamento da computação em nuvem com a mobilidade digital interativa e com a chamada “big data”.

“Não faz muito tempo, o mundo inteiro assistiu à avalanche virtual provocada pelo WannaCry, um tipo de ameaça baseada em técnicas de invasão elementares, mas que, ainda assim, foi capaz de sequestrar os servidores de grandes empresas globais.

E isto acontece porque o cibercrime vem aprofundando a automação dos ataques e empregando, cada vez melhor, as estratégias de uso e reuso de artefatos lógicos para enganar as defesas”, comenta.

Segundo ele, embora uma falha do Windows venha sendo apontada como o vetor primário para o sucesso do WannaCry, o ataque deixou clara a existência de um grande número de empresas ainda sem processos preventivos para varredura, detecção e correção de vulnerabilidades que as permitam se adiantar a um ataque maciço.

“Mesmos as empresas mais preparadas ainda utilizam conceitos de gestão de risco estruturados em práticas muito lentas. Este é o caso dos ‘pentests’ periódicos (ataques controlados e levados a efeito pelos chamados hackers éticos). São práticas envolvendo o topo do conhecimento hacker, mas hoje podemos dizer que são excelentes apenas para efeito de compliance, isto é, para garantir a auditoria e o cumprimento de formalidades regulatórias.

Mas no que diz respeito à segurança em si, em muitos casos, estes testes funcionam quase como uma autópsia, e não como instrumentos para se antecipar e coibir o risco”, comenta o Fragola.

Ele destaca que, há cerca de 20 anos, a indústria de segurança vem se debatendo de forma semelhante com problemas já bastante conhecidos, como é o caso dos ataques Zero-Day (exploração e uso criminoso de vulnerabilidades do tipo backdoor).

Em geral, os técnicos de segurança conseguem encontrar e mapear os pontos vulneráveis, mas a janela de tempo até a correção do problema acaba se convertendo, ela mesma, na maior vulnerabilidade atual, pois viabiliza que a informação da vulnerabilidade seja exposta, podendo ser explorada por um grande número de agentes.

No caso do WannaCry, lembra o executivo, houve uma janela em torno de 3 meses entre a descoberta da brecha e o ataque em massa.

Automatizar os testes é a saída

Fragola propõe que tecnologias de gestão de vulnerabilidades e de teste automatizados devem ser empregadas tanto nos ambientes em produção quanto nos processos de DevOps (desenvolvimento e testes de software). Esta prática, considera ele, permite atingir uma maior abrangência na varredura e maior periodicidade dos testes.

“Diferente de um pentest, que é geralmente restrito, lento e caro, os testes automatizadas são mais baratos, podem ser usados em todos os ativos do cliente e podem ser repetidos várias vezes”.

Na visão do especialista, as varreduras automáticas mantém o usuário constantemente informado sobre os riscos, mitigando os níveis de exposição, principalmente para os ativos mais importantes do negócio, e submetendo-os à política gestão de risco (GRC) da companhia. Com isto, argumenta, é possível levar a termo estratégias mais eficazes de correção e ainda diminuir a janela de risco.

“Para as aplicações web, podemos empregar o conceito de “Virtual Patch”, pelo qual aplicamos um filtro no sistema de proteção da aplicação e evitamos que um bug possa ser explorado antes de ser detectado e corrigido, diminuindo, também aí, a janela de risco.

“Na sociedade conectada e regida por inteligência artificial, não há mais lugar para soluções excessivamente artesanais e lentas como é o caso dos pentest”, conclui Rodrigo Fragola.

x