O número de vulnerabilidades de segurança da informação está crescendo a um ritmo estável desde 2018. Foram 18.358 relatadas em 2020, aumento de 6% em relação às 17.305 de 2019, que por sua vez cresceram quase 5% frente as 16.511 de 2018. Desde 2015, no entanto, quando a Tenable começou a compilar esses dados, a quantidade de vulnerabilidades e exposições comuns (CVEs, na sigla em inglês) aumentaram a uma taxa média de 36,6%.
Esses dados fazem parte de um relatório – chamado ‘Retrospectiva do cenário de ameaças 2020 – a ser divulgado pela empresa de segurança e obtido em primeira mão pelo IT Forum. O estudo é tanto estatístico quanto técnico, e tem entre os objetivos munir gestores de negócio e técnicos das empresas – o relatório não é exclusivo para clientes da Tenable – de ameaças, onde estão e como combatê-las.
Segundo a Tenable, o grande desafio para as empresas não é ser capaz de corrigir toda essa imensa lista de vulnerabilidades, mas sim definir quais devem ser priorizadas e que riscos podem ou não ser assumidos.
“À medida que se expande o uso da tecnologia como um todo, novas vulnerabilidades vão aparecendo. São 18 mil novas, mas têm empresas com mais de cem mil delas, pois uma determinada vulnerabilidade pode estar em vários ativos diferentes”, explica Arthur Capella, country manager da Tenable no Brasil. “Isso só reforça a importância de as empresas terem processos que consigam filtrar essas vulnerabilidades.”
Leia mais: Brasil teve 8,4 bilhões de tentativas de ataques cibernéticos em 2020
O relatório foi compilado com base em eventos analisados pela companhia. Também foram usadas informações de avisos publicados por órgãos governamentais dos Estados Unidos ao longo do ano. Dados de violação foram compilados por meio da coleta de informações publicamente disponíveis em veículos de notícias nacionais e locais, relatando violações de dados de janeiro a outubro de 2020.
Arthur Capella, country manager da Tenable no Brasil (foto: Divulgação)
Segundo Capella, o crescimento do número de vulnerabilidades, apesar de em certa medida natural, também está relacionada à velocidade com que os desenvolvimentos são feitos atualmente – o que os leva a aceitar maiores riscos. Outro fator é o nível de complexidade dos sistemas: são milhares de linhas de código.
“Por outro lado, sim é importante que os desenvolvedores adotem o security by design [segurança por design]. Quando se começa a desenvolver algo novo, que se tenha esse cuidado com a segurança”, explica o especialista. “É uma disciplina que precisa estar na cabeça dos desenvolvedores.”
Claro que, de outro lado, há o aumento acelerado do número de ameaças e de hackers procurando portas de entrada nos sistemas corporativos. O volume de ambos aumentou significativamente desde o início da pandemia, e eles estão cada vez mais profissionais, e buscando explorar novas vulnerabilidades.
O aumento explosivo (e emergencial) do home office levou as “gangues virtuais”, como chama Capella, a voltar suas atenções para vulnerabilidade nas VPNs – redes privadas virtuais, usadas pelas empresas para assegurar acessos feitos de fora da rede corporativa. Não por acaso algumas das mais brechas mais exploradas em 2020 foram de VPN, principalmente aquelas que não foram corrigidas rapidamente durante o ano.
“Entre as cinco principais vulnerabilidades do ano, quatro são relacionadas a VPN e acesso remoto. Porque começou a ter muito mais gente acessando, e a gangue digital tem uma ótica econômica muito forte”, explica o especialista. “Não são mais hackers brincalhões que querem ficar famosos. São corporações estruturadas para ganhar dinheiro e usam lógica corporativa. Vão ganhar dinheiro com menos esforço.”
Vulnerabilidades em VPNs são exploradas inclusive através de kits de softwares (toolkits) vendidos prontos na chamada Deep Web. E os hackers vão, normalmente, procurar o caminho da lógica economia. Exatamente o que se encontra quando muitas pessoas passam a usar VPNs com falhas conhecidas, todas ao mesmo tempo.
“Empresas com mais de 100 mil pessoas foram para casa em um período muito curto, se adaptando com velocidade muito grande. Mas quando se faz tudo muito corrido, claro que se tem mais riscos”, comenta. “É um ambiente mais propício de ser atacado e as gangues aproveitaram e foram com tudo.”
Isso quer dizer que seria melhor abandonar as VPNs e migrar para outros tipos de acesso seguro? Para Capella, apesar de existirem algumas maneiras de se proteger no home office, as VPNs também são uma opção válida. O importante, diz, é ter uma proteção, seja qual for, contanto que o time responsável pelo gerenciamento conheça a solução e seja capaz de integrá-la e utilizá-la para reduzir riscos.
“É importante estar de olho em vulnerabilidades naquele produto. Se está atendendo, ‘tá’ valendo! É importante ter proteção que atendam ao nível de maturidade [da organização], mas mais que um produto é preciso ter equipes capacitadas e processos disponíveis. Não adianta nada ter um super antivírus se não se usa tudo que está ali, se não tem processo para utilizar, implementar, medir resultados e ver se evoluiu ou não”, ressalta.
Como nem sempre é fácil para uma organização contar com um time capacitado para essas necessidades, Capella diz que os provedores de serviços gerenciados de segurança (os MSSPs) terão um mercado fértil a explorar nos próximos anos. Essas empresas tem mais recursos – inclusive humanos – para dar respostas operacionais mais rápidas a incidentes e vulnerabilidades, deixando aos clientes a estratégia e a gestão de processos.
No relatório, foram analisadas violações divulgadas publicamente entre janeiro e outubro de 2020. Nos primeiros 10 meses do ano passado houve 730 ocorrências, resultando em mais de 22 bilhões de registros expostos.
As áreas de saúde e educação sofreram a maior parte das violações de dados analisadas (25% e 13%, respectivamente). Governo (12,5%) e tecnologia (15,5%) também foram alvos frequentes.
“São áreas que naquele momento [pandemia] foram super afetadas. Imagina como estavam os hospitais, a confusão que estava na pandemia. Mesmo nas universidades e educação como um todo, todo mundo foi para casa”, lembra Capella. “Foi diferente para o setor financeiro, que é ultraprotegido e já é alvo normalmente.”
Para o executivo, nos dois setores, de novo, valeu a lógica econômica: muita gente passou a usar softwares de colaboração com falhas conhecidas. Além disso, o ambiente acadêmico é naturalmente complexo, com muitos usuários e redes convergindo. Na saúde, os dados e sistemas são muito críticos e valem muito.
Apesar de as organizações nas duas áreas estarem evoluindo em termos de segurança da informação, elas ainda não têm o mesmo patamar de maturidade do segmento financeiro, por exemplo.
