Maior complexidade e interdependência entre os sistemas dá aos invasores mais oportunidades para danos globais generalizados
Nos últimos dois anos, o aumento de ataques de ransomware de alto custo e revelações de infecções prejudiciais na cadeia de suprimentos de software elevaram a segurança cibernética ao topo da agenda do governo. Ao mesmo tempo, as corporações norte-americanas e até mesmo o público em geral despertaram para a nova gama de perigos digitais representados por atores estatais e organizações criminosas.
A natureza intrincada das ameaças à segurança cibernética que enfrentamos agora pode ser diferente dos desafios que enfrentamos no passado. “Temos essa complexidade e interdependência cada vez maiores”, disse Window Snyder, CEO da Thistle Technologies. “Portanto, as oportunidades [para os agentes de ameaças] estão crescendo mais rápido do que somos capazes de mitigá-las”.
Ao contrário de 20 anos atrás, quando até mesmo sistemas extensos de TI eram comparativamente autônomos e simples, as interdependências dos sistemas agora tornam o tratamento e a defesa contra ameaças uma proposta muito mais difícil. “O problema central aqui é a complexidade e nossa interdependência”, disse Snyder. “Isso é algo do qual não vamos nos afastar porque nos fornece flexibilidade e funcionalidade e todas essas outras funções críticas de que precisamos. Temos um problema crescente aqui”.
Uma nova variável lançada neste “mix digital” é o crescimento meteórico do ransomware, o que faz parecer que os ataques cibernéticos estão piorando. “Acho que os atacantes de ransomware encontraram um modelo de negócios ilegítimo perfeitamente bem-sucedido”, disse Jonathan Welburn, Pesquisador da Rand Corporation. “Sempre que há um ataque em grande escala, vemos que [as vítimas] emitem um pagamento e isso resolve o problema. É uma boa propaganda para esse modelo de negócios”.
Jay Healey, Pesquisador Sênior da Universidade de Columbia, disse que, em certo nível, os riscos de segurança cibernética não mudaram em relação ao que eram há duas décadas. “Já estivemos aqui antes”, disse ele. “Vinte anos atrás, digamos, do final dos anos 90 até talvez 2003, era relativamente rotineiro ver até mesmo ataques em grande escala derrubando partes substanciais da Internet”. Vírus e worms como Nimda, Code Red, SQL Slammer, Melissa e I Love You eram as principais ameaças existentes naquela época.
Desde então, “a Microsoft fez grandes mudanças. Outros fizeram grandes mudanças, mas muitas das vulnerabilidades fundamentais ainda estão lá”, argumentou Healey.
Mesmo que alguns grandes players de tecnologia, como a Microsoft, tenham melhorado suas posturas de segurança, Snyder apontou o que ela considera a estagnação geral da indústria de segurança cibernética como “o maior monstro debaixo da cama”. Desde os primeiros dias, quando worms e vírus estavam prestes a prejudicar partes significativas da web, “simplesmente não fazíamos nada como uma indústria”, disse. “Não implementamos tecnologias melhores. Não melhoramos a mitigação dessas estratégias. Não reduzimos nossa superfície de ataque. Não trabalhamos com problemas de corrupção de memória”.
Além disso, a superfície de ataque hoje não é apenas muito mais extensa do que antes, mas também inclui dispositivos de Internet das coisas (IoT) que, ao contrário de computadores mainframe e laptops e até mesmo dispositivos móveis, são difíceis de atualizar do ponto de vista da segurança. “Muitos desses dispositivos não têm a quantidade de memória ou armazenamento ou recursos de CPU” necessários para acomodar as atualizações de segurança, disse Snyder. “É uma grande oportunidade para os invasores. É muito difícil para as pessoas que gerenciam esses dispositivos conseguirem até mesmo inspecioná-los e reconhecer se estão realmente comprometidos ou se estão usando o código que pretendíamos que executassem na implantação. Este é o grande monstro debaixo da cama para mim”.
Healey disse que a interconexão onipresente hoje de setores de infraestrutura crítica com redes digitais representa uma ameaça mais sombria do que os primeiros Trojans e vírus. “Vinte anos atrás, worms estavam apenas removendo coisas feitas de silício e coisas feitas de uns e zeros porque isso era tudo o que estava realmente na internet. Agora, você também está retirando concreto e aço. Acho que vamos olhar para os anos 2000 e 2010 como a idade de ouro, quando ninguém estava realmente morrendo por causa disso”.
Outra mudança significativa de 20 anos atrás é a natureza mutante do crime cibernético, disse Kevin Mandia, CEO da FireEye. “Quando você olha para os criminosos, acho que provavelmente há 20 anos eles tinham que ser muito técnicos”. Agora, as barreiras à entrada do cibercrime são baixas e o cibercrime está se tornando um serviço. Além disso, ao contrário do passado, mais Estados-Nação estão entrando na arena do crime cibernético. “E isso para mim é preocupante”, disse ele.
A atividade de crime cibernético mais lucrativa de hoje é o ransomware, que promove ameaças mais perigosas e a necessidade de defesas coletivas mais inovadoras. “Estamos vendo relações cada vez mais confusas entre os atores de Estado-Nação e os criminosos”, disse Mieke Eoyang, Subsecretária Assistente de Defesa para Políticas Cibernéticas do Departamento de Defesa. “Estamos particularmente preocupados com os Estados-Nação que criam um porto seguro e um ambiente confortável para os criminosos operarem. Isso é algo que temos que começar a abordar diretamente com essas nações”.
Dadas todas as mudanças rápidas no cenário de ameaças, o verdadeiro desafio é entender o risco. “No momento, não acho que o governo tenha a capacidade de entender os riscos”, disse Sean Joyce, Líder Global e dos EUA em segurança cibernética, privacidade e perícia forense da PwC EUA. “E não acho que o setor privado tenha a capacidade de entender os riscos. Portanto, acho importante para ambos os lados realmente dizer: Ok, o cenário de ameaças está mudando, mas o que isso significa para nós?”
Outra força significativa que alterou rapidamente o risco cibernético sistêmico é a Covid-19. O fechamento abrupto de locais de trabalho e o subsequente bloqueio de todos em suas casas forçou mudanças quase instantâneas e fundamentais na forma como vastas camadas da sociedade gerenciam o risco de segurança cibernética. “Literalmente, tivemos que reconfigurar a rede em tempo real e adicionar capacidade em tempo real”, disse Noopur Davids, CISO da Comcast.
A crise da Covid-19 também atraiu repentinamente a atenção dos cibercriminosos para novos setores. “Nunca fomos o alvo, o verdadeiro alvo”, disse Marene Allison, Vice-Presidente e CISO da Johnson & Johnson. “Ninguém nunca se importou conosco até a criação das vacinas. Isso mudou o perfil de ameaça da saúde em um segundo, da noite para o dia”.
Mesmo o setor financeiro altamente protegido teve que se esforçar para mudar seu perfil de risco digital rapidamente, disse Ron Green, CSO da Mastercard. “Vimos um aumento maciço nos pagamentos sem contato naquele segundo trimestre” de 2020. Como resultado, entregamos mais soluções sem contato aos clientes do que no ano anterior [durante o segundo trimestre de 2020]. Cinco vezes mais”.
