A cibersegurança está hoje associada a um novo paradigma, que estende os perigos e as vulnerabilidades a novos espaços físicos e virtuais, muito devido ao chamado "novo normal" laboral.
Os ataques são cada vez mais complexos, os utilizadores continuam a ser a principal porta de entrada das ameaças, mas as empresas até podem capitalizar os novos ciberperigos. Para isso, deverão encarar a segurança como um investimento e aproveitar essa escolha para transmitir confiança aos clientes.
Há hoje um novo paradigma na cibersegurança. O que mudou?
O awareness das organizações. Antes, os departamentos de cibersegurança eram vistos como um bloqueio a uma série de ações dentro de uma empresa. O facto de, no último par de anos, ter existido um número elevado de data leaks, com informação confidencial tornada pública, acabou por trazer a questão da cibersegurança para o nível do board. Hoje, as equipas de cibersegurança são vistas como essenciais para acrescentar valor ao negócio das organizações, no sentido em que mostram uma prática de proteção da organização, que acaba por proteger também os clientes. A cibersegurança deixou de ser uma âncora para se tornar num enabler do negócio.
Quais os principais tipos de ameaças a surgir nos últimos anos?
As mais graves e mediáticas prendem-se com ataques significativos de ransomware, que são cada vez mais fáceis de executar e podem parar por completo as operações de uma empresa, com custos muito elevados.
Isto acontece sobretudo porque as pessoas estão mais tempo online, são mais descuidadas e as empresas não têm os cuidados de segurança na mesma proporção da exposição que as pessoas provocam. Por exemplo, é muito comum usarem as mesmas credenciais na empresa e nas redes sociais… Há também um aumento muito acentuado de ataques fileless, que se realizam sem a utilização de ficheiros. Já existem algumas ferramentas para os detetar, mas isto é sempre o jogo do gato e do rato…
As pessoas continuam a ser o denominador comum nessas vulnerabilidades?
As pessoas representam a maior superfície de ataque. Se eu quiser atacar uma empresa não o vou fazer diretamente ao seu datacenter; é mais fácil fazer uma pesquisa numa rede social, tentar perceber o que as pessoas andam a fazer e criar um domínio semelhante ao da empresa visada. Depois é só lançar uns emails às pessoas que mostraram ter comportamentos mais vulneráveis.
Como são normalmente resolvidos os ataques de ransomware?
Ou uma empresa tem backups atualizados e um sistema de gestão de backups preparado e operacional, ou dificilmente consegue recuperar os sistemas em caso de ataque, embora existam algumas ferramentas de decifragem disponíveis, em particular através do projeto No More Ransom (www.nomoreransom.org/) do qual a Claranet faz parte.
Uma das mudanças mais notória é o aumento dos ataques às PME. Que justificação encontra?
Será mais fácil atacar uma pequena fábrica e parar a sua produção do que entrar no site de um grande banco e fazer uma transferência. Primeiro, porque as PME normalmente não têm especialistas nem a maturidade necessária do ponto de vista da segurança; depois, porque muitas PME ainda não têm o tal awareness necessário.
A nova geração de soluções passa pela monitorização em tempo real?
Também. Existem soluções que chamamos de behavioral analysis e que nos permitem fazer uma monitorização em tempo real. Basicamente faz-se uma análise aos comportamentos típicos de determinado utilizador, num determinado departamento de uma empresa, em busca de padrões anómalos. Se esse comportamento for muito diferente do que é normal, provavelmente significa que há um ataque.
A Claranet tem apostado em dois tipos de soluções de proteção. Quais são?
Uma delas é a proteção da infraestrutura dos clientes. A Claranet usa o seu Security Operations Center (SOC) para monitorizar os ativos que são propriedade dos clientes e que estão sob o seu controlo, como firewalls, aplicações e servidores. Neste SOC é usada uma solução de SIEM tradicional, mas também existe capacidade para criar serviços de monitorização sobre o Microsoft Sentinel, propriedade do cliente. Outra solução disponibilizada chama-se Pulse e já olha para fora da infraestrutura do cliente. Por exemplo, para credenciais ou ativos digitais expostos (um domínio semelhante que é criado, por exemplo), tudo coisas que estão fora do controlo do cliente.
O que devem as empresas fazer para enfrentar a nova geração de ameaças?
Uma vez que não há especialistas em cibersegurança para todas as empresas, a solução está no outsourcing da monitorização da segurança. Ao fazerem-no, as empresas poderão focar-se nos seus negócios e melhorar a sua postura de segurança, já que estes serviços pressupõem o envio de relatórios periódicos que incluem medidas de melhoria. Por outro lado, a formação dos colaboradores é um importante caminho a seguir, mas essa formação deverá ser contínua e, de preferência, ser logo integrada nos processos de onboarding dos empregados. Quanto mais os colaboradores estiverem envolvidos nos processos de segurança, mais protegidas estarão as empresas.