Por Daniel Lacchini* – Está claro para todos os CIOs e CISOs: a organização está sob ataque, foi invadida e, dentro do ambiente digital da empresa, escondem-se ameaças controladas por gangues digitais. Na era da nuvem híbrida e distribuída, o quadro fica ainda mais complexo. O estudo State of Application Strategy 2023, realizado pela F5 a partir de entrevistas com 1000 líderes, incluindo 92 brasileiros, demonstra que 85% gerenciam ambientes variados, incluindo implementações on-premises, no Edge Computing e em nuvens públicas como Microsoft Azure, Google, AWS. Mais de 20% dos entrevistados rodam aplicações e APIs em seis ambientes diferentes.
Prejuízos em cascata podem ser provocados por ataques focados nas vulnerabilidades deste contexto. É o que mostra o relatório Custo da violação de dados, construído pelo Instituto Ponemon por encomenda da IBM e divulgado em agosto de 2022. Esse estudo analisou violações de dados reais enfrentadas por 550 organizações em todo o mundo, incluindo 43 empresas brasileiras, em 2022. Cada violação de dados no Brasil custa para a empresa atingida, em média, R$ 6,45 milhões. Para compensar perdas deste porte, 60% das organizações que participaram desse estudo aumentaram o preço de seus produtos e serviços.
Criminosos digitais estão dentro dos sistemas da empresa
O mesmo estudo indica que, ao longo de 2022, o tempo médio para identificar e conter uma violação de dados foi de 347 dias. Organizações com mais de 50% de seus colaboradores trabalhando remotamente levaram 14 dias a mais para identificar a invasão, chegando à marca de 361 dias em que os criminosos digitais permaneceram indetectáveis, coletando dados dentro dos sistemas empresariais.
Essa realidade tem levado CIOs e CISOs brasileiros a ampliarem sua visão de cybersecurity. A meta é usar Inteligência Artificial (IA), Machine Learning (ML) e análises comportamentais para ir muito além do antigo SIEM e ganhar um olhar consolidado sobre todos os ambientes de negócios da organização.
Em busca da automação máxima tanto na análise cruzada de logs – a meta é detectar comportamentos estranhos – como na fase de correção de brechas e vulnerabilidades, tem crescido o interesse por um novo tipo de solução de segurança digital. A base é a tecnologia NDR (Network Detection and Response), uma espécie de “policial” que faz o trabalho de detetive em todos os ambientes digitais da empresa. Usando de modo profundo IA e ML, o NDR atua 24×7 buscando comportamentos fora do padrão. O alto grau de precisão nesta análise reduz o número de falsos positivos, algo importante para equipes de ICT Security cada vez mais sobrecarregadas.
A análise feita pelo NDR checa por todos os ângulos o incidente fora do padrão, até determinar se se trata de uma tentativa de invasão ou se é uma falha estrutural dos sistemas. O NDR também se encarrega da segunda parte da ação corretiva: a remediação das vulnerabilidades e patches.
O papel do SOC na consolidação de novas posturas de segurança
Grandes organizações têm adicionado, ao NDR, a plataforma XDR (Extended Detection and Response). Tenho visto cada vez mais o XDR rodando nos SOCs dessas empresas. Essa plataforma atua como o “chefe da polícia”, com múltiplos dashboards cruzando dados de forma intensiva de modo a gerar uma visão que vá além do olhar pontual do “policial” NDR.
Enquanto o NDR identifica nuances, o XDR julga, condena e elimina o atacante e suas ameaças de forma sistêmica, consolidando a nova postura de segurança da empresa. O XDR produz inteligência em tempo real que protege a empresa inteira, em suas várias nuvens e inúmeros pontos de acesso. Estudo da Markets and Markets estima que o mercado global de XDR vai passar de US$ 985 milhões em 2022 para mais de 3 bilhões de dólares até 2027.
Tenho participado de PoCs (Proofs of Concept) dessas plataformas em muitas organizações. De cada 10 PoCs, em 9 eu identifico ameaças dentro dos sistemas das empresas usuárias. É comum que 1 ou 2 descobertas revelem problemas graves, em que gangues digitais que invadiram as aplicações de negócios estão ativamente extraindo dados para venda na Dark Web ou para uso em outros ataques. Há empresas brasileiras que já estão usufruindo da maturidade em segurança digital entregue pela inteligência e automação de plataformas NDR e XDR.
Porta de impressora tenta acessar BD de grande aeroporto – Setor absolutamente crítico para a economia brasileira, os aeroportos brasileiros estão cada vez mais automatizados e cada vez mais sob o ataque de gangues digitais. Recentemente identificamos, em um aeroporto de uma capital brasileira, que uma porta de impressora estava tentando acessar o banco de dados.
O NDR detectou esse comportamento estranho – normalmente a porta da impressora só recebe dados, não faz consultas de dados – e construiu, de forma automatizada baseada em IA e ML, um “honey pot” (pote de mel – uma armadilha) para os criminosos. Foi desenvolvido um ambiente falso do aeroporto, com dados falsos etc. O invasor não foi bloqueado e avançou até o “honey pot”, deixando suas impressões em todo o trajeto, com todos os logs documentados pelo NDR.
A gangue digital copiou os dados falsos, esperando realizar um ransomware que, facilmente, poderia imobilizar todo o tráfego aéreo da cidade. O SOC deste aeroporto usou a plataforma XDR para receber a análise gerada pelo “honey pot” do NDR e consolidar a proteção de todos os seus ambientes digitais contra o modus operandi dos meliantes.
Invasão do X (antigo Twitter) de um banco – O foco na melhor experiência de usuário tem levado os bancos brasileiros a investirem pesadamente no relacionamento via redes sociais com seus clientes. Neste caso, o Twitter de um banco médio brasileiro usava Bots tanto para enviar mensagens aos seus clientes como para responder, a partir de um menu automatizado, as principais perguntas deste universo.
Uma gangue digital passou a usar esse canal de acesso para inserir Bots maliciosos no Twitter do banco, buscando acesso leste-oeste a aplicações críticas da organização. Isso era feito por meio de comandos com código malicioso injetados no Twitter do banco. O olhar de “policial” do NDR detectou que essas mensagens eram postadas em menos de um segundo na rede social do banco.
Um ser humano leva mais tempo do que isso para digitar uma mensagem no Twitter. Imediatamente a plataforma cortou o acesso desses Bots maliciosos. Essa ação “subiu” para o SOC rodando XDR, gerando um relatório que, analisado pelo CIO e CISO, colaborou para reforçar ainda mais a postura geral da empresa em seus canais de redes sociais.
Falta de profissionais de segurança: MSSPs e automação baseada em IA e ML
Esses casos são muito diferentes entre si e mostram que as plataformas de detecção de ameaças e correção de vulnerabilidades efetivamente “aprendem” com o contexto de negócios onde estão inseridas. Isso é feito por meio de IA, ML e análise comportamental sob medida para os desafios das organizações.
Como tudo o que diz respeito à evolução da postura de segurança da economia brasileira, no entanto, é necessário analisar esse quadro à luz da falta de profissionais de cybersecurity. Tenho visto as empresas que adotam NDR e XDR lidarem com esse fato de duas maneiras.
A primeira é identificar um MSSP com credenciais nessas disciplinas e capacidade de entender como usar essa inteligência a favor dos negócios da empresa. A segunda é usar os recursos de IA e ML dessas plataformas para automatizar ao máximo o NDR e XDR, reduzindo drasticamente a quantidade de homem/hora necessária para extrair, desta nova tecnologia, valor para o negócio, valor para o Brasil.
*Daniel Lacchini é Gerente de Negócios da Hillstone Brasil.