Sophos: “Uma das grandes lacunas é a capacidade de responder com rapidez suficiente” (com vídeo)

A expressão “um luxo a que não nos podemos dar” serviu de mote para a apresentação executiva de Chester Wisniewski, Field CTO Applied Research da Sophos, referindo-se à importância do tempo na deteção de ameaças e na resposta a incidentes.

“O meu foco hoje é falar sobre o tempo”, afirma Wisniewski. “Acho que não temos tempo suficiente e os criminosos estão a tornar-se cada vez melhores e melhores a reduzir a quantidade de tempo necessária para fazer aquilo que fazem quando invadem as nossas redes e tentam roubar as nossas informações”.

Na última década, observou-se uma mudança no panorama das ciberameaças, impulsionada particularmente pela especialização dos criminosos. “Há 10-15 anos, um grupo criminoso poderia ser composto por dois ou três indivíduos e alguém tinha que escrever os ataques de phishing e alguém tinha que escrever o malware. Existiam muitas tarefas envolvidas e, como eles estavam a realizá-las todas, não eram muito eficientes nelas”, relembra.

Atualmente, tudo pode ser everything-as-a-service. O nível de lucros que um único ataque proporciona, especialmente de ransomware, aumentou substancialmente e, como consequência, “tudo começou a transformar-se numa especialização do lado criminoso – não diferente do que nos aconteceu”, explica Wisniewski, face ao crescimento do número de profissionais de cibersegurança especializados em diferentes áreas.

À medida que se especializam, os cibercriminosos estão cada vez mais “rápidos” e “eficientes” na execução de ataques. “Uma das grandes lacunas que estou a ver na nossa base de clientes é a capacidade de responder com rapidez suficiente”, revela o profissional da Sophos. As equipas “podem estar a receber os alertas, mas não conseguem responder aos alertas antes que o ataque já tenha causado danos suficientes”.

Além disto, a Inteligência Artificial (IA) está a começar a ser encarada como uma ferramenta ao dispor dos cibercriminosos, que estão ativamente à procura de formas para a utilizar em ataques, assim como as organizações estão a tentar utilizá-la para fortalecer a sua defesa.

Um exemplo indicado por Wisniewski são os ciberataques em Portugal, nomeadamente ataques de engenharia social, que são frequentemente orquestrados em português do Brasil, sendo, por isso, “muito fáceis de serem detetados pelas pessoas aqui”. No entanto, “com coisas como os grandes modelos de linguagem (LLM) – IA generativa, ChatGPT –, os criminosos podem escrever um português perfeito em português do Brasil ou em português de Portugal. Já não é um desafio e já não parece o Google Tradutor”.

“Um dos meus receios em países que têm sido menos visados porque os criminosos não têm competências para escrever ataques de engenharia social bem elaborados contra os nossos utilizadores, é que essa última barreira foi removida agora porque eles poderão utilizar estes modelos grátis”, alerta Wisniewski, sublinhando que, atualmente, não é necessário qualquer pagamento para “começar a criar ataques mais especializados para todos no mundo”.

Aprender com os erros

De acordo com os dados do 2023 Active Adversary Report for Teach Leaders da Sophos, que analisa a informação de vários casos de resposta a incidentes, as três ameaças mais preocupantes para os profissionais de segurança no ciberespaço são: a configuração incorreta de ferramentas de segurança; as ameaças zero-days; e a escassez de competências e expertise internas sobre cibersegurança.

No entanto, as ameaças mais comuns verificadas pela Sophos nos casos de resposta a incidentes não aparecem no topo da lista. “Ainda estamos a lidar com passwords roubadas, vulnerabilidades não corrigidas e ferramentas de acesso remoto expostas”, indica Wisniewski, enunciando as ciberameaças mais frequentes segundo o relatório.

“Os zero-days são algo com que vale a pena preocupar-se, mas não é como as pessoas estão a ser vitimizadas. Elas estão a ser vitimizadas pelas lacunas”, adverte.

Ataques ocorrem fora de horas

Mais de 80% dos ataques ocorrem fora do horário laboral das organizações visadas, independentemente do país em que o incidente aconteceu, apresenta Wisniewski. Dos ataques que decorreram durante o horário de trabalho, muitos foram durante o fim-de-semana.

“Se não tem operações 24/7, é improvável que alguém observe um ataque inicial, quando os criminosos costumam ser mais barulhentos”, realça. “É literalmente como uma invasão na sua casa – eles partem as janelas e há alguns alertas que aparecem inicialmente e, depois, eles descobrem como contornar as suas ferramentas de segurança após acionarem alguns desses alertas”.

Wisniewski mostrou à audiência um gráfico sobre o tempo de permanência “desde a entrada inicial na rede da vítima até que a coisa realmente má acontecer”, cuja média está gradualmente a diminuir. Há três anos, o tempo de permanência dos cibercriminosos era de 13 dias, enquanto atualmente é de oito dias. Nos casos de ransomware, porém, diminuiu de nove para cinco dias.

“No primeiro dia, tudo o que eles fizeram foi invadir algumas credenciais e vaguear um pouco pela rede”, afirma. No entanto, “no terceiro dia, estão a transferir os dados para as clouds, onde os criminosos os podem explorar, manter como reféns e extorquir. Se não conseguir expulsá-los da sua rede até ao quinto dia, é quando eles explodem a bomba e criptografam os dados”.

Antes de dar a sua apresentação por terminada, Chester Wisniewski deixa um conselho aos profissionais responsáveis por defender as redes das suas organizações. “Têm de responder rapidamente e com conhecimento do que precisam de fazer. Se a vossa equipa está a perder tempo a tentar descobrir qual é a ameaça e o que precisam de fazer a seu respeito, nos dois dias em que estão a tentar resolver isso, os dados já foram enviados”, remata. “O tempo é essencial”.