Ter acesso às mais recentes tecnologias é uma necessidade para qualquer organização que queira mitigar – tanto quanto possível – as ciberameaças que diariamente aparecem. Bitdefender, Claranet, HardSecure, Huawei, Logicalis, Noesis, S21sec e VisionWare partilham a sua visão sobre o presente e o futuro da cibersegurança
Hoje, a cibersegurança é o mercado dentro do IT com o maior crescimento e dos que mais inovações tem. A escassez de talentos para integrar equipas, a velocidade do desenvolvimento tecnológico e a diversificação e sofisticação das ameaças são alguns dos desafios que se impõem às organizações. Por estas razões, muitas organizações precisam de ter acesso a novas tecnologias que enfrentem os desafios que vão aparecendo quase diariamente, sejam apenas novos métodos de ataque ou novas tecnologias que ajudam quem ataca.
Como consideram que estão a evoluir as ciberameaças? Como se está a processar a mudança dos vetores de ataque?
Nuno Teodoro, Cyber Security and Privacy Officer, Huawei: “Continuamos a ver que os principais vetores de ataque se focam em temas como engenharia social, más configurações – como em serviços de cloud –, ransomware e malware, ameaças internas nas organizações e, sobretudo, ataques através do supply chain. Continuamos a ver uma tendência de que não são os novos e mais disruptivos vetores de ataque os mais impactantes na segurança das organizações, mas coisas básicas como falta de patching” Ricardo Marques, Head of Consulting, S21sec: “O que vemos é que há um conjunto de ataques que vão continuar e vão ser mais sofisticados. O phishing continua a ser um vetor de entrada para depois atacar uma empresa – quer seja por ransomware ou roubo de credenciais – para fazer estragos e destruir alguns sistemas. Vemos casos de ataques de phishing contra utilizadores onde é instalado malware e se acaba por roubar credenciais de administradores de cloud” Bruno Castro, Founder & CEO, VisionWare: “O fator humano continua a ser um ponto importante; diria que até já foi mais, mas ainda continua a ser importante. Temos algo que está a aparecer de forma mais surpreendente que é termos grupos de cibercriminosos que se estão a especializar por setor e pelas soluções que suportam esse setor. Por exemplo, na educação, focam-se em plataformas de e-learning e cada vez que há uma falha near zero-day já estão a robotizar e a procurar alvos”
German Escuela, Renewals & Retention Representative, Bitdefender: “Os vetores não mudaram muito; o que mudou foi a complexidade. A engenharia social, por exemplo, está a evoluir a um passo acelerado. A cibersegurança não é estática. Antes não existiam ataques através dos telefones porque eram analógicos. À medida que vamos introduzir mais computação na nossa vida, obviamente que abrimos muito mais portas para os atacantes” Miguel Azevedo, IT Specialist, Noesis: “Mais do que a evolução dos vetores de ataque, o que evoluiu foi a eficácia e a sofisticação. A sensibilização dos utilizadores continua a ser bastante importante, até para terem uma noção do risco e do impacto que determinados tipos de ações podem ter e continua a ser uma vulnerabilidade nas organizações a quem nem sempre se dá a devida atenção” A segurança da cloud é fundamental à medida que as organizações avançam na sua jornada de transformação digital. Como é que as empresas podem mitigar as ameaças contra os serviços cloud?
David Grave, Cybersecurity Director, Claranet: “Nos últimos dois anos, mais de 60% das organizações iniciaram um processo de transformação digital acelerada com a migração dos seus workloads para a cloud e 70% destas organizações dizem que vão adotar estratégias multicloud. O que não acompanhou esta evolução na cloud foram os técnicos; continuamos a suportar em cima das mesmas pessoas que tinham que administrar o on-premises a administração da cloud. 80% dos vetores de ataque que estamos a ver – e na cloud – são os mesmos vetores de ataque” Fábio Mestre, Head of Pentest & Cyber Threat Intelligence, Hardsecure: “Os vetores continuam a ser os mesmos. Nos ambientes cloud aumentou-se a resiliência, a disponibilidade dos sistemas, mas o fator humano continua a ser um dos vetores mais utilizados para comprometer estes serviços e problemas de configuração. Quem fazia a gestão do on-prem começou a fazer a gestão da cloud e não atualizou o seu know-how para perceber como é que um serviço na cloud difere de um serviço on-premises, que tipos de configurações é que têm de ser feitas”
Nuno Teodoro, Huawei: “Quando se fala de cloud – já para não falar das empresas que acham que mover sistemas de data center para cloud é fazer uma digitalização –, a capacitação dos profissionais quando embarcam nesta jornada do que são ambientes cloud fica sempre a meio gás. Quando é que foi a última vez que estas empresas ficaram, de facto, a avaliar como é uma arquitetura bem conseguida de cloud – híbrida ou não – que estão a implementar na organização?” Os ataques de engenharia social são cada vez mais direcionados. Como é que as organizações se podem proteger contra este tipo de ataques? Ricardo Marques, S21sec: “A engenharia social vai continuar a acontecer e vai ser muito mais sofisticada. Aqueles emails que víamos há uns anos com erros de português e com uma linguagem muito estranha deixaram de ser uma realidade; hoje, com a inteligência artificial, já é possível criar um ataque de phishing, por exemplo, muito realista, sem erros de português e direcionado a uma empresa. Além disso, os atacantes, cada vez mais, se querem atacar uma empresa específica vão estudá-la antes, ver quem são os colaboradores e vão atacar”
Luís Lança, CTO, Logicalis: “Existe um padrão na componente de ataque de engenharia social que é cada vez mais sofisticado e direcionado e é uma das principais ameaças que as organizações enfrentam. Há uma tática psicológica para persuadir ou enganar os utilizadores a divulgar informações críticas, ou até instalar malware nos seus dispositivos. Combinando isto com a evolução tecnológica, as possibilidades de ataque em tempo real com automação – como o deep fake – acabam por se tornar imprevisíveis” David Grave, Claranet: “Devemos ter uma perspetiva do colaborador não como elo mais fraco, mas como asset; a organização tem de formar para que o colaborador seja uma parte integrante da linha de defesa. Ouvimos vezes sem conta que o colaborador é o elo mais fraco; não é justo. As pessoas estão a agir na maioria das vezes na melhor das suas intenções. Vamos ter de as ajudar a que as decisões que vão tomar sejam as melhores” Como é que se reage após um ataque? Qual é o ‘playbook’ de boas e más práticas que se deve ter em consideração? Fábio Mestre, Hardsecure: “Os ciberataques são todos diferentes. Antes de mais, o que é necessário é analisar a situação, tentar perceber o que foi comprometido, como foi, e muitas empresas têm a tendência de ‘atenção, há uma máquina infetada, temos ransomware, vamos desligar tudo’ e esse não é o caminho a seguir. É preciso segregar os ativos uns dos outros e das conexões para o exterior, mas preservar evidências para perceber a anatomia de um ataque e como é que ele começou e fazer uma análise forense”
Miguel Azevedo, Noesis: “Antes de acontecer, convém ter os processos bem definidos para que as primeiras linhas tenham uma linha condutora para saber como devem reagir e responder a todas as evidências. É preciso considerar que estes playbooks devem estar associados a processos de melhoria contínua porque todos os ataques são diferentes e readaptar o playbook para responder de forma eficaz a um futuro ataque Bruno Castro, VisionWare: “Temos feito continuamente processos de recuperação a desastre em que os ataques são altamente destrutivos. Quando descobrimos que fomos vítimas de um ciberataque, montamos uma sala de crise, temos o top management envolvido e equipas multidisciplinares dentro dessa sala. Cada vez que respondemos a uma recuperação de desastre, mudamos o nosso modelo; é um processo de aprendizagem contínuo. No terreno, temos uma equipa focada na investigação forense – só faz isso –; outra a fazer a contenção, mitigação e, em último caso, um blackout face ao ataque; e uma terceira equipa que está focada em recuperar sistemas num sistema higienizado” As competências específicas para endereçar o mercado de cibersegurança chocam com a escassez de talentos para integrar equipas próprias nas organizações. O que é que as empresas devem procurar externamente na indústria de serviços de cibersegurança, de que modo e quando a segurança como um serviço deve ser adotado? Luís Lança, Logicalis: “A escassez de talento na área de cibersegurança é uma preocupação para todas as empresas. As empresas querem montar os seus serviços de SOC, aumentar as suas capacidades de awareness e temos vários desafios para ter elementos altamente qualificados para este contexto que vivemos e a aceleração que existe nos vetores de ataque. Quando procuramos um serviço é importante ver a especialização de cada uma das empresas, a experiência, o histórico de ações e a possibilidade de ter acesso a recursos” German Escuela, Bitdefender: “A escassez de pessoal em cibersegurança é imensa. É difícil conseguir técnicos eficientes. Quando as organizações externalizam a sua cibersegurança têm de olhar para duas coisas: se estão a externalizar com alguém que não seja um fabricante, têm de olhar para a solução e, segundo, o nível de cibersegurança que tem essa empresa a quem se está a contratar serviços de cibersegurança” Fábio Mestre, Hardsecure: “A falta de recursos é algo extremamente preocupante. São cada vez mais necessários mais recursos, mas também se nota no mercado querer os recursos com a máxima experiência possível, querer contratar serviços com pessoas que têm o maior número possível de certificações ou de clientes. A questão é que muitas destas empresas poderiam contratar recursos mais juniores e formá-los no seio das suas organizações, tentar incentivar o recrutamento de uma série de elementos mais novos que estão a ficar disponíveis para o mercado” Como está a evoluir o tema da regulamentação na área de cibersegurança, tanto a nível nacional como da União Europeia?
Bruno Castro, VisionWare: “A nível global, prevejo uma ligação entre homeland security – a ciberdefesa, o Estado – a encaixar-se no que é o ciberespaço. Vai ser exigido ao Estado e às infraestruturas que suportem o próprio Estado, a fazer os mesmos controlos e exigências em relação ao que o privado já é obrigado a cumprir. Temos consciência que há empresas privadas que têm um fator preponderante na estabilidade do Estado e no rumo de homeland security” Ricardo Marques, S21sec: “Há um conjunto de setores que já estão bem regulamentados – como a banca e as telco – e o que estamos a ver é que, cada vez mais, a cibersegurança vai ser regulamentada. Estão a aparecer novas regulamentações – como o DORA ou o NIS 2. Têm sido lançada novas regulamentações relacionadas com o pagamento de resgates de ransomware e há um conjunto de temas sempre a aparecer que vão ser uma realidade cada vez maior nas empresas”
Nuno Teodoro, Huawei: “A maioria das organizações ainda não percebeu o que aí vem. Quando olhamos para o panorama europeu, é óbvio que grande parte das pessoas ouve falar da NIS 2, mas não estamos a falar só da NIS 2: estamos a falar de um conjunto de iniciativas que foram postas em marcha ao abrigo da estratégia de segurança da Europa. Temos o código das transmissões eletrónicas já transposto em Portugal; temos o NIS 2 e o DORA que aí vem, sim, mas temos muitas outras iniciativas que vão tocar, principalmente, na parte da certificação” Luís Lança, Logicalis: “O ponto principal é ver estas diferentes normativas que estão a sair e como é que as vamos agregar e simplificar para não existir tanta carga burocrática para as empresas. Na realidade, a cibersegurança é importante. No caso do decreto-lei 65/2021, o CNCS fez o enablement e agora está um pouco mais rígido e poderá aplicar coimas para que se consiga garantir que os requisitos de segurança das redes e sistemas de informação são realmente implementados” De que maneira é que a inteligência artificial está a impactar a cibersegurança, tanto do ponto de vista de quem ataca como de quem defende? Miguel Azevedo, Noesis: “Na perspetiva de quem ataca, a inteligência artificial permite agilizar as ciberameaças mais eficazes e sofisticadas. Os emails de phishing são cada vez mais assertivos; o conteúdo a quem se direciona tem por base informação que é recolhida sobre o utilizador, seja por informação que o próprio utilizador partilha ou seja através de data leaks onde se recolhem outras informações sobre os alvos” German Escuela, Bitdefender: “Isto é uma guerra e é preciso entendê-la como tal. É uma guerra onde quem defende tenta ter vantagem sobre quem ataca e onde quem ataca tenta ganhar vantagem sobre quem defende. A inteligência artificial ajuda a que os processos sejam muito mais rápidos. A inteligência artificial não é uma mente humana; são apenas parâmetros que respondem a uma programação humana. A inteligência pode simular algo, mas não pode criar nada” David Grave, Claranet: “No lado de quem ataca, acredito que vamos ver cada vez mais a utilização de inteligência artificial; como estes senhores são altamente criativos, acredito que vamos ser surpreendidos. A inteligência artificial não vai criar nada do nada, mas vamos ver, por exemplo, o encadeamento de ataques mais sofisticados que já estão pré-programados de uma forma que não vemos até ao momento. São building blocks que, com a inteligência artificial, podem ser potenciados para lançar ataques mais sofisticados e de forma mais rápida” |