ransomawre
No futebol moderno, os times precisam se adaptar defensivamente conforme o adversário e o jogo, e o mesmo vale para as empresas – que vivem em um contexto de ciberataques cada vez mais complexos. Um levantamento da Kaspersky de maio deste ano mostrou que 56% das empresas do país já tendo sido atacadas por ransomware.
Outro paralelo entre futebol e segurança corporativa é como cada time/empresa decide jogar. Infelizmente, a maioria ainda prefere se fechar no campo de defesa, enquanto os times que se destacam por neutralizar os ataques o quanto antes focam seus esforços no que interessa: fazer gol – ou desenvolver seu negócio.
Apesar de parecer uma boa estratégia, a retranca deixa tanto o time quanto a empresa vulneráveis e ainda não dão quase nenhum tempo para reagirem a uma ameaça. “Para desconstruir a ideia que se fechar é bom, temos que mudar a maneira que olhamos a questão, pois quem preparou a retranca vai pensar que o time está fechadinho. Porém, o time adversário tem bastante tempo para avaliar as fraquezas e ele só precisa de uma falha para conquistar a vitória“, avalia Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.
O executivo explica que assim como uma final de campeonato, os cribercriminosos estão profissionalizados, pesquisam bem suas vítimas antes de entrar em campo para o jogo e sabem quais fraquezas eles devem explorar. Se eles puderem passar 90 minutos forçando os elos mais fracos, o ataque será bem-sucedido. “Por outro lado, os times que marcam a saída de bola do adversário de maneira organizada acabam neutralizando o ataque prematuramente e o goleiro às vezes passa o jogo inteiro assistindo.”
Defesa proativa
Mas como essas abordagens se aplicam na prática? A pesquisa global Riscos Corporativos de Segurança de TI da Kaspersky mostra que a defesa proativa é adotada por cerca de um terço das organizações, e são essas que conseguem identificar um ciberataque imediatamente (10% delas) ou em poucas horas (22%). Já a maioria das instituições ainda joga na retranca e demora 24 horas (18%) ou dias, semanas ou meses (48%) para saber que foram atacadas.
Para conquistar um nível de excelência de cibersegurança, o time precisa estar completo e jogar de maneira organizada. Para entender melhor a importância de cada uma, Rebouças se aproveita novamente dos esquemas táticos do futebol. “A primeira linha de defesa de quaisquer empresas será o famoso antivírus e firewall – e aqui eu já incluo a proteção em ambientes na nuvem e o EDR. Todos são basicamente reativos pois estão restritos a computadores e servidores e precisam ser atacados para saber se eles estão funcionando bem ou não.”
Já as tecnologias avançadas de XDR e serviços de SOC gerenciados conferem algumas oportunidades para neutralizar o ataque em etapas iniciais, mas essas tecnologias ainda trabalham de maneira restritas. “Apesar de serem as tecnologias mais avançadas que existem no mundo da cibersegurança, elas só reagirão corretamente contra ataques conhecidos. Caso o adversário use uma técnica que não foi previamente avaliada, elas falharão“, explica o executivo.
Para conseguir neutralizar todos os tipos de ameaças, o time precisa ser abastecido de informações em tempo real dentro de campo, e assim poder ajustar a defesa. No mundo real, as empresas estão limitas à sua rede, mas podem obter essas informações por meio de serviços de inteligência, como feed de ameaças com as informações básica para se reconhecer novos malware ou relatórios técnicos que ajudam em investigações de incidentes específicos. “Uma prática muito comum para empresas que usam esses serviços de inteligência é contratar três ou quatro plataformas diferentes para obter o maior número de informações diferentes e conseguir estar preparado para todas elas. Essas informações são integradas com os sistemas de proteção existentes e conseguem bloquear qualquer ataque no primeiro alerta“, destaca Rebouças.
O executivo esclarece ainda que os serviços de inteligência não são algo complexo e avançado. “Há firewall que permite realizar a integração com feed de ameaças, e isso autoriza que um ataque seja bloqueado na periferia da rede. O mesmo ocorre com o antivírus tradicional e o EDR, ambos trabalharão melhor se forem orientados pelas informações recentes dos serviços de inteligência. Isso significa que qualquer empresa, do pequeno ao grande porte, pode estar mais protegida com algo simples como uma boa informação“, conclui.
Dicas