Trace Id is missing

CISO Insider: Edição 1

Transferir
Partilhar
Um homem a olhar para um tablet numa fábrica.

Lide com o atual panorama de ameaças com análises exclusivas e recomendações de líderes de segurança

Chamo-me Rob Lefferts e lidero a equipa de Engenharia do Centro de Segurança do Microsoft 365. A minha equipa e as equipas de investigação do Microsoft Security estão implacavelmente focadas em descobrir e combater as tendências de ameaças mais recentes que a nossa empresa, os nossos clientes e toda a comunidade global enfrentam.

Até agora, apenas partilhámos as nossas conclusões sobre ameaças a nível interno, mas decidimos começar a partilhá-las publicamente, no formato CISO Insider. O nosso objetivo é capacitar organizações em todo o mundo com orientação e os conhecimentos sobre segurança mais atualizados para se protegerem a si mesmos e aos seus clientes contra o cibercrime de forma mais eficaz.

A edição 1 começa com os três tópicos mais importantes para muitos de nós:

  • Tendências de ataque: À medida que os ataques mudam, os princípios fundamentais ainda proporcionam uma proteção valiosa
  • O risco de fazer negócios: Gestão de ameaças à cadeia de fornecimento
  • Novas abordagens para ajudar a resolver a escassez de talentos em segurança

A COVID-19 obrigou as organizações a aumentar a confiança na flexibilidade no local de trabalho e a acelerar a transformação digital e estas mudanças também levaram a algumas mudanças em táticas de segurança. O perímetro expandiu-se e é cada vez mais híbrido, abrangendo várias clouds e plataformas. Embora as novas tecnologias tenham sido uma bênção para muitas organizações, possibilitando produtividade e crescimento mesmo em tempos difíceis, as mudanças também constituíram uma oportunidade para os cibercriminosos, que trabalham para explorar as vulnerabilidades encontradas em ambientes digitais cada vez mais complexos.

O aumento dos ataques de phishing, relacionados com o trabalho à distância, é uma das principais preocupações dos profissionais de segurança com quem falo e também vemos isso refletido na nossa investigação. No inquérito da Microsoft a líderes de segurança, realizado em 2020, 55% disse-nos que as suas organizações tinha detetado um aumento nos ataques de phishing desde o início da pandemia e 88% disse que os ataques de phishing tinham afetado as suas organizações. Também oiço falar regularmente sobre o aumento de ataques de ransomware, como o malware continua uma ameaça consistente e como o comprometimento da identidade continua a ser um grande desafio que atormenta as equipas de segurança.

Além disso, sabemos que os ataques de estados-nação são cada vez mais agressivos e persistentes. O ataque à cadeia de fornecimento NOBELIUM, tirando partido da plataforma SolarWinds, foi um dos muitos novos ataques que chegaram às notícias no último ano. Apesar de as novas técnicas vistosas serem o que, muitas vezes, chamam a atenção das notícias, os CISO dizem-me consistentemente que até estes atores de ameaças avançadas, como a maioria dos cibercriminosos, tendem a focar-se em oportunidades de ataque de baixo custo e elevado valor.

“Se os estados-nação me atacarem a mim e à minha empresa, é um acontecimento repentino. Pode acontecer, preocupo-me com isso, mas não tanto quanto me preocupo com as minhas atividades diárias, a minha segurança base.”
Serviços financeiros CISO

Para ilustrar melhor este ponto, vimos um aumento nos atacantes de estados-nação que utilizam ataques palavra-passe únicas. Ser um líder de segurança envolve gerir riscos e definir prioridades e muitos líderes dizem-me que fortalecer a sua higiene cibernética para prevenir as linhas de ataque mais comuns, especialmente na sua crescente pegada digital, é a sua prioridade principal. E os nossos dados e investigação suportam este sentimento. Estimamos que a higiene de segurança básica ainda protege contra 98% dos ataques (ver página 124 do Relatório de defesa digital da Microsoft, outubro de 2021).

Muitos dos líderes de segurança com quem falo concordam quanto aos passos fundamentais para uma estratégia de segurança:

  • Implementar autenticação multifator (MFA) e uma política de registo
  • Ganhar visibilidade dos seus ambientes
  • Educação dos utilizadores
  • Manter-se a par da aplicação de patches e da gestão de vulnerabilidade
  • Gerir e proteger todos os dispositivos
  • Assegurar configurações de recursos e cargas de trabalho no local e em cloud
  • Assegurar um plano de reserva, em caso do pior cenário de recuperação
“Na maioria das vezes, é... uma palavra-passe parva numa conta privilegiada ou alguém que não implementou um certificado num determinado ponto final necessário.”
Cuidados de saúde CISO

Pode pensar que é fácil falar sobre os passos fundamentais de segurança, mas é muito mais difícil implementá-los na vida real, especialmente quando a equipa trabalha demasiado e tem poucos colaboradores. Mas diria que ser líder de segurança se trata de gerir tanto os riscos como as prioridades, e isso faz com que focarmo-nos nos princípios fundamentais seja uma forte abordagem pragmática. Demasiadas vezes, os incidentes de segurança não são uma questão de SE, mas de QUANDO. Existem centenas de estatísticas de cibersegurança alarmante. Por exemplo, cerca de 4000 ataques de cibercrime são cometidos todos os dias só nos EUA e mais de 30 000 sites em todo o mundo são hackeados diariamente.

Penso que a melhor linha de defesa é adotar uma abordagem equilibrada e investir na deteção e resposta a incidentes, juntamente com a prevenção.

Embora possa parecer difícil investir em novos níveis de prevenção e, ao mesmo tempo, tentar acompanhar as exigências crescentes de deteção e resposta, encontrar o equilíbrio certo entre os dois esforços é essencial e benéfico. Um estudo de 2021 do Ponemon Institute e da IBM Security descobriu que as organizações sem uma equipa de resposta a incidentes ou um plano implementado viu o custo médio de uma falha de segurança de dados subir 55%. As equipas de segurança que conseguem equilibrar uma prevenção sólida com uma estratégia que inclui uma resposta a incidentes e investimentos em ferramentas de deteção e remediação estarão bem preparadas para resistir ao inevitável.

O resultado final?

Adote uma abordagem equilibrada: tenha os seus princípios fundamentais implementados e um plano para possíveis falhas de segurança.
  • Investir na higiene cibernética básica e expandi-la ao ambiente digital crescente é uma estratégia crítica para ajudar a proteger a sua empresa de um ataque, para começar.
  • Apesar de estes grandes ataques não serem uma ocorrência quotidiana, é importante estar preparado. Embora os princípios fundamentais sejam cruciais, as organizações com visão para o futuro têm em vista um plano bem documentado e testado sobre o que fazer após uma falha de segurança.

E passamos ao nosso próximo tópico importante para os CISO atualmente: cadeias de fornecimento e as ameaças intrínsecas que estas expõem. A expansão do perímetro de segurança além da organização de segurança e das TI, resultado de uma cadeia de fornecimento cada vez mais interligada e complexa, é uma realidade do ambiente empresarial atual. Um relatório da Sonatype, de setembro de 2021, constatou um aumento de 650% em relação ao ano anterior nos ataques a cadeias de fornecimento, em relação a 2020.

Sim, leram isto bem: 650%!

E as novas realidades empresariais, como o trabalho híbrido e as perturbações na cadeia de fornecimento de todos os tipos, que afetam todos os setores, expandiram ainda mais as fronteiras da segurança e da identidade.
1013

Número médio de fornecedores na cadeia de fornecimento de uma empresa

Fonte: BlueVoyant,

“Cadeia de fornecimento CISO”, 2020

64%

das empresas afirmam  subcontratar mais de um quarto das suas tarefas diárias  a fornecedores que exigem acesso aos seus dados comerciais

Fonte: (ISC)2, “Assegurar o Ecossistema de Parceiros”, 2019

Não é de admirar que os líderes de segurança estejam a prestar mais atenção aos riscos da cadeia de fornecimento: todos e quaisquer elos da cadeia de fornecimento não só são vitais para as operações de uma empresa, como as interrupções em qualquer ponto da cadeia podem ser prejudiciais de inúmeras formas.

À medida que os líderes de segurança expandem a subcontratação a fornecedores de aplicações, infraestruturas e capital humano, procuram estruturas e ferramentas mais eficazes para ajudar a avaliar e mitigar o risco em todos os níveis de fornecedores. Porque esses 650% são assustadores e somos todos suscetíveis.

Os CISO dizem-me que, embora as os princípios tradicionais de verificação possam ser eficazes na redução do risco durante o processo de seleção ou avalições, as suas equipas debatem-se com as deficiências inerentes às revisões pontuais, incluindo:

  • Os processos de avaliação de fornecedores incluem frequentemente apenas um questionário ou uma "lista de verificação" que não aborda todos os riscos inerentes às cadeias de fornecimento atuais.
  • Quando um fornecedor é integrado, existe apenas um ciclo de avaliação pontual, muitas vezes anual ou durante a renovação do contrato.
  • Muitas vezes, diferentes departamentos dentro da mesma empresa têm diferentes processos e funções envolvidos e não existe uma forma clara de partilhar informações entre as equipas internas
"Os principais fornecedores são aqueles de que dependemos em grande escala ou que mais nos apoiam na concretização da nossa visão. Qualquer perturbação do bem-estar de um ou outro tipo de fornecedor terá um impacto negativo significativo na nossa organização."
Investigação científica CIO

Estas medidas significam que as organizações são simplesmente incapazes de impor a conformidade e reduzir os riscos em tempo real. Como resultado, é muito mais difícil para as equipas de segurança responderem a comportamentos anómalos, tais como colocar software externo comprometido em quarentena ou bloquear o acesso a fugas de credenciais de administrador às suas redes. Se os ataques recentes nos ensinaram alguma coisa, é que mesmo a melhor higiene de cibersegurança e a dedicação aos princípios fundamentais para identificar, medir e mitigar o risco não eliminam totalmente a possibilidade de as ameaças se infiltrarem sorrateiramente nas cadeias de fornecimento.

“Temos controlos anuais com os principais fornecedores e, dependendo do nível dos mesmos, podemos voltar de dois em dois ou de três em três anos para fazer outra avaliação. Mas uma avaliação apenas fornece informações pontuais. Não valida o ambiente de controlo durante todo o ano.”
Membro do Conselho Assistente de Clientes de Gestão da Cadeia de fornecimento da Microsoft

Sendo assim, como pode gerir os riscos da sua cadeia de fornecimento, enquanto permanece ágil e produtivo? Parece que muitos líderes de segurança estão a abordar as ameaças à cadeia de fornecimento da mesma forma que abordam os ciberataques, focando-se em os princípios fundamentais sólidos e melhorando a visibilidade.

Devido ao facto de existirem tantos tipos diferentes de riscos associados ao ecossistema de fornecedores, não existe uma normalização clara, “melhores práticas” ou até tecnologia para os gerir. No entanto, muitos líderes de segurança estão a inclinar-se para um modelo de Confiança Zero como abordagem para reduzir a sua exposição ao risco e ajudar a proteger contra as vulnerabilidades que estão consistentemente por detrás das ameaças à cadeia de fornecimento, como credenciais comprometidas de utilizadores terceiros, dispositivos infetados com malware, código malicioso e muito mais.

A Confiança Zero é uma abordagem proativa e integrada à segurança em todas as camadas do património digital que, explicita e continuamente, verifica cada transação, estabelece privilégios mínimos e depende de informações, deteção avançada e resposta a ameaças em tempo real.

Temos ouvido os líderes de segurança dizerem consistentemente que conseguiram diminuir o impacto dos principais ataques à cadeia de fornecimento e melhorar a eficiência geral das operações da cadeia de fornecimento através da implementação de estratégias robustas de Confiança Zero. Aliás, de acordo com um estudo recente do Ponemon Institute e da IBM Security, as organizações com implementações avançadas de Confiança Zero verificaram uma redução de cerca de 40% no custo médio de uma falha de segurança, em comparação com as que não têm Confiança Zero implementada.
“A Confiança Zero permitiu-nos criar uma estrutura e desenvolver modalidades de acesso para proteger todos os recursos críticos da nossa organização.”
Decisor em questões de segurança no setor de cuidados de saúde
“Diria que olhámos para a nossa Estrela Polar e, pelo menos do ponto de vista do controlo, está a pender mais para a Confiança Zero. Em vez de, potencialmente, fazer todas estas perguntas e depois tentar lidar com 'como é que controlo tudo para este âmbito específico', faça o oposto e comece do nada, abrindo apenas o que é necessário. Penso que... a Confiança Zero está a ganhar uma nova vida na indústria.”
Fabrico de bens de consumo embalados CISO

Presuma que as falhas de segurança podem acontecer

Enquanto os dois primeiros princípios ajudam a reduzir a probabilidade de uma falha de segurança, assumir uma ajuda as organizações a prepararem-se para detetar e responder rapidamente, criando processos e sistemas, como se já tivesse acontecido. Na prática, isto significa utilizar mecanismos de segurança redundantes, recolher telemetria do sistema, utilizá-los para detetar anomalias e, sempre que possível, ligar essa informação à automatização que lhe permite prevenir, responder e remediar em tempo quase real. Os CISO dizem-me que estão a investir na implementação de sistemas de monitorização robustos que os podem ajudar a detetar alterações no ambiente, como um dispositivo IoT comprometido a tentar abrir ligações desnecessárias a outros dispositivos, para identificar e conter rapidamente um ataque.

Os líderes com quem falo sobre a Confiança Zero concordam que é uma ótima estrutura para criar uma higiene cibernética fundamental, e isso inclui a gestão da cadeia de fornecimento.

Vejamos como os líderes de segurança aplicam os princípios da Confiança Zero para proteger as suas cadeias de fornecimento.

Verifique explicitamente

Verificar explicitamente significa que devemos examinar todos os aspetos pertinentes dos pedidos de acesso, em vez de assumir a confiança com base numa garantia fraca, como a localização da rede. No caso das cadeias de fornecimento, os atacantes normalmente exploram lacunas na verificação explícita, como encontrar contas de fornecedores altamente privilegiados que não estão protegidas com autenticação multifator ou injetar código malicioso numa aplicação de confiança. As equipas de segurança estão a reforçar os seus métodos de verificação e a alargar os requisitos da política de segurança aos seus utilizadores terceiros.

Utilize o acesso menos privilegiado

Uma vez alcançado o primeiro princípio, o acesso com privilégios mínimos ajuda a garantir que as permissões só são concedidas para atingir objetivos comerciais específicos a partir do ambiente adequado e em dispositivos adequados. Isto ajuda a minimizar as oportunidades de movimento lateral, ao limitar o quanto qualquer recurso comprometido (utilizador, ponto final, aplicação ou rede) pode aceder a outros no ambiente. Os líderes de segurança dizem-nos que têm como prioridade fornecer aos fornecedores e a terceiros apenas o acesso de que necessitam, quando necessitam, e examinar e avaliar continuamente os pedidos e as políticas de acesso na cadeia de fornecimento da organização para minimizar o contacto com sistemas e recursos importantes.

“O objetivo é melhorar a nossa postura de segurança em geral, mas o importante é reduzir o atrito na experiência do utilizador final e facilitar-lhes a vida.”
Decisor em questões de segurança no setor de hotelaria

O resultado final?

O vasto número de fornecedores e a variedade de desafios inerentes às cadeias de fornecimento distribuídas fazem com que uma gestão proativa seja ainda mais importante. Com as recentes falhas de segurança de dados globais, os líderes de segurança estão ansiosos por encontrar formas de mitigar o risco dos fornecedores e os princípios da Confiança Zero estão a fornecer uma estratégia e enquadramento sólidos para a gestão do ecossistema de fornecedores.
  • Uma abordagem Confiança Zero ajuda a garantir que apenas as pessoas certas obtêm o nível certo de acesso em toda a organização, ao mesmo tempo que aumenta a segurança e a produtividade do utilizador final.
  • Apesar de existirem muitas formas de começar a utilizar a Confiança Zero, instituir a autenticação multifator deve ser a principal prioridade do ponto de vista do ecossistema do fornecedor e da gestão de riscos.
  • Avalie a fase de maturidade da Confiança Zero da sua organização e obtenha documentação de orientação direcionada para alcançar marcos, além de uma lista curada de recursos e soluções para avançar no seu percurso de Confiança Zero.

Já todos ouvimos falar da grande demissão. Mais de 40% da equipa de trabalhadores mundial está a considerar deixar o seu empregador este anoe os líderes de segurança e as suas equipas já se sentem com falta de pessoal. Falo frequentemente com os CISO sobre a forma como as coisas estão a correr, no geral, e uma das suas principais preocupações é financiar, encontrar e reter os melhores talentos. E, se os talentos de topo saírem, têm de encontrar novos talentos de topo ou melhorar as competências dos que permaneceram. Uma tecnologia mais eficiente, integrada e automatizada pode ajudar, mas não é suficiente.

As palavras-chave de segurança tornaram-se parte do vernáculo quotidiano, uma vez que os ciberataques aparecem regularmente nas notícias, e estes ataques (e as notícias sobre os mesmos) podem ter um impacto profundo numa empresa. Mas sabem que mais? Não são só más notícias. Uma vez que a cibersegurança se tornou um tópico familiar em todas as áreas de uma organização, estamos a ouvir que o conceito de “a segurança é um trabalho de todos” está a começar a ressoar nas organizações. Especialmente com os novos modelos de trabalho híbridos e perímetros de segurança a serem testados de formas novas, os líderes de segurança dependem cada vez mais de formas inovadoras para manter todos seguros, mesmo quando enfrentam lacunas de talento e competências. Não se trata de “fazer mais com menos”, mas sim de “fazer mais com diferença”, e é o que os líderes de segurança inovadores fazem atualmente.

“É um desafio que todos enfrentam, é difícil encontrar talentos, é difícil mantê-los. Há uma faca de dois gumes: quando se desenvolve talento, torna-se demasiado dispendioso mantê-lo. Por isso, há definitivamente alguns desafios a enfrentar.”
Serviços legais CISO

Embora a escassez de talentos e de competências não seja positiva, definitivamente, há aqui um pequeno raio de esperança: a criação de uma cultura de segurança está a tornar-se realidade. Muitos CISO dizem-nos que uma das formas mais eficazes de enfrentar os seus desafios de segurança, quanto aos desafios de pessoal, é criar uma cultura de segurança em que esta seja uma tarefa de todos. Os CISO defendem cada vez mais esta noção de que toda a organização pode assumir a responsabilidade pela segurança, especialmente quando se deparam com escassez de pessoal ou desafios de financiamento.

As equipas de desenvolvimento, os administradores de sistemas e, sim, os utilizadores finais, devem compreender as políticas de segurança que lhes dizem respeito. A partilha de informações é fundamental e as equipas de segurança estão a encontrar cada vez mais formas novas de trabalhar com programadores, administradores e proprietários de processos de negócios para compreender os riscos e desenvolver políticas e procedimentos que beneficiem toda a organização.

A escassez de talentos e as lacunas nas competências (especialmente na profissão de cibersegurança em constante mudança) levam os CISO a procurar formas novas e inovadoras de se manterem à frente. Uma estratégia de que continuamos a ouvir falar é uma evolução da “substituição” de colaboradores fora da equipa de segurança. Os CISO pretendem tirar partido de toda a organização, com um foco especial na formação dos utilizadores finais, para que façam parte da solução e para o apoio das equipas adjacentes.

Reforçar e melhorar o conhecimento dos utilizadores finais sobre as ameaças à segurança, como garantir que compreendem o phishing e os sinais de ataques subtis, é um longo caminho para aumentar os olhos e ouvidos da equipa de segurança, especialmente como estratégia de “porta de entrada”, em que os utilizadores finais são frequentemente um ponto de entrada para um ataque. Não estou a dizer que os utilizadores finais podem ser magicamente treinados para apanhar tudo, mas ter utilizadores preparados e alerta pode reduzir drasticamente a carga sobre as equipas de segurança.

“Talvez já tenha ouvido a frase 'a segurança é da responsabilidade de todos.' Isso é muito bonito, mas, na verdade, só o é até algo acontecer. No que toca às TI, o que fizemos foi nomear membros da TI como representantes da segurança. Nomeámos membros de diferentes equipas, especificamente equipas de desenvolvimento, de arquitetura e de infraestruturas, que recebem formação adicional sobre segurança. Podem participar em algumas das minhas reuniões de segurança e podem ser representantes do seu grupo na segurança, bem como representantes da segurança para o seu grupo.”
Serviços legais CISO

Outra estratégia consiste em nomear as TI como parte da segurança. Manter a equipa de TI numa ligação próxima com a equipa de segurança e garantir que a TI é informada das estratégias de segurança está a ajudar muitos líderes de segurança a alargar a sua missão a todas as áreas da organização.

Fornecer documentação de orientação e ajuda na automatização e noutras estratégias proativas de gestão de tarefas e de fluxo de trabalho é uma forma fundamental de os CISO expandirem as suas equipas e tirarem partido das TI para ajudar a garantir uma postura de segurança sólida.

“Por isso, se olharmos para o mundo da segurança, o pessoal da segurança não são os grandes responsáveis por impedir os ataques, mas sim o pessoal das TI. As pessoas que trabalham em segurança não aplicam patches, por exemplo. As pessoas do lado das TI (são quem) aplica as patches. A segurança não gere o inventário de gestão de recursos, são a TI quem o faz.   Há muitas outras coisas e, dependendo da organização em que se encontra, as firewalls são normalmente geridas por uma equipa de redes, não necessariamente por uma equipa de segurança. Portanto, uma grande parte do que estamos a fazer é ajudar pessoas encarregues de aspetos de proteção. Estamos a dar-lhes novas competências, fornecendo-lhes ferramentas para automatizarem parte do trabalho que fazem.
  Estamos a dar-lhes o 'porquê', e não apenas o 'quê', e, por vezes, a compreensão do 'porquê' influencia e inspira a fazer o 'quê'.”
Serviços legais CISO

O resultado final?

Ser criativo com os recursos não é novidade. No entanto, desenvolver uma equipa mais vasta, através de uma formação sistemática e da colaboração com equipas adjacentes à segurança, é uma forma inovadora para os CISO atenuarem parte do problema da escassez de talentos e das lacunas nas competências essenciais.
  • A criação de sinergias com outras equipas e a substituição de colaboradores fora da equipa de segurança ajudam a expandir a esfera de influência e a manter a empresa segura.
  • A formação dos utilizadores para reconhecerem phishing e problemas de segurança comuns é uma estratégia que a maioria dos líderes de segurança concorda que vale a pena o tempo e o esforço.

Todos os estudos citados da Microsoft utilizam empresas de investigação independentes para contactar profissionais de segurança para estudos quantitativos e qualitativos, garantindo a proteção da privacidade e o rigor analítico. As citações e conclusões incluídas no presente documento, salvo indicação em contrário, resultam de estudos de investigação da Microsoft.

Artigos relacionados

Cyber Signals: Número 1

A identidade é o novo campo de batalha. Obtenha informações sobre ciberameaças em evolução e que passos seguir para proteger melhor a sua organização.
Saber mais

CISO Insider Número 2

Neste número do CISO Insider, ouvimos responsáveis pela segurança de sistemas de informação a dizer o que vêm nas linhas da frente, de alvos a táticas, e que medidas estão a tomar para ajudar a prevenir e responder a ataques. Também ouvimos sobre como os líderes tiram partido da XDR e da automatização para dimensionar a defesa contra ameaças sofisticadas.
Saber mais

Número 2 do Cyber Signals: A Economia da Extorsão

Saiba o que os especialistas na primeira linha têm a dizer sobre o desenvolvimento do ransomware como serviço. De programas e payloads a afiliados e mediadores de acesso, descubra as ferramentas, as táticas e os alvos que os cibercriminosos preferem e obtenha orientação para ajudar a proteger a sua organização.
Saber mais