Embora novas táticas e artefatos do cibercrime exijam que as tecnologias e métodos de cibersegurança estejam em constante adaptação, recomendações já bastante conhecidas continuam a ser a base para controle dos ambientes e resposta a ataques. “Uma abordagem zero trust mitiga 70% dos problemas com IA”, exemplifica Ronaldo Silva, diretor de engenharia de segurança da Dock (uma plataforma de APIs entre provedores de serviços financeiros).
“Quando o CISO comunica, de forma consistente, os princípios e as políticas para a direção da empresa e aos colaboradores, a segurança deixa de ser um entrave e se torna habilitadora de inovações. Em vez de dizer ‘não’ às iniciativas, passam a responder com ‘sim, mas…’. Frameworks como o NIST (National Institute of Standards and Technolgoly, do Departamento de Comércio dos EUA), além de direcionar as melhores práticas, ajudam a explicar as normas e medidas de segurança no contexto de cada negócio”, argumenta Marcelo Fernandes, arquiteto de soluções de segurança da Embratel.
Fernandes defende a adoção de frameworks de segurança, entre as quais o NIST é o mais consagrado como padrão, de fato. Ele explica que o conjunto de recomendações se sustenta em seis eixos: identificar, proteger, detectar, responder, recuperar e governar. “Este último item, de governança, foi acrescentado em fevereiro deste ano. Na verdade, é a base para os demais fundamentos, que cobrem desde o mapeamento dos ativos críticos até a resposta e recuperação em caso de incidentes”, esclarece.
A disciplina agregada por uma metodologia bem definida, diz o especialista, evita o pânico e ações desordenadas, que agravam os danos gerados por um ataque. “O mais importante é que segurança passa a ser um processo contínuo, no qual o aprendizado em cada incidente volta como melhoria no ambiente”, enfatiza. Ele conta que conhece casos, de grandes indústrias, em que ações reativas, sem uma estratégia definida, resultam na continuidade da exposição aos mesmos tipos de ataque, com prejuízos sucessivos.
Visão abrangente para múltiplas ameaças
“A estratégia é estabelecer os controles desde o começo de cada iniciativa. Os times de desenvolvimento e negócios querem autonomia para colocar as inovações em produção, rapidamente. Para que essa autonomia não comprometa as políticas e configurações de segurança, é preciso ter metologias e ferramentas”, avalia Guilherme Lima, gerente de engenharia e arquitetura de cibersegurança da B3. “Invista tempo e olhe vários aspectos nas análises de tecnologias. Há ferramentas que ajudam muito a verificar se as aplicações e configurações estão no padrão. Mas, é preciso avaliar, também, os riscos e impactos na arquitetura do ambiente”, exemplifica.
Gabriel Loschi, líder de segurança de acesso e security by design do BV, estima que o custo de correção de uma aplicação em produção chegue a ser 30 vezes maior do que na fase de testes. Contudo, ele também enfatiza a necessidade de olhar não apenas as aplicações, mas, também, suas interações no ambiente. “É difícil ser preditivo e monitorar o inesperado”, reconhece. “Porém, não se pode esperar acontecer os incidentes para se criar o plano de ação”, pondera.
“Na nuvem existem muitas ferramentas (de mitigação e resposta a ameaças) e as ações podem ser muita mais rápidas. Mas, também é mais comum que se erre em alguma configuração”, lembra Guilherme Lima. “Além dos parâmetros técnicos, é preciso monitorar as camadas transacionais. Há fatores que a cibersegurança não enxerga se não olharmos os dados do negócio”, aconselha.
IA como problema e também como solução para os CISOs
Os líderes de cibersegurança das instituições e o especialista da Embratel, que opera o SOC (centro de operações de segurança) ativo há mais tempo no país, estiveram reunidos no MindTheSec, um dos principais encontros dedicados ao tema. Assim como praticamente todos os eventos de tecnologia, a Inteligência Artificial foi assunto central, neste caso com foco em seus impactos na cibersegurança.
“A IA é uma grande aliada para predições, análises abrangentes e automação das respostas a incidentes. Em contrapartida, aumenta as ameaças e os problemas para as equipes de cibersegurança”, diz Marcelo Fernandes. “Com GenAI, é possível automatizar pesquisas de perfis nas redes sociais para ataques de engenharia social altamente personalizados e em massa”, menciona. “A IA dá contexto ao texto”, define.
Mesmo com as salvaguardas das plataformas de GenAI, Fernandes adverte que algumas manobras no prompt abrem caminho para violações, mesmo para quem não tem conhecimento técnico. O atacante pode, por exemplo, pedir uma varredura de vulnerabilidades em um site e, em seguida, obter um script pronto para explorá-las.