O diretor de Engenharia da Fortinet, Alexandre Bonatti, comentou que, “para entender como os hackers agem, é preciso pensar como eles”. E é exatamente o que faz o especialista de Segurança da Informação, João Lucas Melo Basio. Ele está no “hall da fama” dos hackers como um dos especialistas que mais identificam e eliminam vulnerabilidades críticas nas maiores instituições do planeta.
Coube a Basio, não por menos, a palestra final do Security Day 2022, evento promovido pela Embratel no último dia 10 de novembro. Ele mostrou um pouco do cenário atual das empresas no mundo, exemplos reais de ataques e como o Zero Trust (ZT) poderia ter evitado ou mitigado diversos ataques.
O primeiro ponto destacado foi que as ações voltadas aos perímetros antigos não são mais suficientes. O cibercrime tem se rentabilizado e se transformado em um negócio para muitas pessoas fora da lei. Por conta disso, houve um aumento exponencial dos casos, o que já leva boa parte dos executivos de grandes empresas a considerarem os ataques cibernéticos o principal risco para os negócios.
Ciberataques e prejuízos trilhardários
Não existem segmentos muito ou pouco visados, ressalta Basio, pois além do desvio de dinheiro, há interesse por informações confidenciais de pessoas. Estima-se que a violação de dados deverá gerar prejuízos da ordem de US$ 10,5 trilhões para empresas até 2025. “É um mega negócio. Existem organizações com diretoria estabelecida, que negociam plataformas.”
O número de casos cresceu muito no Brasil, principalmente depois da pandemia, pois o trabalho remoto aumentou a exposição ao perímetro. Os casos de ransomware aumentaram 715% e, em 2021, foram vazadas 5,9 bilhões de credenciais. “É claro que esse número contabiliza credenciais vazadas mais de uma vez”, disse o especialista.
Com a venda de plataformas, nem é preciso conhecer de tecnologia, segundo ele. “O criminoso contrata, como se fosse uma licença de Word. Espalha e-mail e, de quem clicar, ele coleta uma porcentagem do ransomware”, detalhou Basio.
Em 2021, aconteceram 3.4 bilhões de ataques cibernéticos no Brasil: 9.3 por dia, 388 por hora, 6.4 por minuto e 107 por segundo. “Estamos em um campo de batalha”, definiu.
Os principais pilares para esse aumento, acredita Basio, são o surface web, deep web e dark web. No caso da dark, existe ainda a sensação de anonimato e o uso de criptomoedas. “A Monero é uma moeda que não pode ser rastreada, por exemplo. Então, você não sabe para onde foi e nem quanto foi. O criminoso vai receber de uma forma anônima e que ninguém pode crackear”, explicou.
Cuidados com a LGPD
Por incrível que pareça, outra fonte de receita para os cibercriminosos é a Lei Geral de Proteção de Dados (LGPD). Lucas Basio disse que a legislação não é ruim, no entanto, está sendo utilizada como instrumento de barganha. “Os criminosos perguntam para a empresa se ela prefere pagar até 50 milhões de reais em multa por um vazamento ou 5 milhões em Monero, por exemplo. Ou seja: a lei precifica a informação, dá uma tabela de prejuízo, traz uma tangibilidade para esses ataques”, disse.
Para mitigar essas invasões, o Zero Trust surge como importante opção a partir do momento que se baseia no princípio de que existem invasores dentro e fora da rede corporativa. Por isso, nenhum usuário, dispositivo ou aplicação deve ser automaticamente considerado confiável. O ZT usa conceito de white list e não de black list. Ou seja: ele proíbe tudo e libera apenas após uma detalhada análise do que está sendo permitido, tornando a lista muito mais confiável.
De forma geral, acredita o especialista, é importante ter profissionais capacitados para definir essa arquitetura do Zero Trust, além de utilizar soluções robustas para de fato ter uma estratégia que funcione em longo prazo. “Princípios fundamentais: nunca confie e sempre verifique privilégios de acesso mínimo a todos os usuários, dispositivos e aplicações. Não existe o “se precisar” [já estará liberado]. Se precisar, o usuário terá de pedir uma autorização temporária. Ninguém tem que ter mais privilégios que o necessário para executar as suas funções. Assuma que já possui uma violação de segurança, reaja a ataques mesmo que de forma teórica. O ZT utiliza uma soma de soluções, de protocolos para identificar a invasão antes que ela ocorra”, explicou.
O especialista concluiu que todas as pessoas da empresa são elementos-chave da segurança da informação, que não é apenas responsabilidade dos técnicos, mas sim de todas as áreas, independente do cargo. “Qualquer computador pode ser utilizado para uma movimentação lateral. Sempre desconfie de comportamentos estranhos, tanto de dispositivos quanto de pessoas, e sempre procure ajuda do time de segurança. Quanto antes for detectada uma ameaça, maior a chance de contê-la”.
