Para quem j\u00e1 est\u00e1 h\u00e1 mais de duas d\u00e9cadas no mercado de seguran\u00e7a da informa\u00e7\u00e3o, surge um sentimento de certa impot\u00eancia quando desafiado a executar projetos nessa \u00e1rea. H\u00e1 vinte anos, era poss\u00edvel afirmar com certo grau de certeza que, por meio da implementa\u00e7\u00e3o de ferramentas e processos de seguran\u00e7a, um determinado ambiente estaria bem protegido. No entanto, atualmente, essa afirma\u00e7\u00e3o n\u00e3o \u00e9 mais v\u00e1lida.<\/p>\n\n\n\n
A complexidade dos ambientes tem gerado uma necessidade crescente de estabelecer um maior n\u00famero de controles, utilizar mais ferramentas e processos, al\u00e9m de integrar melhor as pessoas envolvidas nesses processos. A meta agora n\u00e3o \u00e9 alcan\u00e7ar seguran\u00e7a absoluta, mas sim seguran\u00e7a relativa no mercado em que se atua. Em outras palavras: \u201cvoc\u00ea n\u00e3o precisa correr mais r\u00e1pido que o le\u00e3o, apenas mais r\u00e1pido que o \u00faltimo do seu grupo\u201d<\/p>\n\n\n\n
Outro ponto importante \u00e9 compreender os passos de um ataque. De maneira geral, temos os seguintes est\u00e1gios:<\/p>\n\n\n\n
1. Escolha e Estudo do Alvo: Nessa fase, o atacante seleciona o alvo e investiga suas vulnerabilidades.<\/p>\n\n\n\n
2. Prepara\u00e7\u00e3o das \u201cArmas\u201d Virtuais: Aqui, o atacante desenvolve ou adquire as ferramentas e m\u00e9todos que ser\u00e3o utilizados no ataque.<\/p>\n\n\n\n
3. Infiltra\u00e7\u00e3o: Essa etapa \u00e9 crucial para posicionar o atacante em um ponto espec\u00edfico da estrutura do alvo.<\/p>\n\n\n\n
4. Comando e Controle: A partir de um ponto remoto, o atacante assume o controle e opera o ataque.<\/p>\n\n\n\n
5. Movimenta\u00e7\u00e3o Lateral e Escala de Privil\u00e9gios: O objetivo \u00e9 se espalhar pela rede, obter acesso a outros sistemas e, se poss\u00edvel, alcan\u00e7ar privil\u00e9gios de administra\u00e7\u00e3o.<\/p>\n\n\n\n
6. Execu\u00e7\u00e3o do Objetivo: Isso pode variar desde coletar dados at\u00e9 criptografar arquivos para pedir resgate ou alterar informa\u00e7\u00f5es.<\/p>\n\n\n\n
\u00c9 importante notar que essa sequ\u00eancia de eventos n\u00e3o \u00e9 simples nem trivial. Muitos sistemas e processos precisam falhar em s\u00e9rie para que o atacante alcance sucesso em seu objetivo. No entanto, por que enfrentamos tantos problemas de seguran\u00e7a atualmente? Por que temos a impress\u00e3o de que n\u00e3o existe uma solu\u00e7\u00e3o definitiva?<\/p>\n\n\n\n
A resposta envolve diversos fatores, como a evolu\u00e7\u00e3o constante das tecnologias, a criatividade dos atacantes, a complexidade dos ambientes e a interconex\u00e3o global. Al\u00e9m disso, a seguran\u00e7a cibern\u00e9tica \u00e9 uma batalha cont\u00ednua, e as amea\u00e7as est\u00e3o sempre se adaptando. Portanto, a busca por solu\u00e7\u00f5es eficazes deve ser constante, com foco na preven\u00e7\u00e3o, detec\u00e7\u00e3o e resposta eficiente a incidentes.<\/p>\n\n\n\n
Uma dedu\u00e7\u00e3o l\u00f3gica e direta seria que para cada etapa destas, o n\u00famero de falhas \u00e9 t\u00e3o grande que mesmo serializando medidas de seguran\u00e7a sobrariam muitos espa\u00e7os a serem explorados. Como se pass\u00e1ssemos um faixo de luz por v\u00e1rias superf\u00edcies\/filtros com v\u00e1rios furos onde muitos deles est\u00e3o alinhados. A luz acaba passando. Para resolver o problema ter\u00edamos que ter v\u00e1rios filtros onde estes furos n\u00e3o estejam alinhados.<\/p>\n\n\n\n
Para continuarmos nosso racioc\u00ednio, \u00e9 importante entender o conceito de superf\u00edcie de ataque. Quanto maior essa superf\u00edcie, maior a probabilidade de um ataque ocorrer com certo grau de sucesso. Existem fatores que influenciam positivamente no aumento dessa superf\u00edcie de ataque. S\u00e3o eles:<\/p>\n\n\n\n
1. Intelig\u00eancia Artificial (IA): Atualmente, a IA \u00e9 uma das maiores preocupa\u00e7\u00f5es, pois amplifica exponencialmente os desafios que veremos a seguir. Essa tecnologia auxilia na automa\u00e7\u00e3o de decis\u00f5es, no processamento simult\u00e2neo de grandes volumes de dados, no teste de sistemas e na infer\u00eancia de contextos que antes passavam despercebidos. No entanto, tamb\u00e9m enfrentamos problemas inerentes \u00e0 IA, como alucina\u00e7\u00f5es e vieses.<\/p>\n\n\n\n
2. Baixa Qualidade de Software: O desafio da qualidade do software n\u00e3o \u00e9 novo. Desenvolver software n\u00e3o \u00e9 tarefa f\u00e1cil. Atualmente, h\u00e1 uma tend\u00eancia de promover plataformas LOWCODE ou NOCODE para automatizar ao m\u00e1ximo a gera\u00e7\u00e3o de c\u00f3digo (embora a automa\u00e7\u00e3o da gera\u00e7\u00e3o de c\u00f3digo n\u00e3o seja algo novo). Na pr\u00e1tica, algumas quest\u00f5es podem ser amenizadas, mas n\u00e3o podemos esquecer que quanto maior a automatiza\u00e7\u00e3o, mais c\u00f3digo \u00e9 gerado e menos pessoas realmente compreendem o que est\u00e1 dentro desse c\u00f3digo. Al\u00e9m disso, o reuso massivo de c\u00f3digo por meio de compartilhamento tamb\u00e9m \u00e9 comum. Estima-se que atualmente cerca de 80% a 90% do c\u00f3digo de um sistema seja copiado, adaptado ou gerado automaticamente. Esse cen\u00e1rio aumenta a probabilidade de bugs ou backdoors permanecerem ocultos no c\u00f3digo por anos.<\/p>\n\n\n\n
3. Errar \u00e9 Humano: Tanto o desenvolvimento de software quanto os processos envolvidos s\u00e3o realizados por pessoas, e todos n\u00f3s cometemos erros. Os geradores de c\u00f3digo tamb\u00e9m s\u00e3o criados por seres humanos, assim como os pr\u00f3prios computadores e as m\u00e1quinas que os montam. Erros fazem parte de todo o ciclo tecnol\u00f3gico em todas as etapas.<\/p>\n\n\n\n
4. Depend\u00eancia da Tecnologia: Quanto mais dependemos de software em nosso dia a dia, maior se torna a superf\u00edcie de ataque e mais valioso o alvo. A ado\u00e7\u00e3o cont\u00ednua de tecnologias sempre traz novas possibilidades de ganho, mas tamb\u00e9m aumenta os riscos de seguran\u00e7a.<\/p>\n\n\n\n
Podemos destacar tamb\u00e9m fatores tecnol\u00f3gicos estruturais que n\u00e3o mudar\u00e3o com o tempo ou que exigiriam uma transforma\u00e7\u00e3o tecnol\u00f3gica radical para serem alterados. Dessa forma, temos:<\/p>\n\n\n\n
1. Automatiza\u00e7\u00e3o dos Ataques: A automa\u00e7\u00e3o dos ataques, como o ransomware, veio para ficar. Quanto mais pessoas e empresas s\u00e3o alvo, maior a chance de sucesso para os atacantes.<\/p>\n\n\n\n
2. Complexidade dos Sistemas: A complexidade dos sistemas continuar\u00e1 aumentando. \u00c0 medida que novas tecnologias s\u00e3o adotadas, a interconex\u00e3o e a diversidade de componentes tornam os sistemas mais intrincados.<\/p>\n\n\n\n
3. Mercado Negro de Zero-Day Exploits: Os ataques \u201czero-day exploits\u201d, que exploram vulnerabilidades ainda desconhecidas e sem corre\u00e7\u00e3o, s\u00e3o negociados em um mercado negro. Esse mercado \u00e9 acessado por criminosos para opera\u00e7\u00f5es de roubo, governos em busca de segredos ou controle de infraestruturas cr\u00edticas e empresas visando ganhos comerciais. Muitas vezes, esses atores se confundem em suas complexas redes de relacionamento.<\/p>\n\n\n\n
4. Equil\u00edbrio entre Custos, Recursos e Tempo: Solu\u00e7\u00f5es tecnol\u00f3gicas com alto grau de seguran\u00e7a demandam mais recursos e tempo. No entanto, os recursos dispon\u00edveis est\u00e3o cada vez mais escassos, o que torna esse equil\u00edbrio desafiador.<\/p>\n\n\n\n
5. Natureza Constante das Amea\u00e7as: As amea\u00e7as cibern\u00e9ticas est\u00e3o em constante evolu\u00e7\u00e3o. A superf\u00edcie de ataque aumenta \u00e0 medida que novas tecnologias s\u00e3o adotadas. Acompanhar todas essas mudan\u00e7as \u00e9 humanamente imposs\u00edvel sem ferramentas e processos bem estruturados.<\/p>\n\n\n\n
Existem tamb\u00e9m fatores humanos estruturais que n\u00e3o s\u00e3o tecnol\u00f3gicos, mas afetam diretamente a qualidade da seguran\u00e7a. S\u00e3o eles:<\/p>\n\n\n\n
1. Erro Humano: J\u00e1 mencionado anteriormente.<\/p>\n\n\n\n
2. Capacidade de Enganar o Indiv\u00edduo: O c\u00e9rebro humano n\u00e3o \u00e9 t\u00e3o perfeito quanto imaginamos. Enganar pessoas n\u00e3o \u00e9 dif\u00edcil. Desde os prim\u00f3rdios da humanidade, com truques de m\u00e1gica, temos enganado nossa pr\u00f3pria percep\u00e7\u00e3o. Os deepfakes criados pelas IAs s\u00e3o exemplos modernos dessa capacidade. Al\u00e9m disso, a engenharia social \u00e9 utilizada para enganar pessoas e extrair informa\u00e7\u00f5es preciosas, e essa pr\u00e1tica nunca sair\u00e1 de moda.<\/p>\n\n\n\n
3. Capacidade de Manipula\u00e7\u00e3o em Massa: As fake news s\u00e3o um fen\u00f4meno amplificado pelas plataformas e seus algoritmos de sele\u00e7\u00e3o. Essa experi\u00eancia \u00e9 algo com o qual ainda n\u00e3o sabemos lidar completamente. A guerra de quinta gera\u00e7\u00e3o (5G) nunca esteve t\u00e3o vis\u00edvel e exposta para as pessoas comuns. A tecnologia permitiu que a arte da engana\u00e7\u00e3o alcan\u00e7asse multid\u00f5es em um espa\u00e7o de tempo curt\u00edssimo, com a introdu\u00e7\u00e3o de feedbacks em tempo real para ajuste das estrat\u00e9gias. Ainda temos muito a experimentar nesse campo.<\/p>\n\n\n\n
4. Amea\u00e7as Internas: A depend\u00eancia da tecnologia e seu uso nas empresas e governos empodera at\u00e9 mesmo um simples usu\u00e1rio. Seu ponto de acesso, suas credenciais e seus direitos de acesso podem ser suficientes para comprometer uma empresa ou um governo, sem a necessidade de usar qualquer tecnologia hacker. A corrup\u00e7\u00e3o simples e direta de pessoas \u00e9 uma amea\u00e7a real.<\/p>\n\n\n\n
Existem fatores circunstanciais pontuais ou temporais em nossa organiza\u00e7\u00e3o social atual, tais como:<\/p>\n\n\n\n
1. Compliances e Normatiza\u00e7\u00f5es: A multiplica\u00e7\u00e3o de compliances, como a ISO 27001, legisla\u00e7\u00f5es como a LGPD e outros frameworks, aumenta os custos de conformidade e cria barreiras artificiais de acesso a mercados. No entanto, \u00e9 importante destacar que estar em conformidade n\u00e3o garante necessariamente a seguran\u00e7a efetiva. Algumas organiza\u00e7\u00f5es focam apenas em atender aos requisitos de conformidade sem garantir a seguran\u00e7a real.<\/p>\n\n\n\n
2. Escassez de Profissionais Qualificados: O mercado de Tecnologia da Informa\u00e7\u00e3o e Comunica\u00e7\u00e3o (TIC) est\u00e1 em crescimento, e o n\u00famero de vagas abertas muitas vezes supera a forma\u00e7\u00e3o de profissionais qualificados. Isso tamb\u00e9m se aplica \u00e0 \u00e1rea de seguran\u00e7a.<\/p>\n\n\n\n
3. Atualiza\u00e7\u00e3o de Software: A necessidade de manter sistemas online entra em conflito com a necessidade de realizar atualiza\u00e7\u00f5es de software, que muitas vezes exigem reinicializa\u00e7\u00f5es e interrup\u00e7\u00f5es. Algumas empresas optam por n\u00e3o atualizar seus sistemas para evitar interrup\u00e7\u00f5es.<\/p>\n\n\n\n
4. Tecnologias como Cloud Security, IoT e Mobilidade: Essas tecnologias ampliaram as fronteiras da seguran\u00e7a. O aumento de dispositivos conectados e a facilidade de acesso rompem os limites f\u00edsicos que antes eram base para estrat\u00e9gias de seguran\u00e7a.<\/p>\n\n\n\n
5. Modelos Escal\u00e1veis e Replic\u00e1veis: O conceito de startups, crescimento r\u00e1pido e ocupa\u00e7\u00e3o do mercado com custos m\u00ednimos, entra em conflito com os maiores custos e a maior lentid\u00e3o no processo de garantia de qualidade e seguran\u00e7a de software.<\/p>\n\n\n\n
6. Cadeia de Suprimentos: A digitaliza\u00e7\u00e3o facilita a integra\u00e7\u00e3o e a especializa\u00e7\u00e3o, reduzindo os custos de produ\u00e7\u00e3o. Atualmente, vivenciamos uma integra\u00e7\u00e3o sem precedentes na hist\u00f3ria da humanidade. Agora, a seguran\u00e7a dos fornecedores afeta diretamente a seguran\u00e7a da organiza\u00e7\u00e3o. Vale ressaltar que a capacidade de influenciar a seguran\u00e7a de terceiros \u00e9 relativamente baixa, especialmente quando essa cadeia ultrapassa fronteiras nacionais.”<\/p>\n\n\n\n
Considerando esses fatores, como podemos aprimorar nossas barreiras de seguran\u00e7a contra ataques?<\/p>\n\n\n\n
Primeiramente, n\u00e3o investir em seguran\u00e7a n\u00e3o \u00e9 uma op\u00e7\u00e3o vi\u00e1vel. Deixar as barreiras fracas ou inexistentes aumenta significativamente a probabilidade de incidentes de seguran\u00e7a. Para investir de forma correta, precisamos estar cientes dos fatores mencionados anteriormente e consider\u00e1-los ao adquirir solu\u00e7\u00f5es de software, hardware e processos. Isso proporciona maior clareza sobre os pr\u00f3s e contras de adotar determinadas estrat\u00e9gias e sua capacidade real de enfrentar os desafios.<\/p>\n\n\n\n
A constru\u00e7\u00e3o de cada barreira deve levar em considera\u00e7\u00e3o as fases de um ataque hacker. Para cada fase, existem conjuntos de prote\u00e7\u00f5es (ou seja, barreiras) que devem ser avaliados e implementados. Alguns pontos s\u00e3o mais f\u00e1ceis e econ\u00f4micos de serem abordados em cada fase do ataque. Assim, uma barreira pode bloquear alguns ataques, enquanto outros podem passar.<\/p>\n\n\n\n
Para resolver essa quest\u00e3o, \u00e9 fundamental alinhar as barreiras nas v\u00e1rias fases do ataque, de modo a cobrir a maioria das possibilidades exploradas pela superf\u00edcie de ataque. Dessa forma, conseguiremos obter a maior cobertura poss\u00edvel.<\/p>\n\n\n\n
Infelizmente, muitas vezes as estrat\u00e9gias de implanta\u00e7\u00e3o de barreiras de seguran\u00e7a adotadas pelas empresas s\u00e3o baseadas apenas em considera\u00e7\u00f5es mercadol\u00f3gicas e an\u00e1lises de terceiros. Isso pode levar a uma corrida tecnol\u00f3gica sem efic\u00e1cia substancial, consumindo recursos preciosos das empresas e dos governos. Em muitos casos, aquisi\u00e7\u00f5es poderiam ser evitadas, pois se mostram praticamente in\u00fateis quando avaliamos as necessidades reais das empresas, os fatores mencionados anteriormente e a constru\u00e7\u00e3o das barreiras.<\/p>\n\n\n\n
\u00c9 preocupante que muito dinheiro seja gasto desnecessariamente sem trazer resultados concretos. A falta de alinhamento entre estrat\u00e9gias e necessidades \u00e9, de fato, uma das principais causas dos problemas de seguran\u00e7a que enfrentamos atualmente.<\/p>\n\n\n\n
—<\/p>\n\n\n\n
Rodrigo Jonas Fragola<\/p>\n\n\n\n
Profissional destacado na \u00e1rea de seguran\u00e7a da informa\u00e7\u00e3o, com uma trajet\u00f3ria de mais de 26 anos. Reconhecido como pioneiro em solu\u00e7\u00f5es tecnol\u00f3gicas inovadoras, Fragola contribuiu significativamente para o desenvolvimento do primeiro firewall nacional. Graduado em Ci\u00eancia da Computa\u00e7\u00e3o pela Universidade de Bras\u00edlia, ele se especializou em Seguran\u00e7a de Rede e Intelig\u00eancia Artificial, integrando habilidades t\u00e9cnicas a uma vis\u00e3o estrat\u00e9gica profunda.<\/p>\n\n\n\n
Como palestrante em eventos de prest\u00edgio, tais como Gartner Security, Security Leaders e Mind The Sec, Fragola compartilha seu conhecimento extensivo, impactando o setor nacional e internacional. Seu trabalho inovador e dedica\u00e7\u00e3o ao campo lhe valeram reconhecimentos importantes, incluindo a \u201cMedalha do M\u00e9rito Buriti\u201d do Governo do Distrito Federal e o pr\u00eamio \u201cA Nata dos Profissionais de Seguran\u00e7a da Informa\u00e7\u00e3o\u201d.<\/p>\n\n\n\n
Atualmente, Fragola lidera como CEO da Ogasec Cyber Security e \u00e9 presidente da Assespro-DF. Al\u00e9m disso, desempenha pap\u00e9is chave como conselheiro da ABES e membro da C\u00e2mara Nacional de Ciberseguran\u00e7a (CNCiber) do GSI\/PR.<\/p>\n\n\n\n
Para mais informa\u00e7\u00f5es, confira seu curr\u00edculo completo: http:\/\/lattes.cnpq.br\/2884780719728393<\/a><\/p>\n\n\n\n