Cibersegurança e Internet das Coisas na era do ransomware
por Srinivas Kumar*
O Relatório de Ameaças Cibernéticas da SonicWall 2022 mostra que, em 2020, o Brasil ficou em nono lugar neste ranking, com 3.800.000 ataques de ransomware. Em 2021 subiu para a quarta posição, revelando o altíssimo grau de vulnerabilidade do país a esse tipo de tentativa de invasão.
Por sua vez, a Check Point publicou novos dados sobre as tendências de ataques cibernéticos nos últimos meses. Assim, este novo relatório mostra que a média semanal global de organizações impactadas por ransomware agora chega a 1 em 40, o que representa um aumento de 59% ano ao ano (1 em 64 empresas no segundo trimestre de 2021).
Para o caso da América Latina, a região experimentou o maior aumento de ataques, com 1 em cada 23 organizações impactadas semanalmente, um aumento de 43% ano a ano, comparado a 1 em 33 no segundo trimestre de 2021, seguido pela região da Ásia, que teve um aumento de 33% ano a ano, atingindo 1 em cada 17 empresas impactadas semanalmente.
Uma pesquisa recente da Kaspersky afirma que apenas oito grupos de ransomware podem ser responsabilizados por ataques a mais de 500 empresas em todo o mundo. Não só isso, mas os ataques seguiram um método idêntico, mostrando uma “padronização” do ransomware como serviço. De acordo com a Kaspersky, os ataques entre diferentes grupos estão se tornando semelhantes devido ao surgimento do conceito de ransomware como serviço (RaaS), em que esses grupos não realizam seus ataques diretamente, mas oferecem o software malicioso a terceiros, contratando seus serviços.
Olhando para esse cenário, parece que direcionar a infraestrutura crítica sinaliza um novo normal. Com o nível de contramedidas de risco e treinamento de conscientização exigido em instituições públicas e privadas, do conselho aos funcionários, a perspectiva de controlar rapidamente a situação parece sombria por vários motivos. Mais ataques devem ser antecipados nos próximos meses e anos há um elixir cibernético.
Explicando o ransomware para leigos
O ransomware é um ataque lento que é um veneno de ação rápida uma vez armado. Os cibercriminosos dominam as técnicas para projetar malware avançado, entregar a carga útil do veneno evitando o perímetro da rede e os métodos de detecção e prevenção de endpoints. Eles sabem como explorar a psicologia do usuário e a falta de controles de proteção em tecnologia da informação, Internet das Coisas (IoT) e dispositivos industriais de IoT.
As ameaças internas (funcionários mal-intencionados/descontentes) são reais sem controles de acesso baseados em funções, separação dinâmica de funções e cerimônias de autorização de várias pessoas para supervisão. Os desafios para os operadores de rede e segurança são enormes. A criptografia é o calcanhar de Aquiles da segurança cibernética, e os criadores de malware sabem como armar os métodos de criptografia.
Embora os backups meticulosos e regulares do sistema e dos dados sejam cruciais para a recuperação, o dano de um ataque de ransomware pode ir muito além de uma operação de restauração. A integridade dos dispositivos afetados exigirá uma análise forense extensa e cara em escala em ambientes de tecnologia de operações. Embora ordens executivas e diretrizes de agências governamentais sejam oportunas e bem-intencionadas, o setor de segurança cibernética não tem a determinação de abordar a causa raiz sem retorno do investimento justificado em termos monetários.
E a cadeia de suprimentos?
Detecção, prevenção e análise forense são hoje uma indústria multibilionária, mas os dispositivos de proteção e a proteção da cadeia de suprimentos ainda são percebidos (erroneamente) como um centro de custo pelos fabricantes de dispositivos, e não há regulamentação para motivar a inovação. A proteção cibernética deve começar na fábrica e persistir em campo durante todo o ciclo de vida operacional do dispositivo. Os ataques cibernéticos visam dispositivos de dados, não usuários. O usuário é apenas o carbono.
As violações acontecem porque os CISOs estão dispostos a correr riscos com listas de verificação desatualizadas e controles centrados em entrada para defesa multicamada que os invasores conhecem bem. Os invasores possuem a vontade e os recursos para evitar a detecção, persistir, propagar lateralmente e assumir o controle dos sistemas.
Se você está realmente protegendo seus dispositivos, o que está tentando detectar em sua rede? Se você está vestindo uma capa de chuva, por que precisa de um guarda-chuva? Você não pode corrigir um problema no dispositivo com um patch na rede. É conveniente, mas a solução errada, que apenas chuta a lata cibernética no caminho. Os hackers são profissionais que exploram:
- Senhas quebradas de um contratado ou funcionário crédulo;
- Servidores obscuros e inseguros na rede com contas de serviço ou usuário de domínio desprotegidos;
- Acesso remoto por VPN por meio da rede e/ou sistema de um fornecedor de cadeia de suprimentos comprometido;
- Recursos de firewall inadequados para bloquear o comando criptografado e os beacons de controle (mensagens de discagem inicial benignas). Está bastante claro que a inteligência de ameaças de dia zero é inadequada e atingir o objetivo de uma arquitetura de confiança zero, além de slogans, requer investimento e comprometimento.
Fabricantes de dispositivos e seus deveres
O que isso significa para o setor de segurança cibernética? Conectar dispositivos desprotegidos agrava o problema. A indústria do crime cibernético evoluiu ao longo dos anos para uma guerra cibernética estratégica por atores do estado-nação e um sindicato do crime cibernético que dominou a arte de capturar reféns cibernéticos para resgate e lucro em escala.
Os kits de desenvolvimento de software e os help desks na dark web estão capacitando os operadores em todo o mundo – sem rastreamento ou ações punitivas como dissuasão. Este é um chamado à ação para fabricantes de dispositivos e provedores de serviços de segurança gerenciados para atuar como os primeiros a responder e proteger o ciberespaço.
Embora a transformação digital seja uma palavra da moda há vários anos, os CISOs e os arquitetos de segurança de produtos têm sido, infelizmente, ineficazes em defender a causa da transformação de dispositivos que iniciará a passagem para a transformação digital. Embora os fornecedores de chipsets de silício tenham intensificado as inovações de segurança, a cadeia de confiança não conseguiu borbulhar efetivamente a pilha para a plataforma do dispositivo, aplicativos de linha de negócios e ecossistema da cadeia de suprimentos de serviços cibernéticos.
Proteger a malha cibernética de gateways de borda definidos por software e a pluralidade de dispositivos brownfield e greenfield conectados exigirá um esforço colaborativo e de alto astral com parcerias estratégicas entre inovadores e líderes de pensamento no setor de dispositivos.
*Srinivas Kumar é vice-presidente de soluções de IOT da DigiCert