Colaboração e cultura continuam a ser cruciais para a segurança: Chris Krebs
O especialista falou sobre a relevância da cultura de segurança e do gerenciamento de identidades para proteger melhor a rede corporativa e todas as informações corporativas. Krebs também comentou sobre temas como guerra cibernética e hacktivismo, como ameaças a organizações públicas e privadas.
Nas últimas três décadas, as ameaças à segurança da informação evoluíram, tornaram-se mais sofisticadas e automatizadas, incorporando tecnologias de dissimulação e furtividade, entre muitas outras, para atingir seus objetivos. Os defensores da segurança cibernética também tiveram que evoluir, desenvolvendo soluções e ferramentas para detectar ameaças com base em comportamentos anômalos em processos ou redes, integrando inteligência de ameaças e muitas outras tecnologias para proteger as informações da empresa e do usuário.
O que, aparentemente, não evoluiu muito é a questão da conscientização, da cultura de segurança em todos os níveis de uma organização. Os usuários continuam sendo enganados, buscando continuamente burlar as políticas para usar os aplicativos que desejam nos computadores corporativos, e parecem não entender totalmente a relevância de seguir as regras estabelecidas por TI, Sistemas, Segurança, Recursos Humanos e/ou Jurídicos . E isso é algo que continua acontecendo globalmente.
Não surpreendentemente, o especialista em segurança cibernética Chris Krebs comentou durante um almoço com a mídia que é importante criar e reforçar uma cultura de segurança cibernética em toda a organização. “Todo mundo faz parte da equipe para ter sucesso”, disse ele.
Christopher Krebs é um profissional de segurança cibernética e gerenciamento de riscos. Ele foi consultor sênior do secretário assistente de segurança interna e trabalhou no setor privado como diretor de segurança cibernética da Microsoft. Em março de 2017, foi nomeado conselheiro do Secretário de Segurança Interna dos Estados Unidos. Meses depois, foi nomeado subsecretário de Infraestruturas de Proteção. Em 2018 foi nomeado diretor da recém-criada Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, sendo demitido durante o governo de Donald Trump, logo após as eleições presidenciais de novembro de 2020. Atualmente, Krebs lidera a consultoria Krebs Stamos Grupo com Alex Stamos, ex-CSO do Facebook. Ele também é consultor de segurança em empresas como Rubrik e SentinelOne.
Foi precisamente em um evento para clientes e prospects do SentinelOne que Chris Krebs enfatizou a importância de uma cultura de segurança e colaboração como primeira linha de defesa contra os ataques cibernéticos de hoje. “É necessária uma abordagem mais agressiva para o gerenciamento de identidade, para monitorar quem está em sua rede e o que eles fazem. E, migrando para a nuvem, estratégias para salvaguardar os ativos e gerenciar os dispositivos”, disse.
Em última análise, trata-se de empresas capazes de detectar anomalias, agir contra elas, interrompê-las e colocar dispositivos em quarentena ou fora da rede rapidamente, e tudo o que foi dito acima, com transparência, acrescentou Krebs.
O especialista explicou que o gerenciamento de identidades e dispositivos faz parte de uma abordagem mais ampla, como a confiança zero, que engloba 5 pilares:
- Identidades
- Dispositivos
- Redes
- Carga de trabalho do aplicativo (na nuvem ou em outro ambiente)
- Dados.
“Você precisa organizar uma estratégia em torno desses cinco pilares, e isso será uma boa base para uma estratégia de segurança”, disse Krebs. Ele acrescentou que deve começar com liderança, cultura de conscientização, gerenciamento de ativos e identidade e recuperação.
O papel do governo na segurança
Durante o almoço com a mídia, realizado no âmbito do evento SentinelOne na Cidade do México, Chris foi questionado sobre a posição e o apoio dos governos em relação ao tema da segurança cibernética, ao qual respondeu que, além dos orçamentos reduzidos, faltam de colaboração entre as áreas internas e os diversos órgãos governamentais.
No caso específico dos EUA, e dada a sua experiência no setor, Chris acrescentou: “não existe uma abordagem estratégica, holística e coordenada no Congresso dos EUA para gerir os requisitos de TI; em vez disso, é investido em determinadas áreas e isso leva a mais estruturas para gerir os sistemas de governo.”
Krebs acrescentou que existem muitos fornecedores atendendo a mais de 100 agências governamentais nos EUA, e cada agência tem seu próprio CISO, com seus próprios desafios de gerenciamento de recursos, bem como conflitos de liderança. “Quando os fornecedores abordam, podem não dar a devida atenção e no final tudo se resume, como em qualquer lugar, a uma questão orçamentária”, disse.
Além disso, a questão do sourcing ou aquisição de produtos e/ou serviços no governo costuma ser burocrática e beneficia alguns fornecedores de tecnologia e grandes integradores de sistemas – algo que definitivamente não é um problema exclusivo do governo americano. Krebs disse que se concentrou em promover um modelo de serviço compartilhado para os principais serviços -como e-Mail- onde você não precisa de centenas de contratos para cada agência, mas de um punhado de pessoas centralizando solicitações, monitoramento e resposta. “Podemos simplificar a abordagem tecnológica, reduzir os custos de investimento… mas vários relatórios sobre violações foram coletados e mostrados, e eles não geraram interesse [dos funcionários públicos], mas foram descartados. Acho que você precisa de pessoas com experiência em segurança cibernética no Congresso para escalar a questão", disse ele.
Krebs já havia falado sobre a dificuldade de trabalhar com o governo americano, durante sua palestra no Black Hat 2022, em agosto. Nessa apresentação, o especialista disse que as pequenas melhorias nas operações cibernéticas do governo não são suficientes para evitar as crescentes ameaças. "Ainda é difícil para as organizações do setor privado saber com quem trabalhar. É o FBI? É a CISA? É o Departamento de Energia? É o Tesouro? Ainda é muito difícil trabalhar com o governo e a proposta de valor Não é tão claro quanto deveria ser", disse ele.
Durante sua palestra na Black Hat, Krebs explicou os quatro papéis principais do governo: consumidor, executor, advogado e facilitador. Do lado do consumidor, Krebs defendeu que o governo use seus fundos maciços para investir de forma mais agressiva em ferramentas do setor privado, embora não economize tanto no custo: "O preço mais baixo tecnicamente aceitável não pode ser o modelo de compra e saída". ”, alertou então.
Falta de reconhecimento dos profissionais do setor
Tanto Chris Krebs quanto os executivos do SentinelOne falaram com a mídia sobre sua preocupação com a falta de visibilidade e reconhecimento do papel dos diretores de segurança da informação, ou CISOs. Daniel Bernard, diretor de marketing (CMO) da SentinelOne, disse que os CISOs são frequentemente vistos como geradores de custos, e não como uma força produtiva de negócios, por isso são subestimados e incapazes de obter todos os recursos de que precisam. “A maioria das organizações em todo o mundo continua a relegar a posição de CISO ou diretor de segurança abaixo de TI, reportando-se a CIOs ou CTOs e se referindo aos profissionais de segurança cibernética como 'o cara da segurança'.” em vez de CISO, e eles trabalham para o cara da tecnologia. Boa sorte para essas organizações”, disse Bernard.
Krebs acrescentou que em organizações maiores, onde há mais processos a cumprir, faz mais sentido para um CISO sair do controle de TI, mas "muitas vezes há conflitos quando se trata de tomar decisões ou implementar, seja para comprar determinada tecnologia ou Não. E eles lidam com as áreas que geram o negócio fazendo seu trabalho.”
Bernard ofereceu um exemplo dessa rivalidade com Patch Tuesdays, onde a Segurança e as Operações geralmente se enfrentam. "A segurança diz 'temos que aplicar todos esses patches' enquanto a TI diz 'não está em nosso cronograma, temos outra janela de manutenção para um programa, agendamos para X dias ou semanas'", disse o CMO.
Marlon Palma, diretor regional de vendas para a América Latina e o Caribe, ofereceu sua visão sobre esse problema na região: "As empresas enfrentam uma lacuna de habilidades devido à falta de recursos qualificados, especialmente aquelas onde há apenas uma ou duas pessoas. Mas o SentinelOne automatiza o trabalho. Costumo perguntar a eles: 'você quer um software que o coloque para trabalhar ou um software que faça o trabalho para você? Porque é o que você precisa, visibilidade, automação e integração, interoperabilidade com outras ferramentas'. Temos que centralizar uma série de ferramentas e automatizá-las, dar visibilidade aos clientes que muitas vezes são cegos porque não conseguem ver o que têm”, comentou.
Ciberguerra e hacktivismo
Um tema que não passou despercebido durante a refeição foi o hacktivismo e a guerra cibernética. Após os incidentes de ataques a servidores do governo no México, Chile e Peru, o assunto ainda desperta muito interesse. Quando questionados sobre os ciberataques russo-ucranianos, os especialistas do SentinelOne foram cautelosos em suas opiniões, argumentando que antes de rotular um incidente como ciberguerra, é preciso primeiro entender se é uma nação se defendendo contra um ataque DDoS, ou de um ataque de ransomware, ou se eles estão afetando sistemas hospitalares em outras nações, causando a morte de algumas pessoas.
No mundo físico –explicou Krebs– existem barreiras significativas entre as nações que possuem armas e há acordos internacionais para que não usem seu arsenal, mas no mundo virtual supõe-se que cada país possa desenvolver algum tipo de arma cibernética, e se eles usam ou não é outra coisa; “Normas foram estabelecidas por 15 anos para evitar ataques a infraestruturas vitais, mas não foram definidas como um ato de guerra, apesar do fato de que poderiam causar danos graves”, disse ele.
Além disso, muitos desses ataques são realizados por grupos de hackers que, embora financiados por um governo, não fazem parte do governo e, portanto, não se qualificam como um ato oficial de guerra.
Uma das alternativas para interromper a guerra cibernética é interromper as redes de suporte aos criadores de ransomware. Em setembro, Krebs participou do Rubrik Data Security Summit, onde delineou três estratégias para remover o suporte das redes das operadoras de ransomware. Segundo Krebs, a superfície de ataque e a base instalada são altamente vulneráveis; em segundo lugar, os invasores descobriram como monetizar vulnerabilidades, geralmente por meio do ecossistema criptográfico; e terceiro, há um porto seguro histórico – ou seja, a Rússia – a partir do qual eles podem operar impunemente.
Na conferência de Rubrik, Krebs pediu que se investigue a própria capacidade dos criminosos de realizar suas atividades, interrompendo sua infraestrutura de comando e controle, interrompendo sua capacidade de trabalhar com outros afiliados e fazendo-os duvidar de si mesmos, para que os grupos se separem e não possam trabalhar juntos.
Voltando à mesa de discussão, o especialista disse que ainda estamos numa fase inicial do que corresponde a uma guerra cibernética, mas o que já está a acontecer é a espionagem. “E isso é considerado algum tipo de ataque. No entanto, quando os limites são cruzados danificando a infraestrutura ou colocando civis em risco, danificando os instrumentos da democracia, atacando os sistemas de votação eleitoral, isso é considerado um ataque dos Estados. A questão é como responder?", questionou Krebs.
Outras questões surgiram ao falar sobre os grupos hacktivistas que atacaram países latino-americanos, como Guacamaya. “Esses grupos têm uma ampla agenda e conhecimento, podem ter conotações políticas… a questão é se eles cruzam a linha do ativismo para a atividade criminosa, com acesso não autorizado a sistemas de computador protegidos. Mas também há um debate ético quando, a partir desses vazamentos, é divulgada uma quantidade de informações sobre corrupção, uma relação com cartéis de drogas que envolve funcionários do governo... A questão então é sobre transparência: as informações desses registros devem foram tratados de forma mais adequada? Devo iniciar um processo contra alguém? Esse é o objetivo de toda a operação”, concluiu Krebs.