Por Arthur Capella*
Em discussões sobre cibersegurança uma das palavras mais utilizadas é “prevenção” e uma das indagações mais frequentes é como prevenir de ataques cibernéticos antes que eles sejam executados e registrem sucesso? Essa é uma questão importante com a qual as equipes de segurança têm de lidar diariamente.
De acordo com a Procuradoria Geral do Estado de Nova York, as taxas de notificações de violações e ataques cibernéticos em 2016 aumentaram 40% em relação ao ano passado. O número de ataques bem-sucedidos cresce sensivelmente e isso preocupa toda uma Indústria de Tecnologia da Informação e Segurança que há anos conta com players e marcas que afirmam que suas soluções garantem proteção. Vejo esse fato como uma questão de evolução. A cibersegurança é uma área que requer constantes mudanças com relação à defesa para lidar com novos malwares, técnicas de ataque e vulnerabilidades.
Os números, escala e sofisticação dos ataques aumentaram nos últimos quatro anos e, além disso, muitas tecnologias tradicionais ainda em uso foram criadas originalmente para impedir métodos de ataque já ultrapassados e são incapazes de detectar e impedir as ameaças atuais. Em uma pesquisa recente do SANS Institute sobre prevenção, 85% dos entrevistados afirmaram que apesar de terem implementado medidas de prevenção de malware conhecido, menos de 40% consideram essas medidas realmente preventivas.
É importante lembrar que a maioria das soluções foi desenvolvida para abordar uma determinada questão de segurança. Daí em diante, conforme novas ameaças aparecem, fabricantes criam e comercializam novas soluções pontuais para bloqueá-las, resultando em clientes com uma coleção de dispositivos de segurança de diversos fabricantes, cada um funcionando de forma independente para identificar e impedir os ciberataques. Essa abordagem deixa muitas lacunas na segurança e os agentes maliciosos podem se aproveitar disso, além de ser uma prática que exige mais recursos para orquestrar as diferentes tecnologias.
O que pontuo é que se as tecnologias tradicionais não estão impedindo os ataques cibernéticos, por que os players desse segmento continuam descrevendo suas soluções como preventivas? É hora de adotar uma nova definição para a palavra “prevenção” quando se trata de cibersegurança. Tanto prevenções novas quanto as de próxima geração devem parar de focar em um conjunto de ferramentas maliciosas em constante mudança e voltarem os olhos para as técnicas utilizadas por hackers. Dessa forma, o bloqueio de uma única técnica poderia impedir uma classe inteira de ataques. A verdade é que, se por um lado o malware e outras ferramentas continuaram crescendo diariamente, por outro, os métodos utilizados para entregar as ameaças (como phishing ou roubo de credenciais, por exemplo) não mudaram quase nada.
A partir dessa observação, não seria mais eficiente aumentar os esforços para impedir os métodos utilizados para entregar as ameaças ao invés de tentar impedir as próprias ameaças?
A prevenção de próxima geração também deveria ser automatizada. Como mencionei acima, o número de ciberataques cresce tanto que muitas equipes de segurança não conseguem acompanhar todos os alertas que suas soluções fornecem sobre possíveis violações.
E é ainda mais frustrante saber que estes alertas não trazem muitas informações sobre a infecção do malware, como exemplo: qual é o seu grau de gravidade? O que ele está tentando fazer? O malware foi projetado para atingir uma indústria específica?
Sem essas informações fica difícil determinar o grau de importância do ataque e quanta atenção ele demanda da equipe de TI. Quando a automação é devidamente aplicada, os ataques são identificados e impedidos pelo sistema, sem necessidade de intervenção humana. E os sistemas ainda podem contribuir para a imunidade coletiva ao compartilhar inteligência sobre novas ameaças descobertas com cada usuário.
Dado o histórico de aplicação da prevenção no mundo real, a visibilidade e eficácia da análise são áreas críticas que estão em foco. Cada vez mais os executivos estão pedindo por inovação na postura de segurança das empresas. Isso inclui ter uma plataforma capaz de reportar vulnerabilidade, tendências de ameaças, direção sobre qual deve ser o foco no futuro, além de uma visão clara do retorno sobre os investimentos de segurança.
*Arthur Capella é gerente-geral da Palo Alto Networks no Brasil