O especialista em segurança cibernética Rodrigo Fragola, que é CEO da Aker N-Stalker e Vice-Presidente de duas entidades da indústria de TI, lançou uma espécie de “alerta vermelho” para a comunidade de segurança digital.
Rodrigo Fragola vê a tradicional prática do ‘pentest’ como uma simples “autópsia”, incapaz de se adiantar às novas formas de ataque
Na visão de Fragola, a indústria de segurança não está conseguindo acompanhar a rápida evolução tecnológica do cibercrime, nem o aumento dos riscos ocasionados pela expansão da chamada “terceira plataforma”, que é o cruzamento da computação em nuvem com a mobilidade digital interativa e com a chamada “big data”.
“Não faz muito tempo, o mundo inteiro assistiu à avalanche virtual provocada pelo WannaCry, um tipo de ameaça baseada em técnicas de invasão elementares, mas que, ainda assim, foi capaz de sequestrar os servidores de grandes empresas globais. E isto acontece porque o cibercrime vem aprofundando a automação dos ataques e empregando, cada vez melhor as estratégias de uso e reúso de artefatos lógicos para enganar as defesas”, comenta.
Segundo ele, embora uma falha do MS-Windows venha sendo apontada como o vetor primário para o sucesso do WannaCry, o ataque deixou clara a existência de um grande número de empresas ainda sem processos preventivos para varredura, detecção e correção de vulnerabilidades que as permitam se adiantar a um ataque maciço.
“Mesmos as empresas mais preparadas ainda utilizam conceitos de gestão de risco estruturados em práticas muito lentas. Este é o caso dos ‘pentests’ periódicos (ataques controlados e levados a efeito pelos chamados hackers éticos). São práticas envolvendo o topo do conhecimento hacker, mas hoje podemos dizer que são excelentes apenas para efeito de compliance, isto é, para garantir a auditoria e o cumprimento de formalidades regulatórias.”
No que diz respeito à segurança em si, em muitos casos, estes testes funcionam quase como uma autópsia, e não como instrumentos para se antecipar e coibir o risco”, comenta o Fragola.
Ele destaca que, há cerca de 20 anos, a indústria de segurança vem se debatendo de forma semelhante com problemas já bastante conhecidos, como é o caso dos ataques Zero-Day (exploração e uso criminoso de vulnerabilidades do tipo backdoor).
Em geral, os técnicos de segurança conseguem encontrar e mapear os pontos vulneráveis, mas a janela de tempo até a correção do problema acaba se convertendo, ela mesma, no maior calcanhar de aquiles, pois viabiliza que a informação da vulnerabilidade seja publicamente exposta, podendo ser explorada por um grande número de agentes.
No caso do WannaCry, lembra o executivo, houve uma janela em torno de três meses, entre a descoberta da brecha e o ataque em massa.
Automatizar os testes é a saída
Fragola propõe que tecnologias de gestão de vulnerabilidades e de testes automatizados devem ser empregadas, tanto nos ambientes em produção quanto nos processos de DevOps (desenvolvimento e testes de software). Esta prática, considera ele, permite atingir uma maior abrangência na varredura e maior periodicidade dos testes.
“Diferente de um pentest, que é geralmente restrito, lento e caro, os testes automatizadas são mais baratos, podem ser usados em todos os ativos do cliente e podem ser repetidos várias vezes”.
Na visão do especialista, as varreduras automáticas mantém o usuário constantemente informado sobre os riscos, mitigando os níveis de exposição, principalmente para os ativos mais importantes do negócio, e submetendo-os à política de gestão de risco (GRC) da companhia.
Com isto, argumenta, é possível levar a termo estratégias mais eficazes de correção e ainda diminuir a janela de risco.
“Para as aplicações web, podemos empregar o conceito de “virtual patch”, pelo qual aplicamos um filtro no sistema de proteção da aplicação e evitamos que um bug possa ser explorado antes de ser detectado e corrigido, diminuindo, também aí, a taxa de exposição a ataques.
“Na sociedade multiconectada e regida por inteligência artificial, não há mais lugar para soluções excessivamente artesanais e lentas como é o caso dos pentest”, conclui Rodrigo Fragola.