As manchetes continuam repletas de relatos de agências governamentais e grandes empresas vítimas de invasões cibernéticas. Isso continua sendo verdade, apesar da proliferação de orientações sobre segurança cibernética e dos grandes aumentos nos gastos globais com segurança cibernética (cerca de$150 bilhões por ano em todo o mundo em produtos e serviços cibernéticos). Por quê? Além de cada vez mais bem financiado agentes de ameaças, a “superfície de ataque” onde esses ataques são implantados está mudando dramaticamente.
- O número de aplicativos usados por uma organização típica cresceu rapidamente na última década: de acordo com os recentes relatando, organizações típicas usam 130 aplicativos SaaS, contra 16 aplicativos há cinco anos. Nossa empresa trabalha com grandes empresas que gerenciam milhares de aplicativos SaaS e locais. Cada aplicativo exige postura (um estado geral de prontidão para a segurança cibernética), gerenciamento de vulnerabilidades e controles de autenticação.
- O número de dispositivos de internet das coisas (IoT) também está explodindo: algumas previsões projeto que haverá 41,6 bilhões desses dispositivos até 2025. E as redes 5G permitirão um nível muito maior de computação distribuída na periferia. Drones e robótica não são mais simplesmente a coisa dos ambientes militares — eles estão sendo usados hoje em muitos setores e áreas de serviços, da agricultura aos centros de distribuição de varejo, aos serviços de entrega e muito mais.
- O software e o firmware que executam esses sistemas estão sobre bases de código cada vez mais complexas, tanto em tamanho quanto em dependência de código de terceiros. A base de código original do ônibus espacial era apenas 400.000 linhas de código. Carros modernos têm 100 milhões de linhas de código.
Está se tornando praticamente impossível garantir que tudo seja corrigido corretamente. E as consequências estão se tornando cada vez mais graves. A MKS Instruments, fornecedora de tecnologia para a indústria de semicondutores, recentemente informado um impacto de 200 milhões de $ de um ataque de ransomware. A exploração de vulnerabilidades em sistemas de controle industrial e dispositivos de IoT acarreta impactos na vida e na segurança, como vimos recentemente tentativas para envenenar sistemas de água.
Para gerenciar o risco cibernético nesse contexto, precisamos mudar fundamentalmente a forma como medimos o desempenho. As medidas que vemos utilizadas atualmente incluem avaliações de maturidade (que usam uma escala para definir níveis progressivos de maturidade dos recursos utilizados para gerenciar riscos cibernéticos), atestados de conformidade (em que uma empresa ou auditores terceirizados atestam ou validam que um conjunto predefinido de controles de segurança está em vigor), relatórios de envelhecimento da vulnerabilidade (que medem a presença de vulnerabilidades críticas e altas presentes nos ativos de TI e por quanto tempo elas não foram remediadas), e estatísticas de tempo médio de detecção (que medem quanto tempo é necessário para detectar ameaças) atividade dentro do ambiente de uma organização). Essas medidas são valiosas e necessárias, mas não são mais suficientes, e precisam ser resolvidas de três maneiras.
Três maneiras pelas quais precisamos melhorar as medidas atuais de risco cibernético
Primeiro, no front-end, precisamos dar maior visibilidade aos níveis de risco inerentes às organizações — essencialmente, “O que estamos sendo convidados a defender?”
Por duas décadas, premiamos o Departamento de Segurança Interna (DHS) Iniciativa de segurança de áreas urbanas (UASI) doa com base no grau relativo de risco em diferentes áreas metropolitanas, e precisamos de uma abordagem semelhante em cibersegurança. Isso inclui medir a ameaça, a complexidade e o potencial impacto nos negócios. Precisamos de painéis que meçam tendências em fatores como o número de aplicativos, o tamanho e a natureza dos bancos de dados e repositórios de código, as regiões em que operamos, a velocidade das fusões e aquisições e as dependências dos principais fornecedores. Isso se tornará particularmente importante à medida que o Big Data, a IA e a IoT evoluírem, porque os benefícios e riscos dessas inovações cairão de forma desigual entre as organizações.
Em segundo lugar, precisamos de muito mais transparência, precisão e precisão sobre como atuamos contra ameaças prováveis e se o fazemos de forma consistente em toda a superfície de ataque.
A base de conhecimento mais confiável e transparente sobre comportamento de ameaças disponível atualmente é a da MITRE Corporation ATAQUE estrutura. A Agência de Segurança Cibernética e Infraestrutura (CISA) lançou recentemente um conjunto de Metas de desempenho de cibersegurança destinado a ajudar a estabelecer um conjunto comum de práticas fundamentais de segurança cibernética para infraestrutura crítica. Cada uma das metas é mapeada de acordo com técnicas específicas de ameaça do MITRE. As empresas podem testar o desempenho de segurança com base nessas técnicas, e a CISA, o FBI e a NSA emitiram em conjunto orientação recomendando que eles façam isso.
Todos os anos, a CISA produz um compêndio de seus esforços de teste de penetração e o relatando indica que o comprometimento de contas válidas é a técnica em que o maior número de organizações falha. Essa tendência só aumentará à medida que migrarmos para a nuvem, onde a identidade é o perímetro, e isso significa que as defesas em torno da identidade e do acesso devem ser a principal prioridade. Ao fazer isso, a automação e a medição contínua do desempenho de segurança se tornarão cada vez mais importantes. Felizmente, as principais empresas de nuvem estão fornecendo ferramentas que fazem isso, como a da Microsoft Pontuação segura.
Da mesma forma, com o avanço da IA e a capacidade de imitar usuários legítimos, as técnicas de análise de reputação também se tornarão cada vez mais importantes para identificar impostores. A Alfândega e Proteção de Fronteiras dos EUA classifica continuamente o risco de carga recebida, em parte ao analisar se um remetente é conhecido e confiável. Esses mesmos princípios se aplicam ao ciberespaço. As técnicas de análise de reputação podem — e estão — sendo aplicadas automaticamente para decidir se deseja bloquear determinados sites, e-mails recebidos ou tentativas suspeitas de autenticação.
Outra lente para a defesa baseada em ameaças é medir como “ativos de alto valor” são defendidos. Definir “ativos de alto valor” pode ser subjetivo e exagerado, mas sabemos que certos sistemas são atacados repetidamente porque desempenham funções essenciais para a confiança. Depois do Incidente da SolarWinds, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) definiu essa lista de software crítico, e um bom ponto de partida é medir o quão bem esses sistemas são defendidos.
Ao medir essas defesas, precisamos avaliar não apenas o quão bem protegemos esses sistemas em operação, mas também com que segurança os fornecedores desses sistemas os desenvolveram e atualizaram. O recente roubo do código-fonte em Okta, fornecedora líder de soluções de autenticação multifatorial e login único baseadas em nuvem, bem como a violação no gerenciador de senhas LastPass, coloque isso em relevo. Infelizmente, certificações existentes, como ISO 27001 e SOC 2 esclarece pouco se processos robustos de segurança do ciclo de vida do software estão em vigor. Assim, o Estratégia Nacional de Cibersegurança lançados em março, apelam para incentivar uma melhor segurança de software, tanto por meio da transferência de responsabilidade para os fornecedores de software quanto do uso do poder de compra do governo para incentivar a adoção de estruturas modernas, como a Estrutura de Desenvolvimento de Software Seguro (SSDF) do NIST e o conceito relacionado de uma Lista de Materiais de Software (SBOM). À medida que as estruturas de certificação SSDF e SBOM forem formalizadas, elas devem ser adotadas nos programas de gerenciamento de risco de terceiros das empresas.
Em terceiro lugar, precisamos planejar e medir o desempenho em relação a eventos de baixa probabilidade e alta consequência.
Há uma tendência de quantificar os impactos financeiros do risco cibernético por meio de modelos como Valor em risco, que quantifica (geralmente em termos de dólares) a perda potencial de valor de uma entidade durante um período de tempo definido em um determinado nível de confiança. Esses modelos são úteis, mas necessariamente dependem das entradas de dados. Dependendo dos dados que impulsionam esses modelos, eles podem apresentar uma visão excessivamente otimista do risco. História diz Nós, isso é o que aconteceu com o risco de crédito e liquidez no início dos anos 2000, e temos a crise financeira de 2007-2008 para mostrar isso.
No DHS, após o 11 de setembro, estruturamos o planejamento de preparação em torno de um conjunto básico de cenários de planejamento, e agora os reguladores bancários britânicos exigir planejamento e testes semelhantes em torno de cenários “severos, mas plausíveis”. Um bom lugar para começar é o que aconteceu com Maersk no incidente do NotPetya, em que a empresa quase perdeu permanentemente seu sistema de TI devido a um malware destrutivo posteriormente atribuído à Rússia. Mais recentemente, a migração de cargas de trabalho para a nuvem antes da invasão da Ucrânia foi fundamental para sua capacidade de enfrentar uma torrente de ataques cibernéticos russos. O clima geopolítico atual ressalta a importância de reformular o planejamento de resiliência sobre como manter a empresa funcionando se seus sistemas principais forem comprometidos. Mantivemos backups off-line e testamos a recuperação? Podemos reconstituir uma forma de nos comunicarmos com funcionários essenciais? Sabemos como garantir que certos pagamentos importantes, mas de baixo risco, possam continuar?
Podemos transformar risco em oportunidade: se pudermos nos unir em torno de mecanismos para medir o desempenho da segurança cibernética com transparência, exatidão e precisão, poderemos trabalhar com nações aliadas para codificá-los e implementá-los. Eles poderiam então ser refletidos como requisitos básicos em aquisições de tecnologia no exterior, criando maiores oportunidades de diferenciação. Não existe eliminação de riscos, mas por meio de melhores mensurações e incentivos, podemos não apenas gerenciar esses riscos tecnológicos, mas transformá-los em oportunidades para uma economia mais resiliente.
