“Estamos a evoluir para uma economia de cibercrime e a ameaça é crescente”

Em outubro, a Microsoft publicou a edição de 2021 do Digital Defense Report, um relatório que, segundo a própria Microsoft, se baseia “em insights, dados e sinais” da própria empresa e que inclui a cloud, os endpoints e o edge.

Em entrevista à IT Security, Manuel Dias, CTO da Microsoft Portugal, aborda as principais conclusões do estudo, como a cibersegurança estar a mudar um pouco por todo o mundo, independentemente do setor de atividade, e o que é que os responsáveis de cibersegurança das organizações podem fazer para mitigar o risco.

A Microsoft lançou, em outubro, o Digital Defense Report. Quais são as principais conclusões do estudo?

O Digital Defense Report cobriu um conjunto de áreas que não tinham sido abordadas o ano passado. Fez a análise do estado do cibercrime – como já tinha feito –, olhou em muito detalhe para os ataques de Estado-nação, trouxe a componente do IoT e do OT, parte bastante importante à medida que temos mais devices, e o tema do trabalho híbrido, que é fundamental, mas olhou também para a desinformação. Estas foram as grandes áreas.

Em termos de grandes números, a Microsoft está a analisar diariamente mais de 20 biliões de sinais – e esses números vêm no relatório –, mas não deixa de ser impressionante a quantidade de bloqueios e ameaças, seja a nível de dispositivos – mais de nove mil milhões –, seja a nível de ataques por email – mais de 32 mil milhões em 12 meses; o bloqueio de ameaças foi de 31 mil milhões e o número de sites de phishing bloqueados foi 178 mil.

Ao nível dos ataques por estado-nação, que é uma área muito importante, continuamos a ver a sofisticação desses ataques, onde a Rússia continua a ser a principal origem, com quase dois terços dos ataques que endereçaram, especialmente, os Estados Unidos, a Ucrânia e o Reino Unido. Há uma parte relevante onde a taxa de sucesso da Rússia passou, num ano, de 21% para 32%.

Ao nível do ransomware, importa referir que continua a ser uma ameaça mais sofisticada. O mercado ficou muito mais maduro; o Ransomware-as-a-Service é um padrão que está a emergir e que cresceu muito no último ano. Em termos de phishing, também notámos que aumentou como malware mais comum, especialmente para as áreas de retalho, contabilidade e indústria, que são os setores mais afetados.

Há uma conclusão, que acho bastante importante, que é a de olhar para o cibercrime como uma economia. O que observámos durante este ano foram os números e os perfis diferentes dos ciberataques, que são mais sofisticados. Por outro lado, a quantidade de recursos que há disponíveis online, os kits de phishing, de ransomware, que qualquer pessoa, sem muita experiência, pode comprar por menos de 60 euros… isso torna cada vez mais fácil programar e endereçar este tipo de ataques.

Ao nível do IoT e do OT, vale a pena referir que, obviamente, o IoT cria mais um vetor de ataque. O crescimento exponencial dos devices, especialmente na China, faz com que seja uma área cada vez maior e, mesmo que tenha sistemas contra ataques cibernéticos, é um facto que eles estão a aumentar porque a base endereçável é muito maior. Ao nível do OT, notamos que ainda existe algum atraso na utilização de standards e práticas de segurança como no IT. As vulnerabilidades em grandes áreas, como as utilities ou os transportes, são bastante importantes.

Por último, o trabalho híbrido é muito importante. O facto de termos ido todos para casa ou estarmos a trabalhar em modelo híbrido, onde saímos das redes corporativas, criou mais um vetor de ataque para os cibercriminosos, especialmente em cenários onde algumas destas infraestruturas passam a estar on-premises. Isso reforça a importância de migrar, por exemplo, sistemas de email para a cloud e é um grande diferenciador para reduzir os riscos destes ataques. Também notámos que mesmo nos clientes que estão na cloud, usar os basics, como chamamos, – o multifactor authentication, aplicar updates, aplicar patches – reduz muito o risco de ataque.

No capítulo dos ataques sofridos por estados-nação, Portugal aparece com cerca de 1% dos ataques e não entra na categoria de “outros países”. Existem mais dados sobre os ataques que Portugal sofreu por parte de grupos patrocinados por estados-nação?

Neste momento, não. Só temos o dado de Portugal e de 1%, que é um valor muito baixo quando comparado com os outros países, mas não temos mais informação.

O ransomware é das ameaças de maior crescimento para as empresas nos últimos tempos. Como é que a Microsoft tem visto o crescimento e, simultaneamente, quais foram as boas-práticas que também viu por parte das organizações ou quais é que deviam ter colocado em prática?

Vimos que o ransomware cresceu – os ataques têm mais sucesso, ou seja, não só cresceu, como a taxa de sucesso é maior; o número da Rússia, de passar de 21% para 32%, é elucidativo disso. Também percebemos que surgiu este padrão do Ransomware-as-a-Service e que nos permite comprar kits por um preço relativamente barato.

Um ponto que achei muito interessante no relatório é o modelo económico por trás do ransomware e que, no fundo, tem uma cadeia de valor desde os developers até aos deployers, aos providers de acesso, aos gestores… uma economia à volta do ransomware com um elevado lucro e com pequenos custos, o que é claramente um ponto importante. Ao nível dos setores mais afetados é, sem dúvida, o consumo, a área financeira e a área de indústria, que é uma parte bastante importante.

Sobre o que é que se pode fazer para evitar estes ataques, ou minimizar os riscos, destacava duas coisas: a abordagem zero trust e assumir que qualquer acesso – seja a nível de aplicação, rede ou devices – acede apenas ao que lhe compete e assumir sempre que o limite está comprometido; há algumas aprendizagens que vêm no relatório que destacaria e se aplicam ao ransomware, a phishing e a ataques por parte de estados-nação – fazer bem os basics implica ter os patches, os updates, usar o multifactor authentication, como já referi. Depois, é ter uma visão holística ou integrada sem silos, sem abordagens diferentes de um departamento para o outro – uma visão integrada, em termos de segurança, da organização.

Uma área que também evidenciamos é a componente das pessoas – é preciso sensibilizá-las para o risco, educá-las, e acabamos por ver, mesmo em grandes organizações, que o risco passa pelas pessoas e que é através delas que muitas ameaças entram dentro da organização.

Referiu que os ataques de ransomware têm tido mais sucesso. Isso acontece porque os ataques de ransomware evoluíram ou porque as organizações não têm processos para proteger a informação que é roubada?

A minha análise, com base no relatório, é de que os ataques ficaram mais sofisticados pela especialização. O que vimos ao longo deste ano é uma cadeia de valor, a quantidade de afiliados e de grupos especializados para conduzir um ataque – já não temos só o atacante. Começa por quem escreve o malware, passa para um grupo que trata de enviar os emails e fazer o deployment do ransomware e, depois, existem grupos especializados em dar acesso como um serviço. Por fim, existe quem só gere estes processos. A sofisticação e tornar isto num modelo de negócio a várias áreas leva à especialização. Para mim, este é um dos pontos mais importantes, que faz com que tenha mais sucesso e que sejam, também, mais sofisticados e mais difíceis de combater.

Há, também, um ponto importante que não referi e que é relevante quando falamos de ransomware, que é a utilização de técnicas mais avançadas recorrendo à componente de inteligência artificial e de machine learning e que nós, face à quantidade de informação que recolhemos mundialmente, também usamos nas ferramentas. Também aí notamos mais ameaças, vários tipos de técnicas para conseguir ameaças, atacar e fazer o bypass a muitos dos algoritmos de machine learning.

Efetivamente, isto torna-se numa economia, uma cadeia de valor bastante sofisticada, que afeta grandes setores e com elevados lucros.

Existem muitos dispositivos OT legados. As empresas que têm este tipo de dispositivos também têm olhado para a sua proteção ou isso ainda não está a acontecer e torna-se num ponto de entrada para cibercriminosos?

É um ponto de entrada. Olhamos para o OT e há algumas análises interessantes; a frequência e a severidade dos ataques ao nível do OT aumentaram ao longo deste ano e não é só por existir mais devices de OT ou de IoT. Efetivamente, a frequência e a severidade dos ataques aumentaram porque muito destes temas – especialmente ao nível do OT – acabam por não ter, ainda, boas práticas e os temas de segurança que hoje já temos em muitas plataformas de IT mais empresariais. Esse é um ponto-chave e os atacantes exploram essas vulnerabilidades em muitas indústrias, mas destacamos algumas: a indústria química e a indústria médica, que recorrem muito a devices e a OT, e as utilities, que têm grandes sistemas de monitorização, seja de redes energéticas ou de água, aquilo a que chamamos os SCADA, e que acabam por, de alguma forma, não ter as melhores práticas incorporadas e os sistemas de segurança que hoje temos.

Julgo que as empresas estão sensibilizadas para isso, mas, como estamos a falar de software e de hardware, o nível de update e de modernização não é exatamente a mesma coisa que temos, depois, ao nível do IT.

Também as arquiteturas de hardware são diferentes. Fizemos uma análise olhando para as arquiteturas de CPU, o que era mais e menos atacado, e acabámos por ver que, no top dois, se vê processadores ARM, que continuam a ser dos mais atacados ao nível de IoT e, alguns deles, a nível de OT. É claramente uma área onde ainda há um trabalho grande a fazer, até porque é uma área onde todos os dias cresce o número de devices.

Há um ponto importante quando olhamos para a área de OT e IoT – notámos mais de 20 milhões de vezes em 45 dias a password de defeito ‘admin’ a ser usada, o que é impressionante. É uma das principais brechas de segurança; olhamos para tudo o resto e percebemos a quantidade de vezes que muitos destes sistemas continuam a usar as passwords de defeito e que são pontos de entrada para os ciberatacantes.

O teletrabalho, ou trabalho remoto, é um dos temas mais atuais na cibersegurança. Neste momento, as empresas já estão preparadas para trabalhar em segurança de forma remota?

Passámos, todos nós, por uma fase de transformação e notámos que, no início, havia muitos sistemas que precisavam de ser atualizados, modernizados, e que o principal vetor de ataque – quando falamos de trabalho híbrido ou remoto – era o email.

A segunda conclusão – importante no trabalho híbrido – foi o facto de muitas dessas plataformas ainda não estarem na cloud e não tirarem partido de muitas das funcionalidades que acabam, hoje, por estar disponíveis e são out of the box – algumas dessas migrações e modernizações acabaram por fazer toda a diferença.

Depois, destacaria o terceiro ponto que foi a utilização de algumas práticas que não estavam tão instituídas, onde o multifactor authentication foi claramente a parte mais relevante. O que notamos e que vem realçado no relatório é que nas organizações que aplicaram estas boas práticas de usar multifactor authentication, os updates nos seus PC pessoais e depois utilizaram plataformas de gestão, o risco desceu muito quando comparado com entidades ou organizações que não usam estas práticas ou não tinham multifactor authentication. Muitas delas até têm a componente, mas não a têm ativada, o que faz diferença.

O que notámos ao longo do tempo é que houve uma modernização, uma adoção destas práticas que minimizou o risco. Ainda assim, seja ao nível do phishing, do ransomware ou do roubo de credenciais, continuamos a vê-las subir, porque houve, sem dúvida alguma, um grande número de pessoas que começou a trabalhar remotamente ou em modelos híbridos.

Quando falamos de empresas e não tanto do consumidor final, por onde é que o cibercrime está a evoluir e, simultaneamente, quais são as recomendações que os responsáveis de cibersegurança das organizações devem ter em conta para proteger as suas infraestruturas, sistemas e processos?

Em termos de evolução, e alinhado com o relatório, estamos, claramente, a evoluir para uma economia e para serviços de cibercrime e a ameaça é crescente – essa é a primeira conclusão que notamos este ano. Com todas estas transformações, a ameaça é crescente e, em muitos casos, pode ser uma ameaça à segurança nacional, não é apenas um tema de algumas soluções ou sistemas informáticos.

O segundo ponto importante que continuamos a ver e que se vai manter de futuro é que o cibercrime está a afetar todos os setores e não apenas o governo ou entidades sem fins lucrativos, como vimos nalguns casos; está a atacar todos os setores e não há nenhum que esteja à margem ou que não precise de se preocupar.

O que esperamos que continue a acontecer é o ransomware a crescer e a tornar-se mais sofisticado e destacava dois pontos positivos: o primeiro é a transparência – notámos, ao longo do ano, mais transparência dos governos e das organizações através da partilha de informação de como foram atacados e como o remediaram –; e depois a criação de parcerias para investir em cibersegurança, que é um fator positivo de colaboração para um tema à escala mundial.

Em termos de recomendações, e tal como está no relatório, é fazer bem os basics, ter a visão integrada em termos de cibersegurança da empresa e claramente basear-se na arquitetura zero trust, que acho que é mais do que aceite e conhecida na área, mas continua a não estar plenamente implementada. Depois, há alguns temas que extravasam a tecnologia: o primeiro é as pessoas e é preciso trazer o tema da capacitação e de sensibilização dos colaboradores para a importância da cibersegurança e da privacidade dos dados. Também é preciso olhar para a cibersegurança como um investimento e não como um custo porque a resiliência que os sistemas têm em relação à cibersegurança é uma medida direta à resiliência que têm no negócio. O negócio deve olhar para a segurança como um fator fundamental e não apenas como um custo que pode pôr em causa o próprio modelo de negócio.