“Há muitas empresas que ou não têm noção das suas capacidades ou se superestimam”

John Shier é Senior Security Advisor na Sophos e, durante o mês de abril, passou por Lisboa. Em entrevista à IT Security, Shier explicou como é que o atual conflito entre a Ucrânia e a Rússia está a impactar as empresas um pouco por todo o mundo – especialmente as que ficam presentes nos países da NATO e na Europa, assim como os setores mais avançados em termos de cibersegurança e o que é que as pequenas empresas podem fazer para construírem uma cultura de cibersegurança.

Construir esta cultura de cibersegurança não depende necessariamente de grandes gastos ou de ter, como diz, “super ninjas de cibersegurança” na empresa. As empresas que já têm pessoas para gerir, por exemplo, desktops ou servidores, podem implementar medidas básicas de IT – como certificar que os ativos são implementados de forma segura – que trazem benefícios para a cibersegurança.

Como é que a atual situação entre a Ucrânia e a Rússia impacta o panorama de ciberameaças, principalmente os países da NATO?

Obviamente, qualquer coisa que esteja no domínio cibernético tem o potencial de impactar qualquer coisa para lá das fronteiras geográficas. As cargas cibernéticas não entendem cultura, não entendem política, não entendem fronteiras. É muito fácil, agora que temos essas empresas que operam em vários países, ter algo que escorrega e que depois se espalha – e já vimos isso algumas vezes. O mais notável em termos de um grande evento que explodiu na Internet – e que acho que está na mente de todos – é o ataque NotPetya.

Para este conflito específico, temos, pelo menos, um exemplo de dano colateral, que foi o hack à ViaSat. O que é importante lembrar ou pensar quando olhamos para isto e depois no contexto maior de conflitos e geopolítica de segurança cibernética, é que é realmente difícil no momento fazer qualquer tipo de atribuição, inferências e decisões sobre o que está a acontecer, especialmente se não forem ViaSat ou os russos. O que apreciei foi como a ViaSat não começou imediatamente a dizer ‘foram os russos’, porque acho que nem eles sabiam no início, acho que precisam de algum tempo. Depois, trabalharam com as forças de segurança – porque são uma empresa sediada nos EUA que trabalha com o FBI, provavelmente com a CIA e a NSA, ou com quem eles contactaram dentro do DHS [Departamento de Segurança Interna]. Foram capazes de recolher sinais e começar a juntar as peças. Só mais adiante é que nos disseram, conclusivamente, ‘sim, foi um [ataque] russo’.

No início, muitas pessoas estavam a tirar conclusões precipitadas. Saltaram para o caminho certo, mas, ainda assim, estavam a tirar conclusões precipitadas. É por isso que na Sophos não fazemos atribuições. Não dizemos que esta foi a China ou esta foi a Rússia. Nós colocamos as migalhas de pão, deixamos que as sigam e criem as suas próprias conclusões, a menos que uma agência governamental – como o FBI ou o CNCS, aqui em Portugal – digam que foi determinado ator, geralmente ficamos longe disso porque simplesmente não se sabe e não estamos numa posição privilegiada o suficiente para o fazer.

No contexto do que está a acontecer agora, acho que temos que ter muito cuidado ao tirar conclusões precipitadas sobre a atribuição a certos eventos que estamos a ver agora e no futuro, mas também acho que isso permitiu que algumas empresas, talvez, tenham ficado um pouco mais na defensiva do que antes, especialmente as empresas que ficam situadas nos países da NATO e da Europa. Os países vizinhos também tiveram um incentivo para aumentar um pouco a sua defesa, o que é positivo.

Disse que as algumas empresas estão a proteger-se. Sente que deviam estar a fazer mais?

Acho que alguns estão a levar a sério. Sinto que ainda há um subconjunto de empresas que – e esta é uma estatística muito interessante do relatório State of Ransomware – sentem que já têm o número certo de recursos, mas o número de empresas que estão a ser atingidas é maior. Há uma incompatibilidade maior aí.

Acho que ainda há muitas empresas que ou não têm bem a noção das suas capacidades, ou se superestimam. Essas são duas coisas muito subtis: uma é que simplesmente não têm nada no lugar, e não podem nem sequer estimar; a outra é que têm algumas coisas no lugar e acham que estão protegidas só porque compraram um produto, e pronto, acabou. Embora isso seja ótimo, a prevenção é muito, muito, muito importante.

Acho que na cibersegurança nos últimos cinco anos, pelo menos, tudo mudou para deteção e resposta e quase que nos esquecemos da prevenção. O que estamos a tentar fazer na Sophos é mudar isso de volta para o meio e dizer ‘a prevenção também é muito importante’ porque torna todo o outro trabalho de deteção e resposta mais fácil quando não se tem de lidar com tanta coisa.

Acho que muitas empresas, no entanto, ainda vivem no velho mundo. Colocam um produto de prevenção na rede e depois vão embora; não olham para os logs, não olham para os alertas, e quando os alertas chegam, não agem necessariamente sobre eles de forma consciente.

Estou a fazer um projeto de pesquisa sobre todos os nossos dados de resposta rápida. A resposta rápida é o nosso serviço em que, quando uma empresa é atingida por ransomware, ligam-nos e vamos lá, neutralizamos a ameaça, fazemos uma procura completa de ameaças, uma investigação completa e damos os resultados depois.

Olho para os dados de todas as ações de resposta rápida do ano anterior, e chego a estatísticas de alto nível para tentar perceber o que está a acontecer e, muitas vezes, alguns dos temas que continuam a surgir são empresas não estão protegidas, o que significa que literalmente não colocam nenhuma proteção nos servidores, que é para onde os invasores estão a ir. Eles não se importam com desktops e portáteis. As empresas não os protegem e apenas marcam quando o Windows Defender é ativado. Como ciberatacante, a minha prioridade número um é derrubar o defensor – essa é a meta. Se conseguir vencer o defensor, então terei uma boa chance de violar uma empresa.

Além disso, se as empresas tiverem as ferramentas, não as usam de forma proativa; os alertas de uma empresa continuam a entrar, a entrar e a entrar e têm infeções, têm todas as ferramentas usadas por cibercriminosos na sua rede e simplesmente ignoram, ignoram, ignoram, ignoram… Boom, ransomware. Tiveram meses para lidar com o problema.

Esse é o lado mau. Há muitas empresas que não estão a fazer nada ou a fazer apenas o mínimo, ou estão a fazer o mínimo e querem fazer mais, mas não têm experiência. É aí que os serviços entram em ação, onde se pode contratar um SoC externo.

Diria que a proporção de empresas que são mais afetadas está na extremidade inferior, e diminui à medida que se sobe, porque as empresas maiores têm dinheiro e são capazes de lançar mais recursos para o problema. Contudo, isso não significa que não encontramos, de vez em quando, uma empresa realmente grande com segurança má.

Disse que há empresas que têm meses para fazer algo e não o fazem. Porque é que isso acontece? Falta de recursos? Não querem investir em soluções?

A resposta começa sempre com ‘depende’ e acho que há algumas respostas para essa pergunta. O tema dos recursos humanos é definitivamente um problema. Vamos retirar tudo o que é prevenção e apenas boas práticas recomendadas de segurança de IT que funcionam desde a resposta de deteção mais avançada, ameaças, investigação e trabalho de remediação. Nesse lado, acho que há menos pessoas capazes e dispostas a fazer o trabalho de forma capaz, o que significa que simplesmente não temos pessoas suficientes para fazê-lo e dispostas a isso. É mais sexy estar numa red team do que estar numa blue team; é mais sexy atacar do que defender. Falei com o nosso grupo de segurança interna e eles têm um grande número de currículos para red team e poucos para blue team, esse é o desequilíbrio. Isso é parte do problema de recursos.

Outra parte é a fadiga em relação a alertas e a capacidade de fazer a triagem e lidar com tudo. Os produtos de segurança, quando estão a funcionar corretamente, geram muitos dados e muitas informações. Nem tudo é crítico e precisa de atenção agora, mas uma parte do que estamos a ver é. Há muita coisa a chegar para muitas equipas e apenas tomam conhecimento e às vezes perdem alguma coisa. Talvez sejam medidos por quantos alertas encerram ou então isso incentiva a encerrá-los mais rapidamente sem analisar corretamente.

Houve um caso que analisei que era interessante porque era o oposto do que estou a falar, mas ajuda a ilustrar o ponto de que também há casos em que, às vezes, as ferramentas estão a gerar informações falsas, não necessariamente falsos positivos; neste caso, era a ferramenta que estavam a usar que estava a fazer algo que parecia muito como ransomware, e, por isso, estávamos a sinalizar como ransomware. O cliente estava a ficar preocupado, fizemos uma investigação e descobrimos o que era exatamente, o jeito como estava a gerar processos e a escrita, a fazer todo o tipo de coisa e a apagá-los. Parecia muito ransomware, mas isso requer recursos para entender o problema e depois corrigi-lo, não apenas do nosso lado. Ajustámos algumas coisas, mas eles também precisavam de ajustar o seu ambiente para poder aproveitar a ferramenta que estavam a usar da maneira certa e dizer ‘quando vê este conjunto exato de circunstâncias, talvez se deva comportar de forma um pouco diferente’. Isto é chamado de ajuste de deteção, onde pode começar a alinhar os seus negócios com a ferramenta que está a utilizar.

Depois, há o lado da tecnologia, onde alguns lugares não estão a pegar na tecnologia como devem, ou estão a pegar e simplesmente a colocar lá e não fazem nada a esse respeito. Isto é um problema também. É uma analogia má, mas é como alguém saber conduzir um carro e colocá-lo num avião Airbus 321 e dizer ‘conduz’; algumas coisas são um pouco parecidas, mas é preciso aprender a usar a ferramenta com o objetivo de realizar o trabalho.

Há muitos problemas diferentes que precisam de ser resolvidos de maneiras diferentes e em diferentes níveis da organização. Às vezes, é uma prioridade organizacional que os negócios não podem parar, não importa o que aconteça, e isso é ótimo, mas vamos entender os riscos que temos de aceitar para garantir que isso nunca acontece, que os negócios nunca param. Vamos descobrir como podemos gerir esses riscos de forma que reduza o tempo de inatividade, mas também para obter o maior retorno em termos de segurança. Sinto que, às vezes, o nível executivo – e isso está a mudar muito, acho que a mensagem está a passar cada vez mais – não querem ouvir. Apenas colocam os dedos nos ouvidos, não se importam e não dão orçamento.

Isso é outra coisa: têm de fazer tudo isto com o seu orçamento existente. As equipas vão priorizar as coisas que às vezes são fáceis de fazer e as coisas que acham que se podem aplicar. Essa é uma boa estratégia às vezes, dependendo do que for; só precisa de conhecer o seu negócio.

Quais são os setores que estão mais e os que estão menos avançados na defesa?

Diria que o setor financeiro definitivamente é um dos principais e isso destaca-se nos relatórios que estamos a fazer. Tiveram que proteger dinheiro por muito tempo, as pessoas adoram dinheiro, e sabem como fazer essas coisas; estão a fazer isso há muito tempo.

Na extremidade inferior, geralmente, estão instituições públicas governamentais, como escolas locais, governos locais, onde não têm recursos, não têm dinheiro, nem as pessoas, nem as ferramentas para gerir efetivamente os seus programas de segurança, e, também, não têm necessariamente ¬ mas é uma coisa que está a mudar – uma boa cultura de segurança.

Como sabe, Portugal tem uma grande quantidade de pequenas e médias empresas. Como é que vê a cultura de cibersegurança das pequenas empresas, de um modo geral?

Uma das coisas que encontro é a falta de cultura de segurança. Acho que isso começa a aparecer à medida que as empresas crescem, então começam a ter um pouco mais dessa mentalidade de segurança que é incorporada na cultura da empresa.

Quando penso na questão dos recursos, numa pequena empresa, cada cêntimo conta em termos de tentar expandir os seus negócios ou até mesmo tentar tornar a vida operacional da empresa o mais fácil possível. Cada pequeno gasto que têm aqui e ali consome a capacidade de crescer, de fazer coisas novas, de melhorar os negócios. Isto não acontece porque a segurança é um custo que, para mim, permite fazer todas as outras coisas. Se a empresa se preparar muito bem e com muita segurança desde o início, poderá começar a desenvolver novas aplicações, novos sistemas de pagamento e presenças na web, de uma maneira muito mais rápida e melhor, que não acabará a ser muito caro a longo prazo.

É uma alocação de recursos completamente diferente de empresas de médio e grande porte. As médias e grandes empresas aceitaram o facto de que não é ‘querer’, é ‘deve gastar’ algum pedaço desse bolo em segurança e que esta muda à medida que sobe na cadeia, seja gasto em pessoas, processos, ferramentas, ou outro tipo de coisas.

Para as pequenas empresas, há certas coisas básicas que podem fazer. Têm dois lados; já têm o básico de cibersegurança. Já têm pessoas responsáveis por gerir os desktops Windows, os servidores e o site. Essas mesmas pessoas não precisam de ser super ninjas de cibersegurança para garantir que a empresa está pelo menos a fazer algumas coisas corretamente: fazer as correções a tempo, certificar-se de que os ativos são implementados de maneira segura, certificar-se de que, talvez, todos tenham um gestor de passwords dado pela empresa e que os utilizadores sabem usar. Isso é construir uma cultura de segurança com essas coisas. Para mim, isso é IT, não segurança, simplesmente tem benefícios de segurança.

O pessoal de segurança vai falar sobre todas as coisas que podem dar errado e todas as coisas que precisam de arranjar. O pessoal de IT precisa de seguir esse conselho e dizer ‘ok, o que é que eu priorizo, o que é que eu faço primeiro? O que é o mais importante no negócio?’ A partir daí, pode começar a gerir o risco e entender que precisa de proteger servidores, precisa de proteger esse grupo de utilizadores e precisa aplicar esse software e isso será a prioridade número para, depois, começar a trabalhar o resto.