A (ciber)maturidade

Um inquérito realizado a especialistas em gestão de risco¹ em Portugal, indicou que ciberincidentes são as ocorrências mais relevantes no TOP-3 de riscos para estes profissionais (47%), à frente das catástrofes naturais (37%), de disrupções na cadeia de fornecimento (30%), fogos, explosões e pandemias (todos com 27%). Um outro relatório, sobre “ameaças, risco e conflitos” ², identificou como ameaças relevantes o phishing, smishing e vishing; ransomware; fraudes e burlas online; comprometimento de credenciais e a exploração de vulnerabilidades.

Paralelamente, calcula-se que Portugal seja o terceiro país europeu com mais ataques³ (9%), depois de Reino Unido (43%) e Alemanha (14%). E algumas das notícias deste ano de 2023, na comunicação social e transversais a todos os setores, confirmam-no.

Mas afinal, quais são as nossas fragilidades?

Para medir fragilidades (e com isso ambicionar melhorar com objetividade) podemos recorrer a meios de diagnóstico que validam e quantificam as vertentes processuais, tecnológicas e humanas. Seja através de ferramentas que através de modelos permitem uma autoavaliação atribuindo pontuações e níveis (ENISA, FIRST, etc.), seja recorrendo a empresas especializadas (como a SECURNET) que o façam com base em referenciais como o SIM3, CREST, NIST, SOC-CMM, entre outros, nomeadamente orientados a ramos de atividade específicos, de que o TISAX é exemplo, no setor automóvel.

E depois da avaliação? Mais tecnologia?

Depois da avaliação há quase sempre um caminho lógico a percorrer. Em função do setor, as prioridades podem variar. Mas, há precedências e sequências lógicas. É preciso começar pelas fundações, focados na gestão do risco, eficiência e resiliência.

Sem esquecer o mantra “prevenir, prevenir, prevenir”, é necessário investir mais em capacidade (leia-se conhecimento) e nem tanto em ferramentas. É necessário rentabilizar o que ( já) existe e nem sempre reforçar a teórica capacidade instalada obcecados por “hypes”. Afinal, utilizamos quase sempre apenas uma pequena parte da tecnologia que possuímos.

Com alguma dose de imaginação, podemos até usufruir de serviços de informação gratuitos, com blacklists de IPs, domínios e hashs de ficheiros, integráveis nas soluções que já temos e ajudando a reduzir a superfície de ataque (e de atacantes).

Mesmo com firewalls de última geração, de fabricantes e reputação inquestionáveis, qual a percentagem de organizações que utilizam verdadeiramente todo o arsenal instalado para proteção de ataques de 5ª geração? Quantas firewalls estão a inspecionar o tráfego de HTTPS optando pela “eficácia” em detrimento do “desempenho”? Quantas firewalls têm todas as subscrições de proteção (antivírus, antimalware, antibots, IPS, etc.) ativadas, configuradas e ajustadas às suas realidades, em vez do tradicional “default”? E periodicamente analisados e revistos? Quantas organizações já olharam para os seus serviços de DNS?

Não bastam soluções EDR, XDR ou NDR que analisem comportamentos de dispositivos, utilizadores e o próprio tráfego na rede, um SIEM com múltiplas fontes e todas as outras soluções disponíveis no mercado se não for possível configurá-las devidamente ou se não for possível (por disponibilidade ou conhecimento) interpretar todas as informações que proporcionam, agindo depois em conformidade.

Aliás, será bom relembrar que atualmente a maioria dos ataques não derivam de “quebras nas tecnologias”, mas de erros humanos, de utilização e de configuração, ambos com denominadores comuns de falta de conhecimento e de impreparação. Será também por tudo isto que vários analistas sugerem agora arquiteturas consolidadas e de um único fabricante, já que, para além de vantagens orçamentais, importará dominar essas tecnologias entre mãos, em vez de colmatar eventuais “falhas” com… mais tecnologia para aprender!

A ciber(maturidade)

Será também absolutamente necessário que a gestão de topo das organizações assuma a cibersegurança como uma obrigatoriedade. Que assuma que um pouco menos rápido e mais seguro é a opção, a única opção. Quantas organizações têm ativas funcionalidades de sandboxing, com emulação, testes, detonação e sanitização de ficheiros, assumindo como válida a pequena latência que estes fundamentais mecanismos de proteção introduzem? Quantas organizações aceitam que, usando um browser qualquer utilizador poderá (e deverá) aguardar um pouco até que a legitimidade desse site seja validada em tempo-real?

And last but not least, estar preparado para quando o “Dia D” chegar.

E a tudo isto, com equilíbrio entre desempenho e segurança, poderemos chamar… ciber(maturidade)!

¹ Fonte: Allianz Risk Barometer Results appendix 2022
² Fonte: CNCS, Relatório em 15 minutos, cibersegurança em Portugal. Dezembro 2022
³ Fonte: X-Force Threat Intelligence Index 2023

Conteúdo co-produzido pela MediaNext e pela Securnet