Segurança em 2022: Mais gastos, mais integração, mais problemas com a OT

De acordo com o relatório ‘CVE Details, em 2021 foram descobertas mais vulnerabilidades de software do que nunca até ao momento, cerca de 10% mais do que em 2020, e abrangeram desde pequenos problemas em aplicações de nicho até eventos críticos que afetaram milhões de ativos. Simultaneamente, as empresas tiveram de gerir a sua segurança tanto em plataformas tradicionais, como em dispositivos remotos e na cloud, devido aos transtornos causados pela pandemia de COVID-19.

Em 2022, as empresas vão ter de atualizar os seus processos de gestão de segurança e, nesse âmbito, as equipas de IT assumirão mais responsabilidades em outras áreas da tecnologia.

Teletrabalho em primeiro, com foco nas mudanças na gestão de ativos

Quando a pandemia começou e todos nos apressámos a entrar em teletrabalho, as equipas de IT ficaram - e compreensivamente - assoberbadas. Muitas empresas tiveram de alterar as suas práticas de segurança no local de trabalho, enquanto os colaboradores adquiriam hardware e software para trabalharem remotamente. Esta nova situação significou que todos os programas de inventário de ativos anteriores fossem diluídos. As equipas de Operações e de Segurança de TI perderam toda a visibilidade sobre o que existia, uma vez que esses ativos deixaram de estar na rede empresarial. Como consequência, toda a postura global de segurança foi comprometida.

Atualmente, os colaboradores já se habituaram à rotina do trabalho à distância. No entanto, as empresas ainda se encontram em modo ‘apaga-fogos’ quando se trata de segurança, em vez de a encarem como mais um procedimento de trabalho normal. Um bom exemplo disto é a gestão de ativos, sendo que as equipas de IT já consideravam o tradicional inventário de ativos desafiante quando estavam no escritório. Manterem-se fiéis a essas formas convencionais agora que está tudo espalhado por escritórios domésticos e uma série de locais diferentes? É quase impossível.

Sem um inventário de ativos atualizado, que mostre os endpoints que existem, quais é que ainda estão na rede empresarial, que dispositivos remotos é que existem e o nível de segurança de cada um, as empresas vão cair face ao primeiro obstáculo de segurança básica que encontrarem em 2022. Muitas equipas têm adiado isto, na esperança de “voltar tudo ao normal”, mas é cada vez mais óbvio que isso não vai acontecer. Pelo contrário, as empresas vão ter que repensar as suas estratégias e processos para que os seus colaboradores possam trabalhar remotamente, e, depois, aplicar a mesma abordagem aos postos de trabalho no escritório.

Os inventários de ativos são meticulosos… e agora?

Este novo foco na gestão de ativos em todo o lado de forma permanente é o objetivo de todas as equipas de segurança. No entanto, a conceção organizacional e as responsabilidades do mundo real podem travar estes intentos. Em 2022, a mudança para o trabalho remoto significará que os processos de gestão de atualizações e implementação de patches terão igualmente de serem otimizados. Para as empresas maiores, isto pode ser difícil quando há várias equipas envolvidas, diferentes unidades de negócio para gerir e quando há diferentes partes interessadas.

Uma forma dessas empresas mudarem isto é analisar os incentivos que existem em torno do IT e do negócio. Por exemplo, fazer da segurança uma prioridade empresarial é algo discutido há anos, até mesmo décadas. O crescimento dos ataques de ransomware – e os elevados custos associados – vai forçar as empresas a olhar para esta área, e os conselhos de administração vão estabelecer mais objetivos para garantir que os seus sistemas estão seguros. Responsabilizar os líderes das unidades de negócio por áreas como a implementação bem-sucedida de atualizações vai ao encontro dessa abordagem de gestão de risco.

A tecnologia operacional tem de acompanhar a segurança informática

Nas suas previsões, a Gartner diz que, até 2025, os cibercriminosos vão apontar baterias aos ambientes de tecnologia operacional (OT). Acreditamos e tememos que isto aconteça muito mais cedo, já este ano, com o crescimento exponencial de ataques direcionados a sistemas OT, que afetarão infraestruturas críticas, se não estiverem devidamente protegidas.

O desafio nesta questão é que os ambiente de OT tendem a funcionar com tecnologia antiga. São ativos dispendiosos e desenhados para durar muitos anos. Muitos deles, inclusive, já padecem de problemas de segurança conhecidos, mas que ainda não foram corrigidos, visto que parar uma linha de produção para aplicar um patch pode custar milhares ou milhões de euros em perdas. Por outro lado, é possível que não haja sequer patches disponíveis quando os equipamentos já estão no final do seu período de vida útil.

A abordagem tradicional para proteger estes sistemas tem-se baseado em tecnologias ‘air-gapping’ – que se executam em redes completamente separadas e que não estão ligadas à internet pública. No entanto, isto já não é uma opção. As empresas querem aceder aos seus dados em tempo real, de forma a competir com outros players do mercado, e, como tal, cada vez se ligam mais a redes OT, apesar dos riscos. Paralelamente, investigadores descobriram outras formas de ataque destinadas a ultrapassar as defesas ‘air-gapping’, pelo que cingir-se aos modelos de segurança tradicionais já não é suficiente.

Talvez o maior problema seja que, durante anos, a OT foi mantida completamente separada das funções de TI, pelo que estas equipas tinham problemas em perceber realmente o que estava em uso e quais as ameaças existentes. Na prática, a segurança da tecnologia operacional está uma década atrás da segurança de TI no desenho e nos processos de boas práticas. Em 2022, a necessidade cada vez maior de dados e o risco de ataques vão obrigar a um maior investimento para melhorar a segurança da OT.

O estabelecimento de processos e práticas de segurança apropriados que tenham em conta todos estes bens implicará também uma abordagem correta à gestão de riscos. Não será possível aplicar a mesma abordagem em todo o lado, pelo que a definição de prioridades será essencial para que esta seja bem-sucedida. 

As equipas de segurança de IT serão chamadas a liderar estes processos, visto que percebem melhor o atual panorama das ameaças. No entanto, para que funcione, será necessária uma colaboração efetiva entre todas as equipas. O trabalho será árduo e vai depender de se ter uma visão global de todos os ativos que estão ligados – da cloud aos containers – atualizando em questão de segundos ativos OT que estão implementados há anos, e que assim continuarão num futuro mais próximo.

Os ataques de ransomware afetarão cada vez mais empresas e os seus ativos de tecnologia operacional em 2022. As seguradoras estão a reduzir as coberturas dos seguros de cibersegurança para ataques de ransomware, pelo que as empresas não poderão contar com as apólices para pagar os resgates. Em vez disso, as empresas terão de reconhecer os riscos do negócio e corrigi-los, em vez de aceitá-los e rezar que não aconteça uma falha de segurança.