Seis fatores impedem a área de segurança de focar nas verdadeiras ameaças

Evite-os e deixe de gastar tempo, dinheiro e outros recursos em medidas incapazes de defender a empresa dos riscos aos quais ela está realmente exposta

Seres humanos são criaturas engraçadas que nem sempre reagem de forma a proteger os seus interesses, mesmo quando confrontadas por dados corretos e contrários às suas crenças. Por exemplo, a maioria das pessoas tem mais medo de voar de avião do que de ir de carro até o aeroporto, sendo que uma viagem de automóvel é, comprovadamente, muito mais perigosa. E muito mais gente tem medo de ser mordido por um tubarão na praia do que pelo seu cachorro em casa, por exemplo, mesmo que as chances domésticas sejam bem maiores.

Por quê? Apenas porque não somos muitos bons em reagir a riscos, mesmo quando sabemos da relativa probabilidade de nos tornamos vítimas.

O mesmo se aplica à segurança em TI.

Os responsáveis por proteger os computadores normalmente gastam tempo, dinheiro e outros recursos em defesas que não barram as maiores ameaças ao seu ambiente. Por exemplo, quando se deparam com o fato de que um único programa sem patches precisa ser atualizado, para barrar as ameaças mais recentes, a maioria das empresas faz tudo, menos atualizar esse programa com um patch. Ou, quando descobrem que muitas ameaças são bem-sucedidas por conta de engenharia social, que poderia ser combatida com um melhor treinamento de funcionários, preferirem gastar milhares ou até milhões de dólares em qualquer coisa, menos em um treinamento melhor. 

Poderia dar dezenas de outros exemplos, mas o fato de que a maioria das empresas pode ser facilmente hackeada é prova suficiente do que digo. As companhias simplesmente não estão fazendo as coisas simples que deveriam fazer, mesmo quando são confrontadas com dados que comprovam suas vulnerabilidades.

A razão para tantos departamentos de TI não permitirem que os dados determinem as suas defesas está relacionada, principalmente, a uma falta de foco. Muitas prioridades competem pela atenção dos profissionais responsáveis, tanto que as coisas que poderiam estar sendo feitas para melhorar significativamente suas defesas não estão sendo feitas, mesmo quando são as opções mais baratas, rápidas e simples.

E que provoca essa essa falta de foco, normalmente, impedindo esses profissionais de colocarem as defesas certas nos locais e nas quantidades certas, contra as ameaças certas?

Confira, na a lista abaixo.

1- O número de ameaças de segurança é esmagador
São registradas entre 5 mil e 7 mil novas ameaças por ano, ou cerca de 15 por dia. Isso significa que são 15 novos problemas hoje, além dos 15 novos problemas de ontem, todos os dias do ano. Já é assim há muitos anos, desde que as empresas começaram a registrar esses dados.

Os profissionais responsáveis por defender as máquinas de uma empresa podem ser comparados com os atendentes de serviços de emergência 190, que recebem mais ligações por dia do que qualquer equipe de ambulância pode atender adequadamente. Eles precisam fazer uma triagem para priorizar algumas coisas.

2 - O hype sobre uma ameaça pode distrair a atenção
O fato de alguns fabricantes de softwares de segurança se esforçarem para transformar toda ameaça em algo maior do que é não ajuda em nada. As vulnerabilidades e ameaças anunciadas diariamente costumam vir com um maior foco no hype e no objetivo de espalhar o medo como a verdadeira ameaça. Nos brindam com nomes aterrorizantes e até mesmo imagens de reforço, prontas para sem exploradas pela mídia..

Ainda assim, é injusto colocar toda a culpa nas fabricantes de softwares de defesa. É trabalho deles vender os softwares e serviços, e é mais fácil fazê-lo durante um furação. É tarefa do consumidor decidir o que merece ou não a sua atenção, e é cada vez mais difícil fazer isso quando você tem 15 novas ameaças chegando por dia. 

OK. Mesmo quando a ameaça e o risco são grandes, o exagero no hype sobre cada ameaça faz com que seja difícil prestar atenção naquilo que realmente requer atenção. Por exemplo, as recentes falhas Meltdown e Spectre são uma das maiores ameaças já vistas. Elas impactam os principais microprocessadores do mercado, permitindo que os invasores explorem os computadores das vítimas de forma invisível, e costumam exigir diversos patches de software e firmware para proteção. Quando resolvidas, podem afetar negativamente o desempenho do PC. Em alguns casos, a única boa solução é comprar um novo computador. Portanto, são falhas muito importantes.

No entanto, fora dos círculos de cibersegurança, e alguns veículos grandes por um ou dois dias, a reação coletiva foi apenas de “lamento”. Normalmente quando algo grande acontece em termos de segurança em TI, meus amigos e familiares me perguntam o que devem fazer. Com a Meltdown e a Spectre, no entanto, ninguém veio perguntar. Para alertar o meu círculo social, enviei informações úteis sobre o assunto. Costumo receber algumas perguntas de volta nesses casos, mas nada aconteceu desta vez. Nem um único post nas minhas redes sociais. É como se um tubarão enorme e faminto tivesse sido visto na praia e, apesar de avisados, ninguém fizesse qualquer movimento para sair da água.

Como a Meltdown e a Spectre costumam exigir patches de firmware, algo que quase nenhum usuário costuma fazer, aposto que teremos muitas máquinas vulneráveis nos próximos anos. Por quê? Um tipo de fadiga causada pelo excesso de hype.

Toda e qualquer ameaça é alvo de tanto hype que quando uma ameaça real e global aparece, uma em que todos deveriam prestar atenção, as pessoas apenas dão de ombros e presumem que a fabricante do aparelho ou a empresa responsável pelo sistema irão liberar um patch quando necessário.

Sinceramente, estou assustado com as oportunidades de criação de armas virtuais fornecidas por essas novas ameaças. Provavelmente elas vão causar mais bugs em microprocessadores, que serão descobertos e explorados, que qualquer outra grande ameaça já conhecida.

3 - Péssimo trabalho de Inteligência de Ameaça
Parte do motivo é que boa parte dos setores de inteligência das próprias empresas faz um péssimo trabalho em apontar as ameaças com as quais elas devem se preocupar. A chamada Inteligência de Ameaça (Threat Intelligence) deveria estar de olho nas milhares de ameaças existentes para identificar as ameaças com mais chances de serem usadas contra a empresa. Em vez disso, essa área normalmente atua como um megafone que apenas reproduz o hype global.

Quer um exemplo? Pergunte aos profissionais da área qual a ameaça que mais causa danos à empresa. É malware, engenharia social, ataques contra senhas, desconfiguração, ataques intencionais, falta de criptografia? Nunca conheci nenhuma equipe de TI que pudesse dizer isso com segurança, com dados para apoiar a conclusão.

Como uma companhia pode lutar contra as ameaças certas de forma eficiente se não consegue nem determinar quais são as maiores ameaças?

segurança

4 - Preocupações de compliance nem sempre alinhadas com as melhores práticas de segurança
Se você quer algo feito rapidamente em termos de cibersegurança, alegue que isso é necessário para compliance. Nada será mais rápido. O gerenciamento sênior precisa prestar atenção em preocupações de compliance. Em muitos casos, eles podem ser responsabilizados pessoalmente por ignorar ativamente uma deficiência de compliance. Ou seja, é algo que implora pela atenção deles.

Infelizmente, compliance e segurança nem sempre concordam. Por exemplo, as melhores recomendações atuais para senhas (anunciadas há mais de um ano) basicamente vão contra toda exigência legal e regulatória sobre senhas. Acontece que muito do que achávamos que era verdadeiro sobre segurança de senhas, como exigir complexidade, não era o melhor conselho, ou as ameaças mudavam com o tempo. E os criadores e mantenedores da maior parte das recomendações legais e regulatórias não parecem estar prestando atenção ao fato de continuar seguindo conselhos antigos sobre senhas possa aumentar as chances da empresa ser invadida.

Algo que me irrita nesse assunto é quantos sites não me permitem criar uma senha maior do que 16 caracteres (que seria muito forte, independente da sua complexidade), mas me obriga a usar caracteres “especiais” que, na teoria, dificultaria as vidas dos hackers, sendo que os dados e pesquisas mostram que esse não é o caso, na prática. 

5 - Falta de recursos, por excesso de projetos
Todas as empresas com as quais conversei possuem dezenas de projetos em andamento, todos voltados para proteger os aparelhos e computadores da organização. Em todos os casos, apenas um ou dois dos projetos  bastariam para fornecer a maioria dos benefícios de segurança que a empresa precisa para reduzir significativamente os riscos.

Dividir dezenas de projetos por um conjunto limitado de recursos garante que a maioria dos projetos será adiada e implementada de forma ineficiente, caso esses projetos venham a ser finalizados.  

O mundo da segurança em TI está cheio de software caros parados na prateleira e projetos prometidos sem ninguém para realmente supervisionar as suas operações contínuas.

6 - Projetos de estimação
Pior ainda: a maioria das empresas possui um ou dois “projetos de estimação” que são empurrados por um executivo sênior como o “a última bolacha do pacote”. Eles leram em um livro, ouviram no rádio ou escutaram uma história de um parceiro de golfe sobre o que precisavam fazer para consertar a empresa. Então, sem consultar os próprios dados da companhia para ver onde estão as maiores ameaças, retiram os melhores profissionais de outros projetos para que o deles fique pronto antes – isso se eles conseguirem finalizar um projeto antes de ficarem animados com o próximo projeto de estimação.

Poderia dar mais exemplos sobre a razão para os departamentos de TI não estarem focando nas coisas certas, que também começam com uma avalanche de ameaças diárias e pioram em razão de muitos outros fatores ao longo da cadeia. O primeiro passo para resolver um problema é admitir que você tem um problema. Se você  se identificou, ou à sua empresa, em alguns dos exemplos acima, é hora de ajudar todos na sua equipe a entenderem o problema e ajudá-los a ter mais foco naquilo que realmente importa.