Cibercriminosos e estado-nação estão se unindo e sofisticando ataques

A Fortinet realizou na semana passada (2 a 4/10) em Atibaia (SP) o Fortinet Xperts Roadshow 2023, um dos eventos mais importantes da empresa para treinamento de engenharia e inovação contra crimes cibernéticos e que aconteceu pela primeira vez no Brasil, voltado para parceiros de negócio. Nesta entrevista, Douglas Santos, diretor do FortiGuard Labs, laboratório de inteligência e pesquisa de ameaças da Fortinet, localizado no Canadá, fala sobre as principais ameaças cibernéticas e como a empresa atua vem atuando no mercado.

Qual o panorama hoje das ameaças cibernéticas e como o Brasil está posicionado neste cenário?

A cada seis meses lançamos um relatório de ameaças com base na telemetria dos produtos que estão implementados em nossos clientes. Temos um acordo e eles nos enviam as descobertas, como vírus, exploits, botnets etc., que nos dão um cenário das ameaças que estão circulando. Com base nessas informações começamos a analisar – trabalho com um grupo de cientistas de dados, que fazem essa correlação de informações. A ideia do relatório foi sempre trazer mais poder para os clientes e insights de como deles podem usar as ferramentas que já possuem para ter uma maior capacidade de resposta. Em cibersegurança, o Brasil até que está bem posicionado, temos uma adoção rápida de tecnologias em comparação a outros países da América Latina. Não estamos em uma posição ideal, mas não estamos nos últimos lugares. Os maiores alvos são governo e instituições financeiras, principalmente em relação a ataques de ransomware. Mas o que temos visto ultimamente de mais preocupante é a integração de grupos de cibercriminosos com estado-nação, e a proliferação de serviços de reconhecimento e weaponização, que é a criação de armas para ataques. Alguém contrata um cibercriminoso, que faz o reconhecimento do alvo, identifica as vulnerabilidades e entrega uma arma cibernética para o ataque. A vítima não tem muito o que fazer. Após a invasão há como detectar, mas é preciso ter uma boa visibilidade do ambiente, porém é sempre reativo.

Como as soluções da Fortinet podem ajudar a combater esses ataques?

Temos algumas formas que consideramos inovadoras de mostrar essas informações de vulnerabilidades, uma delas foi pegar um conjunto de dados, que é o FortiClient, um software que roda no Windows, Mac e Linux nos computadores dos funcionários e que tem um conjunto de dados específico dele, que é uma base de vulnerabilidades. Quando sai uma vulnerabilidade do Windows, por exemplo, o FortiClient avisa. No outro lado, o FortiGate contabiliza as tentativas de usar essas vulnerabilidades. Então, cruzamos essas duas informações e criamos o que chamamos de Zona Vermelha – tem todas as vulnerabilidades descobertas, as vulnerabilidades que estão abertas no dispositivo na rede do cliente e as vulnerabilidades que estão sendo exploradas com maior frequência neste ambiente no momento. Com esse tipo de insight se consegue montar para o cliente uma lista de patches priorizada. Conversando com CISOs do mundo inteiro, notamos que a priorização que eles utilizam para patches é de certa forma grosseira, baseada em identificar os sistemas críticos e as vulnerabilidades críticas, depois viriam as prioridades altas, médias e baixas. Acontece que existem mais vulnerabilidades do que pessoas para fechá-las, eles nunca chegavam nas prioridades média e baixa, que pode ser a porta de entrada para a rede. Sabendo quais vulnerabilidades os atacantes estão usando, fica mais eficiente. Muitas vezes a empresa está trabalhando para fechar uma vulnerabilidade crítica, mas não há ainda ferramentas para explorá-la, isso então pode ser feito depois, é mais eficiente trabalhar nas vulnerabilidades médias e baixas. Outro insight que demos no último relatório foi o conceito de Defesa Informada com Base nas Ameaças, um conceito que o Mitre utiliza. Eles criaram o Centro para Defesa Informada (CTID), a Fortinet é um dos participantes na categoria de Research Sponsor. O objetivo é propor novos projetos que serão padrões de segurança ou ferramentas, facilitando a implementação em nossos produtos.

Os fabricantes de soluções de cibersegurança trocam informações entre si?

Como outros fornecedores, usamos informações da nossa base de clientes. O nosso diferencia é que a Fortinet tem diversas soluções e muitas implementações, como firewall e IDS, e assim temos uma boa visibilidade do cenário de ameaças. Obviamente não é completa. Sabendo disso, em 2014 fundamos, juntamente com outros fabricantes, o CTA – Cyber Threat Alliance, onde trocamos informações para ter um cenário completo de ameaças. É uma forma colaborativa, em que a empresa que gerar mais conhecimento pode extrair da plataforma informações que lhe faltam. A capacidade de uma solução de segurança expressar conhecimento depende dos padrões que ela adota, e os padrões evoluem. Cada fabricante está no caminho de implementar um padrão específico de segurança em seus produtos. A Fortinet roda um vírus em seu Sandbox e descobre, por exemplo, 20 técnicas; a Palo Alto roda o mesmo vírus e descobre 17; a Cisco descobre 22. Todos mandam isso para o CTA, que consolida e mostra o conhecimento que se tem desse malware. Se são 25 técnicas e descobrimos 20, nossos técnicos vão atrás desses 5 que faltam.

Do tempo do temido vírus Sexta-feira 13 até agora, o que mudou no cenário de ameaças?

Do Sexta-feira 13 até agora mudou praticamente tudo, teve a profissionalização dos cibercriminosos. Antes, o hacker era aquela pessoa curiosa, que procurava entender como as coisas funcionavam, criava um vírus de qualquer jeito para enganar alguém para que ele clicasse e rodasse um arquivo .exe para inverter a tela, por exemplo. Hoje se tornou um negócio. Há organizações de crimes cibernéticos que funcionam como uma empresa, com pessoas que cuidam do financeiro, da infraestrutura, tem os programadores, quem busca vulnerabilidades etc. Isso já está maduro há cerca de 10 anos. Nos últimos dois anos vimos duas forças: o crime cibernético e o estado-nação, este último basicamente focado em espionagem e roubo de dados. Este dois grupos estão se fundindo, em que um está usando informações do outro, resultando em um crime avançado persistente. Hoje, o crime cibernético já consegue traçar o perfil de seu alvo tão bem quanto o estado-nação, pois vem evoluindo e tem muitos recursos para criar novas armas cibernéticas. Podemos afirmar que a capacidade e a eficiência do estado-nação já está no crime cibernético.

Como equilibrar a questão da segurança com a produtividade nas empresas?

As empresas precisam entender o seu perfil e monitorar as coisas certas e utilizar em cima desse monitoramento uma priorização de alertas, este é o caminho. Não adianta travar o usuário, uma hora ele tenta burlar, vai para uma aplicação na Nuvem, e a empresa passa a ter uma superfície de ataque perfurada. Com as ferramentas de IA, ter visibilidade é essencial, melhor que travar processos e dificultar a produtividade do usuário. Mas quando se tem muita visibilidade, se tem muitos dados, e quando se tem muitos dados, somente a IA para conseguir priorizar.

A Fortinet atua no segmento de observalidade?

A Fortinet começou a atuar em observalidade mais recentemente com o nosso produto FortiAIOps, uma solução que utiliza modelos de IA para digerir logs e entender exatamente o que está acontecendo e o que precisa ser feito no ambiente de TI. Quando surge um problema, é possível correlacionar o que aconteceu um pouco antes. As informações ficam gravadas e quando ocorrer algo similar, já se sabe qual foi o motivo. Estamos começando a atuar neste mercado com IA. Na parte de segurança, temos o FortiNDR, que faz a parte de detecção e resposta de ameaças na parte de redes, e temos o FortiEDR na parte de endpoints. Quando se correlaciona estes dois grandes componentes de segurança, na rede e no endpoint, se tem um desenho do ataque completo.

Serviço www.fortinet.com