PREVISÕES DE SEGURANÇA PARA 2018 – COMO NOS SAÍMOS ATÉ AGORA?

Em novembro passado lançamos nossas Previsões de Segurança para 2018. Agora, apenas seis meses depois, podemos revelar quantas das nossas previsões já se tornaram realidade. Estamos satisfeitos com a nossa precisão, mas a realidade por vezes pode ser desanimadora, já que várias dessas previsões trazem risco adicional a empresas como a sua.

O objetivo das nossas Previsões de Segurança é fornecer um melhor entendimento dos riscos que a sua empresa enfrenta e como você pode se defender melhor contra eles. Minhas dicas principais para mitigar riscos encontram-se no final deste blog.

Nossas oito previsões para 2018 basearam-se em um tema central de privacidade com regulamentações como a GDPR, induzindo as empresas a pensar de forma crítica sobre como protegem os dados pessoais e a propriedade intelectual. Discutimos também a criptografia onipresente, agregação de dados, criptomoedas e ransomware.

A privacidade contra-ataca

Nossa primeira previsão antecipou a “Guerra da Privacidade”, um debate polarizado confrontando tecnólogos e pessoas públicas, dividindo opiniões no governo, no trabalho e em casa.

Esse debate ganhou popularidade, em parte, devido ao caso da Cambridge Analytica envolvendo o Facebook. Revelações divulgadas na imprensa destacaram até que ponto os dados confidenciais das pessoas foram coletados e usados ao longo de muitos anos pela rede social e a empresa de consultoria. Mark Zuckerberg compareceu ao Congresso americano, e os usuários do Facebook e analistas continuam a monitorar o caso. Alguém poderia ter antecipado isso como uma “surpresa previsível”, com uma avalanche de compartilhamentos, cobranças e processos, que só se poderia imaginar dez anos atrás. Como um acontecimento marcante de 2018, seu resultado desencadeará um debate de domínio público nos próximos anos.

Sistemas ativados por voz estão sendo implantados em dezenas de milhões de lares, capturando e agindo à base de comandos. Se você tem interesse no que a Apple, o Google e a Amazon têm coletado, este artigo mostra como remover o histórico de comandos de voz de dispositivos como o Alexa.

Não são apenas as nossas curtidas, quem seguimos e as nossas preferências por vídeos de gatos que estão em discussão. Hoje, dados biométricos estão sendo usados nas ruas das cidades para identificar indivíduos que despertaram o interesse da polícia, como nesse exemplo de scanners portáteis de impressão digital usados no Reino Unido.

A GDPR fará muito para proteger a privacidade e os dados pessoais dos cidadãos da União Europeia, em especial, assegurando que os dados sejam usados para o fim a que se destinam, sejam preservados e não acabem nas mãos de criminosos que possam usá-los indevidamente. Isso nos faz acertar nossa segunda previsão.

GDPR: Adiamento agora, pânico depois

Nós antecipamos que muitas empresas estariam atrasadas na preparação para a GDPR, e parece que muitas delas só agora estão iniciando programas para ficarem “prontas para a GDPR”. Esse seria um caso de “um pouco tarde demais”? Espero que não.

O Regulamento Geral sobre Proteção de Dados (General Data Protection Regulation, GDPR) entrará em vigor a partir de 25 de maio de 2018. Faltando apenas alguns dias, ficou evidente nos últimos seis meses, nas discussões em conferências e feiras sobre cibersegurança, que muitas empresas simplesmente não têm consciência das suas responsabilidades perante os regulamentos, além de não estarem preparadas para reagir a uma violação de dados pessoais.

Embora a tecnologia não seja uma resposta completa para o quebra-cabeça “Pessoas, Processos, Tecnologia”, pode ser um indicador importante para revelar problemas relacionados à perda de dados e comportamento anômalo. É desnecessário dizer que a Forcepoint pode ajudar. Consulte nosso Pacote de Recursos para a GDPR e também minhas 5 Dicas Principais para iniciar a mudança na sua empresa.

Acho que todos estão esperando (ansiosamente?) para ver como as coisas ficarão depois de maio.

Ruptura das Coisas

Previmos que os dispositivos de Internet das Coisas (IoT) não seriam sequestrados tanto quanto são explorados para destruição em 2018. Isso não impediu que o termo “ransomware” fosse adicionado ao Oxford English Dictionary em 2018.

Pesquisas identificaram que quase um terço das empresas de energia não deu atenção especial à segurança de rede como parte do seu lançamento da Internet das Coisas – uma observação preocupante, se verdadeira. Testadores de intrusão já observaram a falta de uma configuração cuidadosa em uma dessas empresas, identificando a vulnerabilidade à manipulação de sistemas de aquecimento em escolas.

Recentemente, a revista MIT Technology Review forneceu uma lista de cidades inteligentes como uma das 10 Tecnologias Inovadoras de 2018, por isso parece que a área de superfície apresentada aos cibercriminosos continua crescendo. Já que falamos sobre os aplicativos de Internet das Coisas, vale a pena observar que em 2018 houve a primeira descoberta pública de um minerador de criptomoedas não autorizado em um cenário de ICS (Sistemas de Controle Industrial) ou SCADA (Sistemas de Supervisão e Aquisição de Dados).

Falando nisso…

A ascensão dos hackers de criptomoedas

Todos nós sabemos que os cibercriminosos seguem o rastro do dinheiro. Inúmeros ataques aos sistemas de criptomoedas ocorreram nos últimos seis meses, de acordo com a nossa previsão. E, embora isso seja de fato previsível, certamente não é surpreendente. (Na verdade, a expressão “surpresas previsíveis” foi usada pelo Dr. Richard Ford, nosso cientista-chefe, em um blog).

Durante 2018 descobrimos que atacar de surpresa o vagão das criptomoedas e da blockchain pode ser bom e ruim para o seu negócio. A Tether, empresa responsável pela criptomoeda USDT, admitiu a perda de US$ 31 milhões devido a ataques externos no final de 2017. Tal fato produziu um efeito indireto em outras criptomoedas, com a perda de valor devido à falta de confiança. Por outro lado, algumas empresas aproveitaram uma mudança de sorte com os preços de suas ações disparando ao anunciarem programas de blockchain.

Em comparação com o método de distribuição do ransomware NotPetya em meados de 2017, a versão do Windows da carteira de criptomoedas Bitcoin Gold foi aparentemente comprometida na fonte e substituída por uma versão que rouba fundos.

Há relatos de que empresas britânicas estão estocando bitcoins, preparando-se para o pagamento de um resgate. Não recomendamos o pagamento, mas algumas empresas estão procurando explorar todas as opções.

Agregadores de dados

Embora todos estejam voltados para o caso do Facebook e da Cambridge Analytica, o impacto total ainda será revelado. Em novembro, previmos que a atratividade de uma imensa quantidade de dados e a complexidade de entrada e saída vão criar um desafio de segurança para os agregadores de dados. Os cibercriminosos sabem há um bom tempo o valor extra da construção de FULLZ (conjuntos completos de informações pertencentes a indivíduos).

À medida que modelos legítimos de negócios são explorados e unem a riqueza que são as fontes de dados distintas, fica claro que o resultado pode muitas vezes superar a intenção original. A criação de mapas de calor com os dados do aplicativo de atividades físicas Strava combinados com dados de GPS permitiu a visibilidade de informações, localização e padrões de corrida dos usuários.

Segurança na nuvem

Não é segredo que as empresas estão se movendo (ou planejam se mover em breve) para a nuvem. Isso está ocorrendo em massa, como mostra um relatório de janeiro de 2018 da Okta. O Office365 da Microsoft tem mais de 120 milhões de usuários mensais ativos, de acordo com o relatório da Ars Technica.

Previmos que a mudança para a computação em nuvem vai aumentar o risco de violação a partir de uma ameaça interna confiável.

No caso da Deloitte, uma das quatro grandes empresas de contabilidade, credenciais de administrador foram usadas para acessar o servidor de e-mail corporativo. A autenticação de dois fatores (2FA) não havia sido implantada, o que permitiu o acesso com apenas uma senha. À medida que mais empresas se movem para a nuvem, torna-se cada vez mais essencial o bloqueio dos sistemas críticos e a proteção dos dados neles contidos.

Com a obrigatoriedade de se notificar violações sendo imposta por regulamentações como a GDPR, seria interessante, depois de maio, analisar a causa básica das violações de dados e como elas se relacionam com a segurança na nuvem.

Criptografia por padrão – Implicações para todos

A partir de julho de 2018, o Google Chrome vai marcar todos os sites HTTP da Web como “não seguros”, em uma tentativa de induzir os webmasters a usar o protocolo HTTPS. Como divulgamos em novembro de 2017, apenas 70 dos 100 principais sites que não são do Google, responsáveis por 25% de todo o tráfego na Web, usam o protocolo HTTPS por padrão. Você usa HTTPS por padrão no seu site?

Previmos que uma quantidade crescente de malware vai se tornar perceptivo de ataques MITM (Man-in-the-Middle), isto é, perceberá quando um produto de segurança estiver examinando o tráfego criptografado e responderá de forma adequada. Vamos continuar acompanhando a adoção de tais técnicas.

As principais propriedades da Web ainda estão enfrentando dificuldades com o HTTPS. Os governos estão esquecendo de renovar os certificados, os bancos ainda não migraram para o HTTPS em sua homepage e implementações de sites comuns vêm apresentando problemas.

Se você quiser verificar o desempenho da configuração dos seus próprios servidores SSL, pode usar o famoso Teste de Servidor SSL da Qualys. Se o resultado não for bom, pense na migração para o HTTPS por padrão para oferecer uma experiência mais segura aos seus usuários.

As notícias não são de todo ruins. O Facebook agora usa listas pré-carregadas para HSTS e Chromium para carregar links externos como HTTPS.

O próximo salto gigante para a indústria

A migração para a nuvem, a determinação dos adversários e o bombardeio de eventos de violação de dados fazem com que seja difícil para as equipes de TI equilibrar a combinação certa de recursos como detecção, mitigação e prevenção. Temos trabalhado muito para tornar isso mais fácil.

A Forcepoint é líder em fornecer segurança centrada no elemento humano. Veja nossas recentes declarações e a cobertura da conferência RSA 2018 para saber como estamos redefinindo a cibersegurança com o lançamento da solução Dynamic Data Protection para risk-adaptive protection.

Principais dicas para mitigação

• Muitas empresas coletam dados pessoais para necessidades de marketing, vendas ou negócios em geral. Reavalie sua política de privacidade e procure proteger esses dados.
• Trabalhe para finalizar seu plano de preparação para a GDPR. Identifique seus dados mais críticos (pessoais e de propriedade intelectual), procure protegê-los e prepare um plano de resposta para incidentes.
• Se você adquiriu criptomoedas, procure proteger sua carteira contra ataques maliciosos.
• Considere a ameaça representada pelo uso de aplicativos cloud em sua empresa. Você tem as ferramentas para descobrir um problema de Shadow IT ou proteger os dados de aplicativos aprovados?
• Se você agrega dados, é importante entender o impacto da combinação dessas fontes e como isso afeta seus usuários e a declaração original de finalidade de tal coleta e processamento de dados. Reavalie suas políticas para que estejam em conformidade.
• Considere a implantação da tecnologia de inspeção de SSL, que permite a interceptação de comandos maliciosos e controla o tráfego usando HTTPS.
• Migre seu site para o HTTPS em lugar do HTTP. Ou, a partir de junho, o Google Chrome vai marcá-lo como “não seguro”.

Nossa nota até o momento

Apenas seis meses após o lançamento das nossas Previsões de Segurança para 2018, nós nos atribuímos uma nota B+. Infelizmente, uma nota alta para nós significa que muitas das nossas previsões parecem verdadeiras. Vamos continuar monitorando os acontecimentos ao longo do ano.

Previsões para 2019

Fiquem atentos à análise contínua das nossas Previsões de Segurança para 2018, já que elas abrirão caminho para um novo conjunto de previsões para 2019 que será lançado no final do ano.

Sobre a Forcepoint

A Forcepoint é uma empresa global de cibersegurança centrada no ser humano que transforma as companhias digitais ao adaptar continuamente a resposta de segurança ao risco dinâmico representado por usuários individuais e máquinas. O Human Point System da Forcepoint oferece proteção adaptável aos riscos para garantir o uso confiável de dados e sistemas. Sediada em Austin, Texas, a Forcepoint protege o ponto humano de milhares de clientes corporativos e governamentais em mais de 150 países. www.forcepoint.com

Junte-se à Forcepoint nas redes sociais

LinkedIn: https://www.linkedin.com/company/forcepoint

Twitter: https://www.twitter.com/forcepointsec

Facebook: https://www.facebook.com/ForcepointLLC/ 

Instagram: https://www.instagram.com/forcepoint