De acordo com a pesquisa global Riscos Corporativos de Segurança de TI da Kaspersky (2020)*, apenas 10% das empresas brasileiras que sofreram um incidente de segurança com vazamento de dados conseguiram detectá-lo instantaneamente. As demais organizações demoraram poucas horas (22%), até 24 horas (18%) ou detectaram após dias, semanas ou meses (48%). Este cenário é preocupante e mostra que as equipes de segurança não contam com as condições mínimas para evitar um vazamento.
Segundo Roberto Rebouças, gerente-geral da empresa de cibersegurança Kaspersky no Brasil, as empresas enxergam a segurança como uma obrigação e não planejam sua estratégia de defesa. “Sabe quando vamos ao cinema e compramos o combo pipoca e refrigerante? É o básico da experiência. Toda empresa deve contar com a proteção do endpoint e um firewall. Mas, com os ataques recentes, só isso não é o suficiente para combater um incidente. Hoje, é necessário contar com tecnologias mais avançadas, como Detecção e Resposta a Incidentes (Endpoint Detection and Response, EDR), Múltiplas Detecções e Resposta (XDR) e Relatórios de Inteligências”, explica.
Para ilustrar como estas tecnologias podem ajudar as empresas, Rebouças usou como exemplo o filme Onze Homens e um Segredo, protagonizado por George Clooney, interpretando Danny Ocean, um homem que executa um plano de proporções gigantescas para roubar US$ 150 milhões de três grandes cassinos em Las Vegas, EUA – uma quantidade de proporções similares aos vazamentos recentes no País se trocarmos dólares pela quantidade de dados dos cidadãos brasileiros.
“A desvantagem de utilizar somente a proteção de máquinas e servidores é que ela avisará a equipe de TI apenas quando uma tentativa de ataques ocorrer. Além disso, caso seja um ataque complexo, como esse que o grupo do Ocean realizou no filme, a proteção não conseguirá bloquear o ataque e avisará a equipe de TI, a qual deverá correr atrás do prejuízo”, explica o executivo.
Uma tecnologia que já proporciona maior agilidade à capacidade de reação é a EDR. A principal função dela é automatizar ações rotineiras que a equipe de segurança realiza no dia a dia e oferecer algumas ferramentas de investigação para obter detalhes do ataque. “No exemplo do roubo aos cassinos de Las Vegas no filme, esta tecnologia poderia ativar um protocolo de isolamento dos cassinos e o sistema de câmeras indicaria que os ladrões estavam no cofre. Porém, como vimos no filme, o grupo de criminosos pensaram em tudo e conseguiram sair com o dinheiro”, compara Rebouças .
Para conseguir estar à frente dos criminosos, as equipes de segurança precisam ampliar sua capacidade de detectar um possível ataque – e, como vimos na pesquisa acima, apenas 10% das empresas estão nesta categoria. O segredo aqui é ampliar a detecção com sensores em diversos vetores de infecção, como e-mail, rede corporativa, dentre outros.
“No filme, vimos que o grupo do Ocean precisou acessar as áreas restritas dos cassinos para preparar o ataque. Eles também ficaram horas nos corredores monitorando as ações dos funcionários e realizaram diversas ações de sabotagem após iniciar o ataque – tudo isso ocorreu antes de chegarem ao cofre. Estes “sinais” também ocorrem em um ataque online e as tecnologias que compõem o XDR poderão coletar esses “avisos” e correlacioná-los ao ponto de determinar que um ataque está em andamento, podendo dar tempo e oportunidades à equipe de segurança para mitigar o roubo ou, até mesmo, impedi-lo completamente”, destaca Rebouças.
O XDR pode parecer que é uma solução ideal, mas ainda é possível dar ainda mais capacidade de resposta à equipe de segurança com os relatórios de inteligência. No filme, o personagem Danny Ocean estava preso e executa seu plano após 24 horas dentro da condicional – e isto indica que ele já havia cometido golpes e os “métodos” eram “conhecidos”.
Este aspecto da trama foi muito bem explorado na continuação do filme, mas no contexto da segurança online, ele ainda permite uma outra comparação. Rebouças explica que sempre que um ataque é descoberto, a empresa que o descobriu cria um documento detalhado com os métodos de ataque e, entre as informações disponíveis, estão características do golpe que permitem que uma solução de endpoint possa detectá-lo e bloqueá-lo.
“Chamamos este documento de relatório de ameaças (Threat Intelligence, em inglês). O único problema que eu vejo se Terry Benedict, o dono dos cassinos, tivesse sido avisado que Danny Ocean estava fora da prisão é que não teríamos este filme divertido e eu não poderia fazer esta comparação com cibersegurança”, finaliza.
