Empresas devem chegar ao Ano Novo mais seguras, mas ameaças também devem crescer

Quem olha o estado da segurança digital, principalmente no que toca as grandes corporações, poderia facilmente pintar um cenário de guerra. Mas também existem previsões otimistas, pelo menos em alguns aspectos e, principalmente, no que toca a adoção de sistemas mais complexos e avançados. Após a corrida do home office e a onda de ataques que a acompanhou, as empresas se tornaram mais preocupadas, ainda que o índice de incidentes continua nas alturas. É o que mostrou um painel de tendências e ameaças para 2022 da ESET, especializada em segurança digital.

• Mais de um terço das empresas pagam após serem vítimas de ransomware
• Campanha de espionagem por “mercenários digitais” fez vítimas até no Brasil
• Check Point abre plataforma para formação profissional em cibersegurança

De acordo com um levantamento de seus especialistas, 70,5% das companhias estão saindo da pandemia com uma preocupação maior com a própria proteção. O protocolo zero trust parece ser um dos principais caminhos, principalmente diante da convergência de dispositivos, com 30% das empresas latino-americanas afirmando terem adotado sistemas desse tipo nos últimos dois anos, enquanto, entre os que ainda pretendem implementar tais soluções, 72% disseram que isso será feito no curto prazo. Os dados vão de encontro direto com um temor que, ainda que não generalizado, é bastante significativo: 30% dos executivos entrevistados pela ESET acreditam que suas corporações não estão bem preparadas para lidar com as ameaças digitais.

Como vem se falando desde o começo do isolamento por conta da covid-19, a digitalização acelerada de processos críticos, a adoção rápida da nuvem híbrida e o uso de equipamentos pessoais para trabalho fora do escritório são os principais fatores para essa desconfiança. “Hoje, de maneira geral, as empresas estão mais bem preparadas do que em 2020, mas ainda há muito a ser feito. O uso de dispositivos domésticos [no trabalho] é o pior cenário possível, deixando [o ambiente] altamente exposto”, completa Daniel Cunha Barbosa, pesquisador de segurança da ESET.

Nesse sentido, os especialistas apontam que, por mais que exista um avanço na adoção de ferramentas avançadas de defesa, o fator humano segue como o principal aspecto vulnerável. E aqui, não se fala apenas em funcionários caindo em golpes de phishing ou tentativas elaboradas de engenharia social, mas também em uma visão reticente, principalmente de organizações mais engessadas, de abraçarem os processos digitais. 57% dos trabalhadores que adotaram regimes híbridos ou de home office, por exemplo, não receberam ferramentas e dispositivos corporativos para usarem durante o trabalho, enquanto ferramentas usuais como autenticação em duas etapas ou VPNs corporativas, por exemplo, somente são utilizadas em um terço das companhias.

Trio parada dura

Temos em mãos uma conta que não fecha, com três pilares que deveriam conversar entre si mas acabam se tornando o calcanhar de Aquiles da segurança digital. Primeiro, e novamente, está a adoção rápida de serviços de cloud computing, de forma incrivelmente rápida e, muitas vezes, mal configurada, de forma a suportar a adoção do home office em grande escala. É o que Barbosa chama de “modo pandemia”, um uso de sistemas a toque de caixa que colocou a todos em risco.

Depois, vem a já conhecida e citada utilização de dispositivos pessoais, que não se resumem apenas a celulares e computadores pessoais, mas também roteadores domésticos que podem estar mal configurados. Fora das redes corporativas e do alcance dos profissionais de TI, que nem mesmo podem interferir em tais rotinas, se abrem as portas para o cibercrime e, também, para uma mistura entre o uso privado e profissional que pode levar a ameaças.

Por fim, no retorno ao regime híbrido, os espaços compartilhados e a ideia de que os funcionários podem trabalhar de qualquer lugar surge como uma questão. Na visão de Barbosa, há pouca preocupação com a segurança dos dados no mundo real e o especialista exemplifica isso com a anedota de quando, em um café, ouviu dois profissionais de uma empresa trocando credenciais na mesa ao lado. Eles carregavam o logo da corporação na camisa e, para um atacante, seria como entregar os dados de acesso de bandeja.

“Há uma curva de adoção ao trabalho remoto, que fez com que o fator humano continuasse a ser uma questão de cibersegurança. Não dá para culpas unicamente os profissionais de TI por tais dificuldades”, completa Barbosa. Novamente, vem à pauta o tema educacional, com 52% das corporações entrevistadas pela ESET tendo capacitado seus colaboradores sobre temas de segurança; um número que soa como pouco diante do aumento considerável na superfície de ataque gerada pelo trabalho híbrido.

O especialista cita ainda outros aspectos inerentemente humanos dessa questão, como o maior relaxamento gerado pela rotina de home office e as maiores distrações dentro de casa, com família e animais de estimação, por exemplo. Esse aspecto mais casual — afinal de conta, todos sabemos que você trabalhou de pijama, do sofá, por alguns dias — pode ser um fator de risco, pois reduz o foco e pode gerar deslizes de segurança por falta de atenção.

Os criminosos sabem muito bem disso e colocaram os e-mails e mensagens de phishing no topo dos vetores de intrusão em redes corporativas. Segundo a ESET, o total de comunicações fraudulentas já havia dobrado em 2020, na comparação com 2019, e voltou a se multiplicar em igual potência em 2021; no Brasil, mensageiros instantâneos como o WhatsApp são uma questão tão importante quando o correio eletrônico e, novamente, passam longe de sistemas de segurança corporativos, enquanto se misturam com fotos e textos pessoais.

Diante de uma calamidade de saúde pública e um esforço global de vacinação, as fake news também se tornaram um fator de distribuição. Segundo a empresa de segurança, o uso de textos alarmistas e palavras de ordem faz com que mensagens desse tipo tenham 70% mais chance de serem compartilhadas, enquanto o volume geral aumentou 50% em 2021. Com as notícias falsas, também chegam malwares e páginas maliciosas que podem roubar credenciais e, novamente, podem ser acessadas de forma intencional ou sem querer pelos colaboradores.

Do outro lado, também houve aumento significativo na movimentação e, mais do que isso, a transformação do cibercrime em uma indústria de dezenas de milhões de dólares, que também deve chegar com força a 2022 se apoiando nos pilares de vulnerabilidades citados pelos especialistas da ESET. Um dos principais protagonistas, aponta Carlos Marino, engenheiro de vendas da companhia, deve continuar sendo o ransomware.

Os ataques dessa categoria registram aumento de 60% no Brasil e, mais do que isso, suas ferramentas são vendidas a terceiros pelos criminosos como forma de maximizar os ganhos. A falta de atualizações e o uso de soluções defasadas também colocam o nosso país na mira: de acordo com dados da empresa de segurança, 56% dos casos de sequestro digital registrados no país foram decorrentes de uma brecha no Excel 2003, bem como softwares do pacote Office 2008 A vulnerabilidade, descoberta em 2012, já tem atualização disponível há quase uma década, mas segue como um perigo às corporações daqui.

Menos é mais

O foco amplamente financeiro deve seguir como uma tendência de 2022 em diante. Barbosa aponta uma queda no número de detecções de ransomware neste ano, mas um crescimento na utilização de variantes das pragas, um indicativo de ataques mais direcionados e com maior eficácia. As previsões para o Brasil nesse sentido não são boas, aponta o especialista, com um aumento no interesse de grupos internacionais por corporações daqui e um foco maior que pode até resultar em um total de golpes menor, mas também em um potencial de destruição elevado.

Entre as ferramentas que estão sendo usadas pelos atacantes para maximizar a eficácia de suas operações estão sistemas de machine learning, que ajudam a identificar portas abertas e falhas que permitam a entrada, sem que os bandidos precisem depender necessariamente de phishing. Os e-mails fraudulentos devem seguir como os principais vetores, pela facilidade de implementação, mas nos grandes e sofisticados ataques, a ESET destaca o uso de ferramentas avançadas que também envolvem deep fakes como forma de burlar autenticação.

Em paralelo, os especialistas da ESET também citam um aumento na implantação de pragas que mineram criptomoedas, principalmente, em ataques contra usuários finais e servidores corporativos. De acordo com os especialistas, o Brasil já é o terceiro da América Latina em número de detecções dessa categoria, com 10% dos casos registrados por aqui e atrás apenas do Equador (14%) e Peru (40%). A expectativa é que o segundo lugar mude de mãos, em desfavor aos nossos conterrâneos, bem em breve.

Ainda nesse sentido, os analistas apontam os NFTs como uma tendência de ameaças, ainda que os golpes nesse sentido não sejam tão comuns. Porém, é desnecessário dizer que, diante de uma indústria com volume de vendas na casa dos US$ 2,02 bilhões e crescimento de 2.000% entre o final de 2020 e o primeiro trimestre deste ano, os criminosos vão desejar uma fatia considerável desse bolo.

Nesse sentido, a ESET apresenta o perigo, mas também mostra as blockchains como um caminho possível para aumentar a confiabilidade, principalmente, de transações no sistema financeiro ou de validação de dispositivos nas redes. Processos dos segmentos de saúde e operações que lidam com documentação também podem aproveitar o uso da tecnologia, que ainda é incipiente fora do mundo do cripto, mas vista como tendência.

Novamente indicando que as mesmas ferramentas usadas pelo cibercrime também podem servir para proteção e mitigação, os especialistas indicam ainda que as soluções de machine learning podem ser fortes aliados na localização e mitigação de falhas, principalmente nas já citadas vulnerabilidades zero day. Tais tecnologias, ao lado dos já citados sistemas de confiança zero e iniciativas de educação, podem servir para aumentar o nível da segurança digital em um momento que, se já era crítico, parece prestes a se tornar ainda mais.