Microsoft usa parcerias e programas bug bounty como chave para maior segurança

Ninguém é plenamente seguro se estiver sozinho. Esse foi um dos direcionamentos apresentados pela vice-presidente de segurança do Azure, Aanchal Gupta, em um painel com jornalistas e especialistas realizados nesta semana. À frente do Centro de Resposta em Segurança da Microsoft (MSRC, na sigla em inglês), ela também lidera um dos esforços globais da companhia no combate contra o cibercrime e fala no poder das parcerias como a chave para garantir uma maior resiliência cibernética.

• Ataques selecionados e fake news são tendências de ameaça no Brasil de 2022
• Sistemas mal configurados podem ser comprometidos em menos de 24 horas

“Os crimes cibernéticos estão ganhando escala. Nossa missão é proteger os parceiros não só das ameaças existentes como também daquelas que estão por vir. Isso só é possível com escala”, afirma Gupta, citando os números mais recentes da iniciativa. Hoje, são mais de 90 parceiros em diferentes áreas e oriundos da iniciativa pública e privada, compartilhando informações e inteligência para detecção, prevenção e mitigação de ameaças virtuais.

Eles também se dividem em diferentes projetos e escritórios globais, voltados para pesquisa de vulnerabilidades e mecanismos de segurança, desenvolvimento de soluções, inteligência artificial e, claro, bug bounty. Apenas entre julho de 2020 e junho deste ano, foram distribuídos US$ 13,6 milhões (cerca de R$ 77 milhões na cotação atual) em prêmios pela descoberta de falhas, com 341 pesquisadores de 58 países sendo contemplados. O maior pagamento foi de US$ 200 mil (R$ 1,13 milhão) e ao todo, em um ano, o MSRC foi capaz de mitigar mais de 1,2 mil vulnerabilidades.

Para Gupta, trabalhar lado a lado com diversas facetas, realidades regionais e corporações com escala e serviços diferentes ajuda a fortalecer um ecossistema onde, na realidade, todos estão vulneráveis. “Resiliência cibernética é a chave enquanto os atores de ameaças se tornam mais sofisticados. Só conseguiremos isso com uma mudança no paradigma da segurança e trabalhando juntos para obtermos insights comuns, permitindo que a gente se prepare”, completa.

Altos números

O resultado desses esforços coletivos é tão grande quanto a própria ameaça. De acordo com os números apresentados pela Microsoft, o custo do cibercrime para a economia global é de US$ 8 trilhões (R$ 45,3 trilhões, aproximadamente); são 16 bilhões de registros pessoais, financeiros e corporativos roubados por dia, ao longo de todo o ano de 2020, e 1.000 variantes de malware criadas todos os dias, sendo colocadas em prática logo depois, contra usuários e empresas.

Do outro lado, e com as parcerias focadas na resiliência digital, está uma geração de mais de 24 trilhões de eventos por dia — é assim que a Microsoft chama os sinais de alerta em termos de segurança, que podem ou não representarem intrusões, ataques ou tentativas de invasão. Na outra ponta desse funil, saem 70 bilhões de golpes impedidos no último ano.

“Usamos a mesma tecnologia que tentamos defender internamente e também como aliada para criar cenários e organizar as respostas. Temos 20 anos de experiência e contamos muito com as parcerias nesse combate, caso contrário, analisar tudo isso seria humanamente impossível”, conta Gupta, indicando algumas das inovações usadas nesse trabalho. São sistemas de inteligência artificial, machine learning e até análises comportamentais para entender exatamente o que está acontecendo, colocar incidentes lado a lado e separar o joio do trigo.

Com isso, o MSRC é capaz não apenas de reconhecer sinais de ameaça, correlacionando dados e entregando feedback aos times de desenvolvimento de soluções e análise de segurança, mas também falar em perspectivas. A antecipação, afinal de contas, é parte do esforço de resiliência citado pela executiva, com a mitigação de incidentes em andamento e a proteção contra o que ainda está por vir caminhando lado a lado na estratégia da Microsoft.

No mesmo caminho, também está um foco em tornar a segurança digital menos áspera para os clientes, de forma que atualizações de segurança e rotinas de mitigação sejam sempre aplicadas. Para Gupta, essa é uma explicação para a preferência da gigante pelas Patch Tuesdays, os dias específicos em que updates são liberados para o sistema operacional e aplicados todos de uma só vez.

A ideia, afirma a executiva, é garantir proteção total com o mínimo de atrito, ao contrário de updates constantes que poderiam gerar deslizes. Gupta sabe que, principalmente em organizações governamentais, financeiras ou de infraestrutura, processos desse tipo não são simples e podem até gerar indisponibilidades, com a ideia de data marcada e atualização combinada soando bem para todos os envolvidos, enquanto outras medidas de proteção e monitoramento podem ser tomadas até que os problemas estejam resolvidos de forma definitiva.

Enquanto o processo de atualização e proteção pode se tornar muito complexo bem rapidamente, a impressão da especialista é de que o crime cibernético se torna mais acessível e barato a cada dia. Brechas zero-day, aquelas ainda desconhecidas até mesmo pelos desenvolvedores originais dos softwares, podem ser adquiridas na dark web a partir de US$ 5 mil (R$ 28,3 mil), enquanto ataques de DDoS podem ser detonados por pouco menos de US$ 300 (R$ 1,7 milhão) ao mês. Um perfil comprometido vale quase nada, US$ 0,97 (R$ 5,5) a cada mil contas, enquanto suas intrusões podem ter resultados devastadores.

Os números são reflexos da falta de preparo do ponto de vista de segurança e, também, da quantidade de vetores disponíveis nas mãos dos criminosos. Hoje, mesmo bandidos sem muitas habilidades tecnológicas podem adquirir kits de exploração por poucos milhares de dólares, bem como realizarem parcerias com gangues de ransomware em troca da divisão dos ganhos sempre astronômicos oriundos dos pagamentos de resgates.

No final das contas, Gupta aponta a redução no valor financeiro de ataques digitais como o principal objetivo de qualquer estratégia de segurança. É também um pensamento incomum no setor, que normalmente foca os trabalhos em impedir os ataques; para a executiva, um bom caminho também é aumentar a complexidade dos sistemas, de forma que os golpes se tornem mais custosos para os bandidos e, assim, com ganhos menos interessantes.