Microsoft usa parcerias e programas bug bounty como chave para maior segurança

Microsoft usa parcerias e programas bug bounty como chave para maior segurança

Por Felipe Demartini | Editado por Claudio Yuge | 03 de Dezembro de 2021 às 20h40
Divulgação/Microsoft

Ninguém é plenamente seguro se estiver sozinho. Esse foi um dos direcionamentos apresentados pela vice-presidente de segurança do Azure, Aanchal Gupta, em um painel com jornalistas e especialistas realizados nesta semana. À frente do Centro de Resposta em Segurança da Microsoft (MSRC, na sigla em inglês), ela também lidera um dos esforços globais da companhia no combate contra o cibercrime e fala no poder das parcerias como a chave para garantir uma maior resiliência cibernética.

“Os crimes cibernéticos estão ganhando escala. Nossa missão é proteger os parceiros não só das ameaças existentes como também daquelas que estão por vir. Isso só é possível com escala”, afirma Gupta, citando os números mais recentes da iniciativa. Hoje, são mais de 90 parceiros em diferentes áreas e oriundos da iniciativa pública e privada, compartilhando informações e inteligência para detecção, prevenção e mitigação de ameaças virtuais.

Eles também se dividem em diferentes projetos e escritórios globais, voltados para pesquisa de vulnerabilidades e mecanismos de segurança, desenvolvimento de soluções, inteligência artificial e, claro, bug bounty. Apenas entre julho de 2020 e junho deste ano, foram distribuídos US$ 13,6 milhões (cerca de R$ 77 milhões na cotação atual) em prêmios pela descoberta de falhas, com 341 pesquisadores de 58 países sendo contemplados. O maior pagamento foi de US$ 200 mil (R$ 1,13 milhão) e ao todo, em um ano, o MSRC foi capaz de mitigar mais de 1,2 mil vulnerabilidades.

Para Aanchal Gupta, VP do Azure e líder do Microsoft Security Response Center, a chave para uma maior resiliência digital está nas parcerias e no bom uso da tecnologia para defesa contra ameaças atuais e prevenção contra as futuras (Imagem: Divulgação/Microsoft)

Para Gupta, trabalhar lado a lado com diversas facetas, realidades regionais e corporações com escala e serviços diferentes ajuda a fortalecer um ecossistema onde, na realidade, todos estão vulneráveis. “Resiliência cibernética é a chave enquanto os atores de ameaças se tornam mais sofisticados. Só conseguiremos isso com uma mudança no paradigma da segurança e trabalhando juntos para obtermos insights comuns, permitindo que a gente se prepare”, completa.

Altos números

O resultado desses esforços coletivos é tão grande quanto a própria ameaça. De acordo com os números apresentados pela Microsoft, o custo do cibercrime para a economia global é de US$ 8 trilhões (R$ 45,3 trilhões, aproximadamente); são 16 bilhões de registros pessoais, financeiros e corporativos roubados por dia, ao longo de todo o ano de 2020, e 1.000 variantes de malware criadas todos os dias, sendo colocadas em prática logo depois, contra usuários e empresas.

Do outro lado, e com as parcerias focadas na resiliência digital, está uma geração de mais de 24 trilhões de eventos por dia — é assim que a Microsoft chama os sinais de alerta em termos de segurança, que podem ou não representarem intrusões, ataques ou tentativas de invasão. Na outra ponta desse funil, saem 70 bilhões de golpes impedidos no último ano.

Trilhões de sinais de ameaças são traduzidos por inteligência artificial e machine learning, se transformando em feedback para equipes de desenvolvimento que trabalham em soluções e estratégias de defesa (Imagem: Elements/wutzkoh)

“Usamos a mesma tecnologia que tentamos defender internamente e também como aliada para criar cenários e organizar as respostas. Temos 20 anos de experiência e contamos muito com as parcerias nesse combate, caso contrário, analisar tudo isso seria humanamente impossível”, conta Gupta, indicando algumas das inovações usadas nesse trabalho. São sistemas de inteligência artificial, machine learning e até análises comportamentais para entender exatamente o que está acontecendo, colocar incidentes lado a lado e separar o joio do trigo.

Com isso, o MSRC é capaz não apenas de reconhecer sinais de ameaça, correlacionando dados e entregando feedback aos times de desenvolvimento de soluções e análise de segurança, mas também falar em perspectivas. A antecipação, afinal de contas, é parte do esforço de resiliência citado pela executiva, com a mitigação de incidentes em andamento e a proteção contra o que ainda está por vir caminhando lado a lado na estratégia da Microsoft.

No mesmo caminho, também está um foco em tornar a segurança digital menos áspera para os clientes, de forma que atualizações de segurança e rotinas de mitigação sejam sempre aplicadas. Para Gupta, essa é uma explicação para a preferência da gigante pelas Patch Tuesdays, os dias específicos em que updates são liberados para o sistema operacional e aplicados todos de uma só vez.

A ideia, afirma a executiva, é garantir proteção total com o mínimo de atrito, ao contrário de updates constantes que poderiam gerar deslizes. Gupta sabe que, principalmente em organizações governamentais, financeiras ou de infraestrutura, processos desse tipo não são simples e podem até gerar indisponibilidades, com a ideia de data marcada e atualização combinada soando bem para todos os envolvidos, enquanto outras medidas de proteção e monitoramento podem ser tomadas até que os problemas estejam resolvidos de forma definitiva.

Tornar sistemas mais seguros e resilientes faz com que o cibercrime precise ser mais sofisticado, se tornando menos lucrativo para os bandidos (Imagem: Divulgação/Check Point)

Enquanto o processo de atualização e proteção pode se tornar muito complexo bem rapidamente, a impressão da especialista é de que o crime cibernético se torna mais acessível e barato a cada dia. Brechas zero-day, aquelas ainda desconhecidas até mesmo pelos desenvolvedores originais dos softwares, podem ser adquiridas na dark web a partir de US$ 5 mil (R$ 28,3 mil), enquanto ataques de DDoS podem ser detonados por pouco menos de US$ 300 (R$ 1,7 milhão) ao mês. Um perfil comprometido vale quase nada, US$ 0,97 (R$ 5,5) a cada mil contas, enquanto suas intrusões podem ter resultados devastadores.

Os números são reflexos da falta de preparo do ponto de vista de segurança e, também, da quantidade de vetores disponíveis nas mãos dos criminosos. Hoje, mesmo bandidos sem muitas habilidades tecnológicas podem adquirir kits de exploração por poucos milhares de dólares, bem como realizarem parcerias com gangues de ransomware em troca da divisão dos ganhos sempre astronômicos oriundos dos pagamentos de resgates.

No final das contas, Gupta aponta a redução no valor financeiro de ataques digitais como o principal objetivo de qualquer estratégia de segurança. É também um pensamento incomum no setor, que normalmente foca os trabalhos em impedir os ataques; para a executiva, um bom caminho também é aumentar a complexidade dos sistemas, de forma que os golpes se tornem mais custosos para os bandidos e, assim, com ganhos menos interessantes.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.