O que tira o sono dos CISOs? Especialistas da Mandiant respondem

Se voltarmos no tempo, os cibercriminosos pediam uma pequena quantidade de criptomoeda e devolviam as fotos da família da vítima. Agora, diz Sandra Joyce, VP e head de Inteligência Global da Mandiant Intelligence Google Cloud, o que vemos são extorsões multifacetadas.

“Isso significa que se houver uma campanha ou um evento de ransomware em sua organização, o que os sistemas estão observando agora não é apenas o roubo de dados, não apenas a interrupção de suas operações, mas podem ser ameaças pessoais. Vocês podem receber ameaças a familiares, coerção e outros. E, para ajudar, estamos vendo a segmentação de ataques a hospitais e outras áreas que prestam serviços críticos”, alerta a especialista durante o Google Next ‘24.

Portanto, a agressividade com que os criminosos cibernéticos operam, especialmente os grupos monitorados pela Mandiant recentemente, está tornando o trabalho dos CISOs um pesadelo. Porque eles não precisam pensar apenas nos dados roubados, mas no bem-estar das pessoas que trabalham para eles.

Kevin Mandia, CEO Mandiant Google Cloud, concorda ao citar que além da escalada dos atos criminosos, há melhor conhecimento de OpSec (segurança de operações) por parte dos invasores. Por outro lado, o executivo não acredita que esse seja o ponto mais baixo da segurança cibernética nos últimos 30 anos.

A conclusão é de que os invasores estão se tornando cada vez mais sofisticados. “Eles têm dados do consumidor, de privacidade, e estão com todo foco na infraestrutura da nuvem, já que não é uma surpresa que os dados estão na cloud. Vemos muito foco dos invasores no fato de que a maioria de nós ignora a autenticação, especialmente as tecnologias de autenticação multifatorial com mais dados, por exemplo, como o envio de mensagens SMS com um código de seis dígitos”, frisa Jurgen Kutscher, VP da Mandiant Consulting Google Cloud.

Em uma viagem para a Ucrânia, Sandra diz ter observado que a grande similaridade entre estado-nação e empresas é o Zero-Day (expressão usada para uma vulnerabilidade grave). “Pense nos fluxos de trabalho que precisam acontecer para garantir que isso seja corrigido e para determinar o quão crítico é para aquela organização específica. Esse é um giro de atividade. Agora, aumente as apostas e imagine como acontece para se defender em um conflito.”

Leia mais: Google Next ’24: casos práticos de IA em grandes empresas e startups

Segundo ela, os russos utilizavam dessas técnicas para parar serviços básicos ao mesmo tempo em que atacavam fisicamente para derrubar uma central elétrica. “Portanto, se você é um CISO, ou se você é um defensor de uma nação, as técnicas dos cibercriminosos têm consequências de longo alcance.”

Com todas essas ameaças, Mandia acredita que, cada vez mais, as empresas estarão preocupadas com a cadeia de abastecimento tecnológica. Ou seja, será necessário entender de onde obtêm os softwares, como funcionam as partes internas das empresas, e quais as principais ameaças nesse sentido.

“Vimos alguns ataques poderosos à cadeia de suprimentos nos últimos anos por parte de pessoas familiarizadas com eles, o que torna esses ataques particularmente difíceis porque, novamente, você tem uma base sólida e, em última análise, o impacto foi uma organização potencialmente negativa em termos de segurança, sendo muito difícil de detectar desse tipo de problema”, constata Kutscher.

Em termos de proteção de dados, complementa o especialista, há um nível de sofisticação no setor privado e, nos últimos anos, foram vistos até mesmo ataques de segundo nível à cadeia de abastecimento. Nesses casos, tentar rastrear tentando entender onde o ataque começou, é extremamente difícil.

“O outro elemento é que você precisa ter algum tipo de relacionamento de confiança com fornecedores de software. Isso é inerente ao negócio hoje. Às vezes é muito difícil começar a criar redes confiáveis e não há uma solução fácil para tentar identificar esses pontos de entrada críticos em uma organização, construindo bons controles de monitoramento em torno disso”, comenta Kutscher.

O CEO da Mandiant destaca que um dos desafios na cadeia de suprimentos é o fato de que pequenas empresas estão fabricando softwares inovadores. E muitas startups não têm uma equipe de segurança, apesar de serem as primeiras a adotar as ferramentas. “Isso cria uma espécie de ‘porta dos fundos’ para vulnerabilidades.”

Dentro desse contexto, a Inteligência Artificial também ganha protagonismo. Todavia, de acordo com Sandra, ainda estamos em uma espécie de fase experimental no que diz respeito ao que os agentes de ameaças estão fazendo com a IA, o que cria uma oportunidade de se defender.

Os criminosos estão usando a tecnologia para criar imagens ou textos falsos, mas ainda como uma fase de experimentação. “O que estamos fazendo dentro da Mandiant é usar IA para reverter malware mais rápido. Nós usamos a IA para escrever artigos ou usar dados para analisar contratos inteligentes em criptomoeda. Eu acho que há muitas maneiras pelas quais os fornecedores serão capazes de aproveitar a IA, principalmente agora porque os atores da ameaça não têm a nossa perspectiva”, comemora Sandra.

Kutscher concorda ao dizer que a escassez crítica de talentos também pode ter uma virada de jogo com a IA. “Mas a parte que realmente me deixa entusiasmado é como ela pode ajudar a defender nossos direitos, por exemplo, analisando uma grande quantidade de inteligência sobre ameaças e obtendo um rápido resumo direto de onde está ‘pegando fogo’ ou poder analisar o código muito rapidamente e identificar como este malware está construindo novas regras de detecção.”

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!

*a jornalista viajou a convite do Google Cloud