BLOG

Segurança APAC: 2 Oportunidades para negócios, 1 para Hackers

Miniatura F5
F5
Publicado em 01 de maio de 2016

Acabei de concluir uma viagem de evangelização de segurança pela Ásia-Pacífico Norte (APAC) e gostaria de compartilhar alguns dos desafios e oportunidades em torno da segurança naquela parte do mundo. A APAC, como região, não é tão desenvolvida tecnologicamente quanto as Américas (AMER), Austrália/Nova Zelândia (ANZ) e Europa/Oriente Médio/África (EMEA). O atraso tecnológico da área oferece três oportunidades interessantes: duas para negócios e uma para hackers.

Aumentando a escala

O grande número de possíveis consumidores na APAC significa que há oportunidades incríveis de crescimento. Tomemos como exemplo as Filipinas: o país tem uma população de 90 milhões de pessoas, a maioria das quais não tem smartphones, mas provavelmente terá no futuro. Os provedores de serviços de telecomunicações nas Filipinas estão se preparando para a transição. Durante minha recente visita lá, um fornecedor comprou quatro chassis top de linha da F5, cheios de 18 das lâminas de mais alto desempenho que a F5 oferece. Eles estão construindo uma rede esperando que dezenas de milhões de smartphones fiquem online na próxima década.

Da mesma forma, uma empresa na Índia quer transformar seu enorme mercado potencial de consumidores oferecendo smartphones de US$ 5 com um plano de US$ 5/mês . (Como alguém no mundo desenvolvido cujo plano de smartphone ultrapassa US$ 100 por mês, estou com inveja!) A Índia, com uma população de mais de 1,5 bilhão de habitantes, representa um dos maiores mercados possíveis do mundo. A questão é: o setor de telecomunicações indiano conseguirá construir uma infraestrutura para dar suporte a tantos smartphones antes que eles entrem em operação?

 

 

CEO

Vítimas Inexploradas

Há um novo hack nos EUA chamado “fraude de CEO” que já custou bilhões às organizações. Fraude de CEO é um hack de engenharia social que começa com uma infecção de malware. Um invasor faz spear phishing e invade uma organização a ponto de comprometer o sistema de e-mail. Se possível, ele monitora os e-mails e aprende os processos de negócios, depois forja um e-mail do CEO para o CFO solicitando uma transferência de dinheiro de rotina, mas para a conta do próprio invasor. Conversei com um cliente no centro-oeste dos EUA que quase caiu nesse ataque; o assalto foi frustrado porque o invasor não conseguiu atingir o mesmo tom de conversa por e-mail do CEO. Mas muitas empresas americanas realmente caíram nessa . O FBI, de fato, emitiu um aviso sobre fraude de CEO .

A “solução” contra a fraude do CEO é confirmar verbalmente grandes transferências com o executivo que originou a transferência; ou seja, pegar o telefone e apenas certificar-se de que a transferência é legítima.

Ninguém com quem conversei na APAC tinha ouvido falar desse ataque ainda. Os invasores que usam a técnica estão mirando clientes mais ricos na AMER que ainda não foram inoculados por meio de inteligência de ameaças. Em algum momento, todos nos Estados Unidos estarão familiarizados com esse estratagema, seja porque eles próprios perderam dinheiro com isso, ou porque aconteceu com um amigo de um amigo, ou porque leram sobre isso em uma postagem de blog como esta.

Os atacantes começarão a atacar outras regiões quando os EUA estiverem saturados. Cingapura será uma escolha óbvia, dada a quantidade de instituições financeiras que realizam transações lá. Organizações em centros bancários como Cingapura e Hong Kong devem tomar medidas agora para melhorar seus processos antes que o ataque se espalhe para suas cidades.

Oportunidades para pular o fracasso

O conceito de tecnologia disruptiva não é novo. Há mais de 20 anos, Philip Anderson e Michael L. Tushman escreveram Descontinuidades Tecnológicas e Designs Dominantes: Um modelo cíclico de mudança tecnológica1, no qual eles analisaram a ruptura nas indústrias de cimento, vidro e transporte.

De acordo com sua pesquisa, a mudança tecnológica segue quatro etapas em um ciclo:

  1. Tecnologia disruptiva (fornece descontinuidade)
  2. Era de fermentação, durante a qual vários designs competem pelo domínio
  3. Surge o design dominante (que muitas vezes não é o design disruptivo)
  4. Era de mudança incremental (é aqui que as vendas atingem o pico)

Então ocorre outra interrupção e o ciclo reinicia.

Há um novo hack nos EUA chamado “fraude de CEO” que já custou bilhões às organizações. Fraude de CEO é um hack de engenharia social que começa com uma infecção de malware. Um invasor faz spear phishing e invade uma organização a ponto de comprometer o sistema de e-mail. Se possível, ele monitora os e-mails e aprende os processos de negócios, depois forja um e-mail do CEO para o CFO solicitando uma transferência de dinheiro de rotina, mas para a conta do próprio invasor. Conversei com um cliente no centro-oeste dos EUA que quase caiu nesse ataque; o assalto foi frustrado porque o invasor não conseguiu atingir o mesmo tom de conversa por e-mail do CEO. Mas muitas empresas americanas realmente caíram nessa . O FBI, de fato, emitiu um aviso sobre fraude de CEO .

A “solução” contra a fraude do CEO é confirmar verbalmente grandes transferências com o executivo que originou a transferência; ou seja, pegar o telefone e apenas certificar-se de que a transferência é legítima.

Ninguém com quem conversei na APAC tinha ouvido falar desse ataque ainda. Os invasores que usam a técnica estão mirando clientes mais ricos na AMER que ainda não foram inoculados por meio de inteligência de ameaças. Em algum momento, todos nos Estados Unidos estarão familiarizados com esse estratagema, seja porque eles próprios perderam dinheiro com isso, ou porque aconteceu com um amigo de um amigo, ou porque leram sobre isso em uma postagem de blog como esta.

Os atacantes começarão a atacar outras regiões quando os EUA estiverem saturados. Cingapura será uma escolha óbvia, dada a quantidade de instituições financeiras que realizam transações lá. Organizações em centros bancários como Cingapura e Hong Kong devem tomar medidas agora para melhorar seus processos antes que o ataque se espalhe para suas cidades.

Oportunidades para pular o fracasso

O conceito de tecnologia disruptiva não é novo. Há mais de 20 anos, Philip Anderson e Michael L. Tushman escreveram Descontinuidades Tecnológicas e Designs Dominantes: Um modelo cíclico de mudança tecnológica1, no qual eles analisaram a ruptura nas indústrias de cimento, vidro e transporte.

De acordo com sua pesquisa, a mudança tecnológica segue quatro etapas em um ciclo:

  1. Tecnologia disruptiva (fornece descontinuidade)
  2. Era de fermentação, durante a qual vários designs competem pelo domínio
  3. Surge o design dominante (que muitas vezes não é o design disruptivo)
  4. Era de mudança incremental (é aqui que as vendas atingem o pico)

Então ocorre outra interrupção e o ciclo reinicia.

Há um novo hack nos EUA chamado “fraude de CEO” que já custou bilhões às organizações. Fraude de CEO é um hack de engenharia social que começa com uma infecção de malware. Um invasor faz spear phishing e invade uma organização a ponto de comprometer o sistema de e-mail. Se possível, ele monitora os e-mails e aprende os processos de negócios, depois forja um e-mail do CEO para o CFO solicitando uma transferência de dinheiro de rotina, mas para a conta do próprio invasor. Conversei com um cliente no centro-oeste dos EUA que quase caiu nesse ataque; o assalto foi frustrado porque o invasor não conseguiu atingir o mesmo tom de conversa por e-mail do CEO. Mas muitas empresas americanas realmente caíram nessa . O FBI, de fato, emitiu um aviso sobre fraude de CEO .

A “solução” contra a fraude do CEO é confirmar verbalmente grandes transferências com o executivo que originou a transferência; ou seja, pegar o telefone e apenas certificar-se de que a transferência é legítima.

Ninguém com quem conversei na APAC tinha ouvido falar desse ataque ainda. Os invasores que usam a técnica estão mirando clientes mais ricos na AMER que ainda não foram inoculados por meio de inteligência de ameaças. Em algum momento, todos nos Estados Unidos estarão familiarizados com esse estratagema, seja porque eles próprios perderam dinheiro com isso, ou porque aconteceu com um amigo de um amigo, ou porque leram sobre isso em uma postagem de blog como esta.

Os atacantes começarão a atacar outras regiões quando os EUA estiverem saturados. Cingapura será uma escolha óbvia, dada a quantidade de instituições financeiras que realizam transações lá. Organizações em centros bancários como Cingapura e Hong Kong devem tomar medidas agora para melhorar seus processos antes que o ataque se espalhe para suas cidades.

Oportunidades para pular o fracasso

O conceito de tecnologia disruptiva não é novo. Há mais de 20 anos, Philip Anderson e Michael L. Tushman escreveram Descontinuidades Tecnológicas e Designs Dominantes: Um modelo cíclico de mudança tecnológica1, no qual eles analisaram a ruptura nas indústrias de cimento, vidro e transporte.

De acordo com sua pesquisa, a mudança tecnológica segue quatro etapas em um ciclo:

  1. Tecnologia disruptiva (fornece descontinuidade)
  2. Era de fermentação, durante a qual vários designs competem pelo domínio
  3. Surge o design dominante (que muitas vezes não é o design disruptivo)
  4. Era de mudança incremental (é aqui que as vendas atingem o pico)

Então ocorre outra interrupção e o ciclo reinicia.

Há um novo hack nos EUA chamado “fraude de CEO” que já custou bilhões às organizações. Fraude de CEO é um hack de engenharia social que começa com uma infecção de malware. Um invasor faz spear phishing e invade uma organização a ponto de comprometer o sistema de e-mail. Se possível, ele monitora os e-mails e aprende os processos de negócios, depois forja um e-mail do CEO para o CFO solicitando uma transferência de dinheiro de rotina, mas para a conta do próprio invasor. Conversei com um cliente no centro-oeste dos EUA que quase caiu nesse ataque; o assalto foi frustrado porque o invasor não conseguiu atingir o mesmo tom de conversa por e-mail do CEO. Mas muitas empresas americanas realmente caíram nessa . O FBI, de fato, emitiu um aviso sobre fraude de CEO .

A “solução” contra a fraude do CEO é confirmar verbalmente grandes transferências com o executivo que originou a transferência; ou seja, pegar o telefone e apenas certificar-se de que a transferência é legítima.

Ninguém com quem conversei na APAC tinha ouvido falar desse ataque ainda. Os invasores que usam a técnica estão mirando clientes mais ricos na AMER que ainda não foram inoculados por meio de inteligência de ameaças. Em algum momento, todos nos Estados Unidos estarão familiarizados com esse estratagema, seja porque eles próprios perderam dinheiro com isso, ou porque aconteceu com um amigo de um amigo, ou porque leram sobre isso em uma postagem de blog como esta.

Os atacantes começarão a atacar outras regiões quando os EUA estiverem saturados. Cingapura será uma escolha óbvia, dada a quantidade de instituições financeiras que realizam transações lá. Organizações em centros bancários como Cingapura e Hong Kong devem tomar medidas agora para melhorar seus processos antes que o ataque se espalhe para suas cidades.

Oportunidades para pular o fracasso

O conceito de tecnologia disruptiva não é novo. Há mais de 20 anos, Philip Anderson e Michael L. Tushman escreveram Descontinuidades Tecnológicas e Designs Dominantes: Um modelo cíclico de mudança tecnológica1, no qual eles analisaram a ruptura nas indústrias de cimento, vidro e transporte.

De acordo com sua pesquisa, a mudança tecnológica segue quatro etapas em um ciclo:

  1. Tecnologia disruptiva (fornece descontinuidade)
  2. Era de fermentação, durante a qual vários designs competem pelo domínio
  3. Surge o design dominante (que muitas vezes não é o design disruptivo)
  4. Era de mudança incremental (é aqui que as vendas atingem o pico)

Então ocorre outra interrupção e o ciclo reinicia.

Há um novo hack nos EUA chamado “fraude de CEO” que já custou bilhões às organizações. Fraude de CEO é um hack de engenharia social que começa com uma infecção de malware. Um invasor faz spear phishing e invade uma organização a ponto de comprometer o sistema de e-mail. Se possível, ele monitora os e-mails e aprende os processos de negócios, depois forja um e-mail do CEO para o CFO solicitando uma transferência de dinheiro de rotina, mas para a conta do próprio invasor. Conversei com um cliente no centro-oeste dos EUA que quase caiu nesse ataque; o assalto foi frustrado porque o invasor não conseguiu atingir o mesmo tom de conversa por e-mail do CEO. Mas muitas empresas americanas realmente caíram nessa . O FBI, de fato, emitiu um aviso sobre fraude de CEO .

A “solução” contra a fraude do CEO é confirmar verbalmente grandes transferências com o executivo que originou a transferência; ou seja, pegar o telefone e apenas certificar-se de que a transferência é legítima.

Ninguém com quem conversei na APAC tinha ouvido falar desse ataque ainda. Os invasores que usam a técnica estão mirando clientes mais ricos na AMER que ainda não foram inoculados por meio de inteligência de ameaças. Em algum momento, todos nos Estados Unidos estarão familiarizados com esse estratagema, seja porque eles próprios perderam dinheiro com isso, ou porque aconteceu com um amigo de um amigo, ou porque leram sobre isso em uma postagem de blog como esta.

Os atacantes começarão a atacar outras regiões quando os EUA estiverem saturados. Cingapura será uma escolha óbvia, dada a quantidade de instituições financeiras que realizam transações lá. Organizações em centros bancários como Cingapura e Hong Kong devem tomar medidas agora para melhorar seus processos antes que o ataque se espalhe para suas cidades.

Oportunidades para pular o fracasso

O conceito de tecnologia disruptiva não é novo. Há mais de 20 anos, Philip Anderson e Michael L. Tushman escreveram Descontinuidades Tecnológicas e Designs Dominantes: Um modelo cíclico de mudança tecnológica1, no qual eles analisaram a ruptura nas indústrias de cimento, vidro e transporte.

De acordo com sua pesquisa, a mudança tecnológica segue quatro etapas em um ciclo:

  1. Tecnologia disruptiva (fornece descontinuidade)
  2. Era de fermentação, durante a qual vários designs competem pelo domínio
  3. Surge o design dominante (que muitas vezes não é o design disruptivo)
  4. Era de mudança incremental (é aqui que as vendas atingem o pico)

Então ocorre outra interrupção e o ciclo reinicia.

Há um novo hack nos EUA chamado “fraude de CEO” que já custou bilhões às organizações. Fraude de CEO é um hack de engenharia social que começa com uma infecção de malware. Um invasor faz spear phishing e invade uma organização a ponto de comprometer o sistema de e-mail. Se possível, ele monitora os e-mails e aprende os processos de negócios, depois forja um e-mail do CEO para o CFO solicitando uma transferência de dinheiro de rotina, mas para a conta do próprio invasor. Conversei com um cliente no centro-oeste dos EUA que quase caiu nesse ataque; o assalto foi frustrado porque o invasor não conseguiu atingir o mesmo tom de conversa por e-mail do CEO. Mas muitas empresas americanas realmente caíram nessa . O FBI, de fato, emitiu um aviso sobre fraude de CEO .

A “solução” contra a fraude do CEO é confirmar verbalmente grandes transferências com o executivo que originou a transferência; ou seja, pegar o telefone e apenas certificar-se de que a transferência é legítima.

Ninguém com quem conversei na APAC tinha ouvido falar desse ataque ainda. Os invasores que usam a técnica estão mirando clientes mais ricos na AMER que ainda não foram inoculados por meio de inteligência de ameaças. Em algum momento, todos nos Estados Unidos estarão familiarizados com esse estratagema, seja porque eles próprios perderam dinheiro com isso, ou porque aconteceu com um amigo de um amigo, ou porque leram sobre isso em uma postagem de blog como esta.

Os atacantes começarão a atacar outras regiões quando os EUA estiverem saturados. Cingapura será uma escolha óbvia, dada a quantidade de instituições financeiras que realizam transações lá. Organizações em centros bancários como Cingapura e Hong Kong devem tomar medidas agora para melhorar seus processos antes que o ataque se espalhe para suas cidades.

Oportunidades para pular o fracasso

O conceito de tecnologia disruptiva não é novo. Há mais de 20 anos, Philip Anderson e Michael L. Tushman escreveram Descontinuidades Tecnológicas e Designs Dominantes: Um modelo cíclico de mudança tecnológica1, no qual eles analisaram a ruptura nas indústrias de cimento, vidro e transporte.

De acordo com sua pesquisa, a mudança tecnológica segue quatro etapas em um ciclo:

  1. Tecnologia disruptiva (fornece descontinuidade)
  2. Era de fermentação, durante a qual vários designs competem pelo domínio
  3. Surge o design dominante (que muitas vezes não é o design disruptivo)
  4. Era de mudança incremental (é aqui que as vendas atingem o pico)

Então ocorre outra interrupção e o ciclo reinicia.

Como a APAC, como região, está vários anos atrás da AMER, EMEA e ANZ, pode haver uma oportunidade única para as organizações da APAC pularem a era de fermentação (projetos fracassados) que essas outras regiões certamente sofrerão e irem direto para o design dominante.

Aqui está um exemplo concreto (ha!) sobre transporte.

Trem de açúcar, Austrália, imagem de Gwernol CC BY-SA 3.0

Na Austrália, o trem movido a vapor foi uma tecnologia revolucionária para a indústria de transporte, que até então era amplamente baseada no transporte marítimo. À medida que a tecnologia das locomotivas se desenvolvia, três modelos de bitola (largura) de trem competiam para ser o padrão. As empresas ferroviárias instalaram dezenas de milhares de quilômetros de trilhos de diferentes larguras em diferentes províncias.

Essas larguras divergentes de trilhos ainda existem hoje na Austrália . Há vários lugares onde os passageiros precisam desembarcar de um trem que usa uma largura e embarcar em um trem diferente com uma largura diferente para continuar sua viagem através das províncias. Mais de 250 soluções foram propostas para lidar com essa era de fermentação australiana, e todas foram rejeitadas. Nenhum design dominante surgiu depois de mais de 150 anos.

 

Imagem de KimonBerlin - Flickr, CC BY-SA 2.0

Compare essa situação ridícula com os incríveis sistemas de trens de alta velocidade na APAC, que foram construídos mais de um século depois, quando os projetos modernos dominantes surgiram. A APAC demorou mais para obter esses sistemas de trem, mas o resultado final é muito melhor.

 A mesma oportunidade existe para a segurança cibernética na APAC. Algumas das novas tecnologias nas quais as organizações na AMER estão investindo hoje podem acabar sendo a tecnologia disruptiva inicial, mas não o design dominante final. Os engenheiros que conseguem descobrir quais tecnologias são quais na APAC podem fazer uma grande diferença no futuro.

Minhocas e queijo

Uma das minhas citações favoritas é uma combinação de dois ditados famosos: “O pássaro madrugador pode pegar o verme, mas o segundo rato pega o queijo.”

Dada sua escala potencial e atraso tecnológico, a região APAC pode ser o segundo país a ganhar uma fatia enorme de queijo. Por outro lado, para organizações da APAC que não aprendem com as lições das vítimas cibernéticas na AMER, as organizações da APAC podem ficar presas nas mesmas armadilhas.

Ambas as formas são motivo de reflexão.