Mineiros e lacaios: Violações de dados não são a única coisa que lhe custa

Claro, uma violação de dados pode custar mais (pelo menos agora) e certamente coloca sua falha em evidência (você precisa notificar), mas a segurança não pode ser apenas sobre exposição de dados.

Hoje em dia, você só ouve falar de uma violação se houver um componente de exposição de dados. Da maneira como algumas pessoas falam (e escrevem), as violações só importam se houver exposição de dados. Um relatório recente da Netwrix sobre segurança e risco de TI observou, de fato, que “as organizações estão planejando concentrar seus investimentos na proteção de dados confidenciais, pois não podem prever todas as ameaças possíveis”. ( Relatório de Riscos de TI de 2017 )

Considerando que o custo médio de uma violação de dados está chegando a mais de US$ 3 milhões, com base em uma pesquisa da Ponemon (patrocinada pela IBM), essa certamente parece uma estratégia sensata. Proteja os dados. Afinal, isso não só custa dinheiro, como também mancha a marca e a reputação da empresa, além de muitas vezes custar o emprego das pessoas.

O problema com uma estratégia de segurança tão míope é que ela ignora completamente que há muitos custos associados a outras violações. Porque ninguém ataca suas defesas com a intenção de ir embora depois que o faz. Os invasores não estão aqui pela satisfação pessoal de obter acesso à sua rede ou sistemas. Já passamos da fase simples de “desfiguração como rito de passagem” na comunidade de hackers. Na maioria das vezes, os invasores de hoje estão nisso pelo dinheiro.

E embora saibamos que credenciais e dados pessoais valem muito na dark web, dados não são a única maneira de ganhar dinheiro hoje em dia. O mercado altamente lucrativo de criptomineração provou isso ultimamente. Um blog muito detalhado e longo (e que vale a pena ler) da Talos calcula que uma única campanha de cryptojacking pode gerar de US$ 182.500 por ano a incríveis US$ 100 milhões anualmente:

“Para colocar os ganhos financeiros em perspectiva, um sistema médio provavelmente geraria cerca de US$ 0,25 de Monero por dia, o que significa que um adversário que recrutou 2.000 vítimas (o que não é uma tarefa difícil) poderia gerar US$ 500 por dia ou US$ 182.500 por ano. Talos observou botnets consistindo em milhões de sistemas infectados, o que usando nossa lógica anterior significa que esses sistemas poderiam ser alavancados para gerar mais de US$ 100 milhões por ano teoricamente. “ 

Teoricamente, é claro.

Esses números são assustadores, mas não são os lucros gerados para os mineradores que são necessariamente pertinentes ao post de hoje. Essa é a principal razão dos ataques. Afinal, algumas centenas de milhares de dólares são um bom motivo para procurar recursos gratuitos. E porque é tão lucrativo, você deve estar mais ciente dos custos associados a violações que deixam mineradores e lacaios para trás em sua infraestrutura.

O custo do consumo ilícito de recursos

Os custos de uma violação de dados são bem documentados e variam de custos de limpeza a despesas de notificação e compensação.  Os custos de outras violações não são tão bem documentados, mas existem, no entanto, na forma de despesas operacionais desnecessárias e custos de oportunidade perdida. Quer estejamos falando de mineradores ou minions, processos tradicionais baseados em Linux ou código em contêiner, a realidade é que, uma vez depositados, esses bots estrangeiros e indesejáveis estão consumindo ilicitamente recursos que custam dinheiro de verdade no final do mês (ou trimestre, dependendo da frequência com que você paga sua conta de nuvem).

Alguns podem pensar que esses bots podem estar consumindo recursos pelos quais você teria pago de qualquer maneira. Quer dizer, parece que isso pode ser verdade – você usa apenas 20% dessa instância/servidor em média, mas está pagando por 100%, não importa o que aconteça. Então, realmente, os bots estão lhe custando receita real?

Pode ter certeza que sim.

Vamos lembrar por um momento a premissa do dimensionamento automático – uma das razões pelas quais muitas organizações adotam a nuvem pública. Quando a carga ou o desempenho ultrapassam um limite, queremos que uma nova instância seja iniciada para atender à demanda. Se tivermos uma instância que está usando apenas 20% para atender clientes legítimos e um bot de repente consome os outros 80%. Vamos pagar por uma segunda instância, depois uma terceira, uma quarta e, finalmente, uma quinta para atender à demanda que poderia ter sido atendida por uma única instância se ela não estivesse sendo utilizada ilicitamente.

Então tem esse custo. 

Para aqueles que são apaixonados pelo meio ambiente, há também o aumento das emissões de carbono devido ao aumento do uso de eletricidade. Fato fascinante, mas quando o computador está ocioso, ele consome menos watts do que quando está totalmente ocupado (particularmente quando está executando cálculos criptográficos altamente complexos). Então, se um minerador ou minion estiver trabalhando, isso estará custando a você em quilowatts-hora (se estiver no local) e em horas de instância (se estiver na nuvem pública), o que aumenta sua pegada de carbono.

Consumir mais energia significa mais calor, que precisa ser compensado por resfriamento adicional. Então, há ainda mais eletricidade sendo usada. E há os sistemas que monitoram a temperatura e relatam a temperatura... bem, você entendeu. Há muito poder de computação auxiliar usado para executar um data center – na nuvem ou no local – que custa a você quantias crescentes de dólares operacionais devido ao consumo ilícito de recursos.

Conforme observado no blog mencionado anteriormente do Talos, alguns desses scripts de criptomineração são inteligentes. Eles são evasivos e conseguem impedir que suas máquinas entrem em modo de espera, reiniciem, façam logon ou qualquer outra atividade que possa interromper sua operação. Eles mantêm suas máquinas funcionando 24 horas por dia, 7 dias por semana, e coletam cada bit digital possível antes de você chamar o exterminador.

Então esses são custos tangíveis – aqueles que você pode ver nas contas crescentes de serviços públicos e de nuvem. E os custos intangíveis? Como a perda de um cliente (ou cliente potencial) devido ao baixo desempenho?

Bem, vamos lembrar do axioma operacional nº 2: à medida que a carga aumenta, o desempenho diminui.

Se um minerador ou minion estiver consumindo recursos, isso aumentará a carga geral no servidor, o que diminuirá o desempenho do aplicativo. Assim como a gravidade, é uma lei. O impacto do baixo desempenho está bem documentado. Por exemplo, sabemos pela pesquisa da AppDynamics que 8 em cada 10 usuários excluíram um aplicativo porque ele tinha baixo desempenho. Sabemos que a Amazon, o Google e o Walmart documentaram o impacto que até mesmo microssegundos causam na receita, nas conversões e nas compras. Dependendo do setor, a perda de um aplicativo ou uma leve degradação do desempenho pode se traduzir em perdas mensuráveis muito rapidamente.

Mesmo que você não queira fazer as contas (e eu certamente não quero), a ideia geral fala por si: mineradores e minions custam dinheiro real às organizações de diversas maneiras. Embora a exposição de dados seja um risco sério à segurança e aos negócios, do qual é fundamental se defender, não podemos ignorar que qualquer violação pode resultar em consequências sérias. 

Um número surpreendente de 25% das organizações, de acordo com o RedLock Cloud Security Trends de maio de 2018 , está sofrendo com atividades de cryptojacking em seus ambientes. A Tripwire também observou que 15 milhões de pessoas foram afetadas por uma única operação de mineração de Monero . A eWeek relatou sobre uma empresa cujos recursos de computação estavam sendo drasticamente drenados por operações ilícitas de criptomineração.

Esses relatos estão se tornando mais frequentes, provavelmente na esperança de trazer à tona a seriedade dessas atividades. O importante a ser observado sobre mineradores – e lacaios servindo em exércitos de botnets – é que eles são evidências de uma violação em suas defesas, nenhuma das quais está necessariamente relacionada a dados confidenciais.

Concentrar-se muito na proteção de dados é uma boa maneira de adicionar seu nome à crescente lista de empresas que pagaram para tornar o cryptojacking um negócio tão lucrativo. A incerteza sobre o que os invasores explorarão em seguida não é um bom motivo para desviar nosso foco de uma estratégia de segurança abrangente e concentrar todos os nossos esforços na proteção de dados. Vamos proteger o negócio – e isso inclui os itens operacionais que podem corroer o resultado final da empresa.