O que 2018 pode nos ensinar sobre 2019
De ataques patrocinados pelo estado e sistemas industriais vulneráveis à escassez contínua de profissionais de segurança, 2018 nos trouxe violações maiores, ataques DDoS maiores e o desafio cada vez maior que as organizações enfrentam para defender sua infraestrutura de criminosos. Foi um ano de novidades: ataques DDoS de uma semana na casa dos terabytes, monitoramento de sistemas comprometidos para criptomineração e aumento de motivos políticos e militares para o lançamento de ataques. Os regulamentos obrigatórios de proteção de dados e privacidade do GDPR também entraram em vigor, alterando os direitos individuais à proteção de dados pessoais com impactos em todo o mundo.
Os aplicativos foram o principal alvo, além dos próprios usuários, dos cibercriminosos em 2018 e, ao olharmos para o novo ano, uma coisa é certa: esse fenômeno permanecerá inalterado. Os aplicativos e seus usuários continuarão em risco e, à medida que 2019 se aproxima, precisamos estar preparados para a evolução contínua do crime cibernético.
Estas são algumas das principais áreas onde vemos novas tendências e riscos sustentados:
Segurança na Nuvem – Uma dupla responsabilidade entre o cliente e o provedor de nuvem surgirá para a segurança dos aplicativos, levando a um aumento nos serviços de segurança gerenciados.
Há uma responsabilidade compartilhada para proteger sistemas na nuvem. Embora o provedor de nuvem seja responsável por sua infraestrutura e pelos serviços que um cliente compra, proteger o aplicativo em si é responsabilidade do cliente. À medida que mais organizações dependem de serviços de nuvem, os provedores de nuvem estão traçando um limite para ajudar as organizações a entender onde termina sua responsabilidade. Muitas das primeiras soluções de segurança em nuvem foram criadas por necessidade, mas, à medida que aplicativos mais críticos migram para a nuvem, caberá ao cliente garantir que as políticas adequadas, o gerenciamento de identidade e acesso e outras proteções de segurança estejam em vigor para os requisitos exclusivos de seus aplicativos. Pode haver um aumento nos provedores de serviços de segurança gerenciados (MSSPs) no próximo ano, oferecendo serviços necessários que um fornecedor de nuvem tradicional não tem... com a tendência contínua de que o pessoal de segurança permaneça em oferta limitada.
A segurança realmente se torna um assunto de todos
À medida que mais unidades de negócios (RH, Finanças, etc.) implantam seus serviços na nuvem, elas também precisarão adotar medidas de segurança. Muitas vezes, isso ocorre em conjunto com o departamento de TI ou, pelo menos, seguindo algumas "melhores práticas", mas haverá muitos que, ao correrem para a nuvem, esquecerão ou abrirão mão da segurança em sua busca por agilidade. Para a empresa em geral, uma maior adoção da nuvem significa aumentar os orçamentos para segurança de infraestrutura de nuvem, serviços gerenciados, IAM, análise comportamental do usuário e soluções de orquestração/automação.
As organizações também podem buscar incorporar mais segurança ao código, mas também precisam de considerações de segurança dentro das funções de DevOps. Seja qual for a medida de segurança (WAF, IPS, IAM, proxy), esses serviços devem ser considerados e testados durante o desenvolvimento.
Em 2019, mais orçamento será alocado para segurança de aplicativos. Isso é bom, pois todas as nossas vidas dependem dessas aplicações.
IoT – O número de dispositivos IoT comprometidos aumentará à medida que os invasores se concentrarem na camada de aplicativos, e a detecção de bots será crítica.
Existem bilhões de dispositivos conectados hoje e outros bilhões devem se conectar nos próximos anos. Muitos têm segurança limitada, ou nenhuma, o que os torna propícios para aquisição. No passado, as botnets de IoT eram consideradas apenas teóricas até o lançamento do Mirai em 2016 . Hoje em dia, ThingBots realizando ataques DDoS são uma ocorrência diária.
Diante disso, a defesa proativa contra bots será crucial no próximo ano. Embora você já possa ter um Web Application Firewall (WAF), muitos WAFs tradicionais não fornecem essa função importante nem têm a capacidade de mitigar ameaças em evolução direcionadas à camada de aplicativo. Proteções mais avançadas são necessárias para lidar com ameaças que sobem na pilha de aplicativos.
A responsabilidade pela segurança da IoT pode recair sobre o fabricante
Para abordar recursos de segurança limitados em dispositivos IoT, a Califórnia aprovou recentemente uma lei ( SB 327 ) que atribui mais responsabilidade aos fabricantes. Embora leve em detalhes específicos, ele determina que, “ A partir de 1º de janeiro de 2020, exigiria que um fabricante de um dispositivo conectado, conforme esses termos são definidos, equipasse o dispositivo com um recurso ou recursos de segurança razoáveis que sejam apropriados à natureza e função do dispositivo, apropriados às informações que ele pode coletar, conter ou transmitir, e projetados para proteger o dispositivo e qualquer informação nele contida de acesso não autorizado, destruição, uso, modificação ou divulgação, conforme especificado.”
Este é um primeiro passo importante na regulamentação legislativa referente a esses dispositivos não tão inteligentes. Também pode abrir um precedente que outros estados seguirão em breve. A lei obriga os fabricantes a revelar as informações/dados que o dispositivo coleta, contém e transmite. Também exige que cada dispositivo tenha uma senha exclusiva que os usuários possam alterar antes de usar. Isso é importante porque muitos dispositivos IoT comprometidos não têm senha ou a senha padrão é bem conhecida e, portanto, explorada.
Móvel – O gerenciamento de mobilidade empresarial continua avançando à medida que mais organizações adotam uma estratégia de Traga seu próprio dispositivo.
Não estamos falando de nenhum novo iPhone, Android, Samsung ou outros modelos aqui, mas mais sobre áreas como acesso baseado em políticas, biometria comportamental, 5G e Mobilidade Empresarial/BYOD.
O acesso baseado em políticas permitirá que os funcionários que usam qualquer dispositivo acessem dados enquanto esses dados estiverem protegidos por criptografia ou contêineres de trabalho virtuais e isolados que podem ser apagados se o dispositivo for perdido, roubado ou se o funcionário deixar a empresa.
Os dispositivos também se tornarão melhores em identificar e autenticar o proprietário. Os softwares de reconhecimento facial mais recentes podem determinar os contornos do rosto ou evoluir para reconhecer a voz, os movimentos ou o estilo de digitação da pessoa para desbloquear o telefone. Isso é certamente importante, pois mais trabalhadores acessam recursos corporativos a partir de seus dispositivos pessoais.
Pessoas e sociedade – Engenharia social e phishing continuarão sendo uma via de muito sucesso para fraudes, e a privacidade se tornará ainda mais ilusória.
Phishing é o vetor de ataque número 1, de acordo com a pesquisa de ameaças do F5 Labs. As táticas de engenharia social tornaram os golpes de phishing muito mais sofisticados e difíceis de detectar. Os invasores lucram com a pirataria por meio da monetização, o que determina o tipo e a frequência de incidentes que acontecem. Muitas vezes, ataques de phishing são uma maneira de roubar uma identidade para depois usá-la em um ataque a um aplicativo. De acordo com a Symantec, o usuário médio recebeu 16 e-mails maliciosos por mês no ano passado. Se você for vítima de phishing, fique atento a intrusões adicionais. Embora manter a privacidade total na era digital de hoje seja quase impossível — e se torne mais complexo com a infinidade de dispositivos inteligentes pessoais — lembre-se de que a maioria de nós compartilha voluntariamente detalhes sobre nós mesmos diariamente. Mesmo que nossos dados e informações estejam espalhados pela internet, ainda precisamos tomar todas as precauções de segurança e privacidade que pudermos. O GDPR da Europa busca proteger todos os dados pessoais e qualquer violação pode desmantelar uma organização devido a multas do GDPR. Com o GDPR, o impacto na reputação de uma organização violada pode ter consequências duradouras.
Precisamos ser inteligentes, permanecer vigilantes e observar o quanto estamos doando. Você nunca sabe quando aquele velho amigo do colégio aparece de repente em um e-mail perguntando se você vai ao baile de formatura. Dica profissional: Não clique no link!!