Se há mito que a pandemia ajudou a derrubar é o de que só as grandes organizações são alvo preferencial dos ataques de cibersegurança. Na prática, qualquer empresa ou organização, independentemente da sua dimensão ou setor de atividade, ou qualquer utilizador individual, é sempre um potencial objeto de ataque. “Que todos iremos experimentar ataques à cibersegurança é uma certeza. A incerteza é somente quando tal ocorrerá, qual será a sua intensidade e qual será a nossa capacidade de resposta”, afirma Paulo Rego, Diretor de Produto e Pré-Venda da MEO Empresas.
A exposição mediática global de incidentes e a mais recente guerra na Europa – que em muito se faz também no plano da cibersegurança –, têm incrementado a consciencialização das organizações e dos seus colaboradores para o tema. Neste cenário, as empresas em geral estão mais conscientes da realidade e dos desafios que têm pela frente, num contexto irreversível onde o teletrabalho e a ‘cloudização’ dos negócios vieram para ficar.
Desde que as organizações foram obrigadas a colocar as suas equipas em casa na primeira fase da pandemia, a previsibilidade do seu perímetro de segurança alterou-se para sempre. Existe, desde então, uma mobilidade sem precedentes dos postos de trabalho, entre os quais laptops, que outrora estavam nas instalações corporativas e passaram a estar remotos, em locais incertos – nomeadamente ligados em redes domésticas, ou redes WiFi públicas, mas mantendo as necessidades de segurança no acesso às aplicações corporativas que no passado eram acedíveis exclusivamente a partir das redes locais das empresas. Por outro lado, o email, bases de dados corporativas, ambientes de desenvolvimento e outras aplicações de negócio deslocalizaram-se para ambiente de cloud. Consequentemente, as empresas devem apostar na definição e implementação de um governance de segurança com especial atenção e foco na rápida deteção, mitigação e resposta às tentativas de ataques à cibersegurança. Para concretizar este objetivo, as empresas necessitam de know-how, de plataformas tecnológicas específicas e de ferramentas de análise e monitorização contínuas, com capacidade para correlacionarem eventos de segurança coletados em tempo real, bem como mecanismos de orquestração e automação, que permitem implementar ações automáticas que visam conter ou mitigar um ataque em curso no menor tempo possível, impedindo a sua progressão dentro dos sistemas de informação da empresa atacada.
É, por isso, natural que muitas organizações tenham neste novo contexto um desafio sem precedentes no que se refere à suas estratégias de cibersegurança. Idealmente, recomenda Paulo Rego, “as organizações necessitam de um parceiro que as ajude na definição e na implementação de uma estratégia, com uma abordagem holística e integrada ao tema da segurança das infraestruturas e da informação”. E este é, aliás, na perspetiva do responsável da MEO Empresas, um dos grandes desafios para as empresas. “É vital incorporar a cibersegurança nos processos de negócio, implementando uma lógica integrada de gestão de todas as tecnologias necessárias no contexto da cibersegurança”.
Acresce a necessidade em correlacionar todas estas tecnologias e antecipar o conhecimento dos múltiplos vetores de ataque, em contraposição com o cenário anterior, onde o vetor de ataque era primordialmente centrado nas portas de entrada nas redes corporativas, via sistemas de firewall. Esta é, para Paulo Rego, a abordagem correta à cibersegurança.
Quatro passos para a cibersegurança
Prevenir, proteger, detetar e recuperar são os quatro pilares essenciais numa estratégia de cibersegurança bem definida. Aplicar na prática o ditado popular “prevenir é melhor do que remediar” é o ponto de partida para reduzir as oportunidades de ataques informáticos. Mas, como explica Paulo Rego, “a implementação de uma prevenção ativa tem subjacente uma avaliação contínua do cadastro informático de cada empresa e uma permanente atualização corretiva do software e hardware, minimizando a exploração de vulnerabilidades”. Por outro lado, reforça, “este pilar trabalha também a componente da sensibilização dos colaboradores em cada organização. A monitorização contínua do índice de ciber higiene é de enorme relevância para cada empresa ter uma perceção mais nítida de risco e de quais as áreas que devem ser trabalhadas para fortalecimento da cibersegurança, antes que os hackers tirem partido de potenciais vulnerabilidades”. Outra via muito relevante é avaliar constantemente a exposição do nome ou domínios da empresa – o seu footprint e identidade digital junto dos seus clientes e parceiros – na dark web, percebendo potenciais ações desde o uso indevido de marca da empresa à exposição de credenciais de acesso.
O segundo passo nesta estratégia implica deter os mecanismos e a tecnologia que permitam inibir e conter a concretização de um ciberataque, com recurso a uma ciber defesa adequada que permita a proteção de todos os perímetros e infraestruturas tecnológicas das empresas. “As empresas devem recorrer a plataformas e/ou ferramentas específicas e a especialistas que as aconselhem, mediante a sua dimensão, dispersão e setor de atividade, sobre as soluções e metodologias mais adequadas de ciber proteção”, explica o responsável da MEO Empresas, que aponta alguns exemplos: além de firewalls e anti-virus de nova geração, de mecanismos de filtragem de conteúdos na web, de sistemas de deteção e prevenção de intrusão, sistemas de anti-DDoS (procurando evitar ataques volumétricos e aplicacionais cujo principal fim é a disrupção de serviço).
Por outro lado, o foco na rápida deteção e mitigação das tentativas de ataque é também fundamental. Para concretizar este objetivo, as empresas devem contar com equipas muito especializadas, dotadas de plataformas tecnológicas específicas e de ferramentas de análise e monitorização contínuas, com capacidade para correlacionarem eventos de segurança coletados em tempo real, bem como mecanismos de orquestração e automação, que permitem implementar ações automáticas que visam conter ou mitigar um ataque em curso no menor tempo possível, impedindo a sua progressão dentro dos sistemas de informação da empresa atacada. “É importante perceber rapidamente o tipo e a extensão do comprometimento e da origem do ataque a uma empresa, implementando ações de mitigação e de proteção dos seus ativos”, reforça Paulo Rego.
O último pilar visa garantir mecanismos confiáveis de sólida e rápida recuperação, de forma a garantir a continuidade dos negócios de uma empresa atacada. Isto implica a progressiva recuperação dos seus sistemas, informações/dados e serviços que possam ter sido comprometidos no decurso de um ataque de cibersegurança, o que implica a existência de boas ferramentas de backup e uma correta estratégia de disaster recovery, nomeadamente a reposição crucial dos sistemas.
Esta abordagem holística é utilizada em todas as suas dimensões dentro da Altice Portugal na gestão da cibersegurança. Uma abordagem que a empresa pretende disponibilizar aos seus clientes, capitalizando o vasto know-how interno e na articulação entre centros de competências internos de redes e ICT neste domínio. Como explica o responsável, além de disponibilizar uma oferta de tecnologia de última geração e de referência internacional (e a sua gestão, nos casos em que o cliente o pretenda como um serviço), a Altice dispõe de uma operação avançada de centro de cibersegurança que, de forma integrada e pró-ativa, faculta um serviço gerido e personalizado de segurança a cada empresa. “A visão integral destes quatro pilares, em articulação com o NOC (Network Operations Center) e ITOC (IT Operation Center) da Altice Portugal, permitem intervenções precisas e atempadas ao nível das infraestruturas Telco e ICT durante um ataque, constituindo um aliado importante no tempo de resposta e na qualidade do nível de proteção facultado a cada empresa”, salienta Paulo Rego.
O contributo de uma abordagem colaborativa à cibersegurança
A constante robustez dos quatro pilares da definição da estratégia de cibersegurança é sinónimo de uma permanente atuação e vigilância. Do ponto de vista de equipas dedicadas à gestão de cibersegurança é usual a divisão entre equipas de blue team e red team. As equipas de red team são responsáveis pela constante tentativa de intrusão nos sistemas e plataformas de uma organização, procurando continuamente encontrar possíveis vetores de ataque por exploração de vulnerabilidades – permitem por isso um insight precioso na estratégia de cibersegurança, facultando a visão que um possível atacante tem de uma organização. Por seu turno, as equipas de blue team são responsáveis pela manutenção de elevados índices de proteção e por garantir a robustez da segurança do perímetro da organização – são por isso permanentemente desafiadas pela red team.
O conceito de purple team emerge de uma cultura de coordenação entre estas duas equipas que, ainda que com objetivos distintos, se organizam com vista a testar e melhorar a postura de segurança de uma organização, de forma contínua e colaborativa, maximizando a contribuição dos skills destas duas equipas em prol de uma melhoria da segurança das organizações. “É um trabalho conjunto, numa lógica colaborativa, mas não substituta, que permite integrar com valor acrescentado informação nas duas perspetivas, de quem defende e de quem ataca, reporting e analítica constantes”, reforça o responsável da MEO Empresas.
Esta atuação permanente permite realimentar a Blue Team com o conhecimento de metodologias de ataque com impacto numa determinada plataforma ou sistema da organização, elevando os índices de prevenção e proteção. Por outro lado, perceber como as defesas são estruturadas, induz na Red Team criatividade para a sua ação e para, incessantemente, procurar novas formas de ataque e vulnerabilidades de nicho únicas em cada organização.
A integração na oferta MEO Empresas deste conceito de Purple Team permite o reforço da abordagem holística da cibersegurança nas empresas, à medida da dimensão e das necessidades de cada uma.
Reforçar a vertente humana
A consciencialização crescente para o tema da segurança exige que as empresas definam uma estratégia técnica e tecnológica, mas também o reforço da literacia digital junto das suas equipas.
De acordo com estudos da Universidade de Stanford, nos Estados Unidos, e da consultora EY, mais de 80% dos ataques informáticos ocorrem por erro humano, o que significa que a sensibilização das pessoas é um elemento-chave para uma estratégia bem-sucedida. Por exemplo, assiste-se nas organizações a uma preocupação acrescida com a gestão de passwords dos seus sistemas e dos seus colaboradores, bem como com a implementação crescente de medidas complementares de autenticação suportada, por exemplo em tokens, e implementação de sistemas de gestão de endpoints móveis. “As ações de sensibilização dos colaboradores para as ameaças do mundo digital e para a criticidade do tratamento da informação no cumprimento do RGPD, também já começam a emergir”, acrescenta o responsável da MEO Empresas.
A sofisticação crescente dos ataques exige um reforço ainda maior nas competências e no comportamento individual face à segurança.
“Mais do que implementação de tecnologia, a palavra-chave é a consciencialização permanente de cada um dos colaboradores e da sua importância para assegurar uma boa ciber higiene dentro da sua empresa e na sua vida pessoal”, diz Paulo Rego. E estas práticas estendem-se em várias vertentes, tais como implementar uma gestão criteriosa de passwords (passwords fortes, não repetir passwords, não partilhar passwords com terceiros, entre outros), aliada a ações que permitam incrementar o awareness dos colaboradores para os ataques de phishing e smishing cada vez mais sofisticados.
O responsável da MEO Empresas defende ainda a importância de aplicar um código de conduta e de boas práticas no que diz respeito a informação pessoal, na presença e ética em redes sociais, no uso consciente de redes WiFi públicas abertas, assim como na utilização, ou acesso, a informação corporativa/sensível em locais públicos. “A cibersegurança é fundamental não só para cada organização, mas para toda a cadeia de valor onde se insere, nomeadamente os seus parceiros e fornecedores” salienta, acrescentando que, no mundo atual, esta pode ser a chave para a sobrevivência e diferenciação das organizações no mercado global, uma vez que a segurança é crítica para a continuidade dos negócios e para a imagem, credibilidade e reputação das organizações.