Colaboração e cultura continuam a ser cruciais para a segurança: Chris Krebs

O papel do governo na segurança

Durante o almoço com a mídia, realizado no âmbito do evento SentinelOne na Cidade do México, Chris foi questionado sobre a posição e o apoio dos governos em relação ao tema da segurança cibernética, ao qual respondeu que, além dos orçamentos reduzidos, faltam de colaboração entre as áreas internas e os diversos órgãos governamentais.

No caso específico dos EUA, e dada a sua experiência no setor, Chris acrescentou: “não existe uma abordagem estratégica, holística e coordenada no Congresso dos EUA para gerir os requisitos de TI; em vez disso, é investido em determinadas áreas e isso leva a mais estruturas para gerir os sistemas de governo.”

Krebs acrescentou que existem muitos fornecedores atendendo a mais de 100 agências governamentais nos EUA, e cada agência tem seu próprio CISO, com seus próprios desafios de gerenciamento de recursos, bem como conflitos de liderança. “Quando os fornecedores abordam, podem não dar a devida atenção e no final tudo se resume, como em qualquer lugar, a uma questão orçamentária”, disse.

Além disso, a questão do sourcing ou aquisição de produtos e/ou serviços no governo costuma ser burocrática e beneficia alguns fornecedores de tecnologia e grandes integradores de sistemas – algo que definitivamente não é um problema exclusivo do governo americano. Krebs disse que se concentrou em promover um modelo de serviço compartilhado para os principais serviços -como e-Mail- onde você não precisa de centenas de contratos para cada agência, mas de um punhado de pessoas centralizando solicitações, monitoramento e resposta. “Podemos simplificar a abordagem tecnológica, reduzir os custos de investimento… mas vários relatórios sobre violações foram coletados e mostrados, e eles não geraram interesse [dos funcionários públicos], mas foram descartados. Acho que você precisa de pessoas com experiência em segurança cibernética no Congresso para escalar a questão", disse ele.

Krebs já havia falado sobre a dificuldade de trabalhar com o governo americano, durante sua palestra no Black Hat 2022, em agosto. Nessa apresentação, o especialista disse que as pequenas melhorias nas operações cibernéticas do governo não são suficientes para evitar as crescentes ameaças. "Ainda é difícil para as organizações do setor privado saber com quem trabalhar. É o FBI? É a CISA? É o Departamento de Energia? É o Tesouro? Ainda é muito difícil trabalhar com o governo e a proposta de valor Não é tão claro quanto deveria ser", disse ele.

Durante sua palestra na Black Hat, Krebs explicou os quatro papéis principais do governo: consumidor, executor, advogado e facilitador. Do lado do consumidor, Krebs defendeu que o governo use seus fundos maciços para investir de forma mais agressiva em ferramentas do setor privado, embora não economize tanto no custo: "O preço mais baixo tecnicamente aceitável não pode ser o modelo de compra e saída". ”, alertou então.

Falta de reconhecimento dos profissionais do setor

Tanto Chris Krebs quanto os executivos do SentinelOne falaram com a mídia sobre sua preocupação com a falta de visibilidade e reconhecimento do papel dos diretores de segurança da informação, ou CISOs. Daniel Bernard, diretor de marketing (CMO) da SentinelOne, disse que os CISOs são frequentemente vistos como geradores de custos, e não como uma força produtiva de negócios, por isso são subestimados e incapazes de obter todos os recursos de que precisam. “A maioria das organizações em todo o mundo continua a relegar a posição de CISO ou diretor de segurança abaixo de TI, reportando-se a CIOs ou CTOs e se referindo aos profissionais de segurança cibernética como 'o cara da segurança'.” em vez de CISO, e eles trabalham para o cara da tecnologia. Boa sorte para essas organizações”, disse Bernard.

Krebs acrescentou que em organizações maiores, onde há mais processos a cumprir, faz mais sentido para um CISO sair do controle de TI, mas "muitas vezes há conflitos quando se trata de tomar decisões ou implementar, seja para comprar determinada tecnologia ou Não. E eles lidam com as áreas que geram o negócio fazendo seu trabalho.”

Bernard ofereceu um exemplo dessa rivalidade com Patch Tuesdays, onde a Segurança e as Operações geralmente se enfrentam. "A segurança diz 'temos que aplicar todos esses patches' enquanto a TI diz 'não está em nosso cronograma, temos outra janela de manutenção para um programa, agendamos para X dias ou semanas'", disse o CMO.

Marlon Palma, diretor regional de vendas para a América Latina e o Caribe, ofereceu sua visão sobre esse problema na região: "As empresas enfrentam uma lacuna de habilidades devido à falta de recursos qualificados, especialmente aquelas onde há apenas uma ou duas pessoas. Mas o SentinelOne automatiza o trabalho. Costumo perguntar a eles: 'você quer um software que o coloque para trabalhar ou um software que faça o trabalho para você? Porque é o que você precisa, visibilidade, automação e integração, interoperabilidade com outras ferramentas'. Temos que centralizar uma série de ferramentas e automatizá-las, dar visibilidade aos clientes que muitas vezes são cegos porque não conseguem ver o que têm”, comentou.

Ciberguerra e hacktivismo

Um tema que não passou despercebido durante a refeição foi o hacktivismo e a guerra cibernética. Após os incidentes de ataques a servidores do governo no México, Chile e Peru, o assunto ainda desperta muito interesse. Quando questionados sobre os ciberataques russo-ucranianos, os especialistas do SentinelOne foram cautelosos em suas opiniões, argumentando que antes de rotular um incidente como ciberguerra, é preciso primeiro entender se é uma nação se defendendo contra um ataque DDoS, ou de um ataque de ransomware, ou se eles estão afetando sistemas hospitalares em outras nações, causando a morte de algumas pessoas.

No mundo físico –explicou Krebs– existem barreiras significativas entre as nações que possuem armas e há acordos internacionais para que não usem seu arsenal, mas no mundo virtual supõe-se que cada país possa desenvolver algum tipo de arma cibernética, e se eles usam ou não é outra coisa; “Normas foram estabelecidas por 15 anos para evitar ataques a infraestruturas vitais, mas não foram definidas como um ato de guerra, apesar do fato de que poderiam causar danos graves”, disse ele.

Além disso, muitos desses ataques são realizados por grupos de hackers que, embora financiados por um governo, não fazem parte do governo e, portanto, não se qualificam como um ato oficial de guerra.

Uma das alternativas para interromper a guerra cibernética é interromper as redes de suporte aos criadores de ransomware. Em setembro, Krebs participou do Rubrik Data Security Summit, onde delineou três estratégias para remover o suporte das redes das operadoras de ransomware. Segundo Krebs, a superfície de ataque e a base instalada são altamente vulneráveis; em segundo lugar, os invasores descobriram como monetizar vulnerabilidades, geralmente por meio do ecossistema criptográfico; e terceiro, há um porto seguro histórico – ou seja, a Rússia – a partir do qual eles podem operar impunemente.

Na conferência de Rubrik, Krebs pediu que se investigue a própria capacidade dos criminosos de realizar suas atividades, interrompendo sua infraestrutura de comando e controle, interrompendo sua capacidade de trabalhar com outros afiliados e fazendo-os duvidar de si mesmos, para que os grupos se separem e não possam trabalhar juntos.

Voltando à mesa de discussão, o especialista disse que ainda estamos numa fase inicial do que corresponde a uma guerra cibernética, mas o que já está a acontecer é a espionagem. “E isso é considerado algum tipo de ataque. No entanto, quando os limites são cruzados danificando a infraestrutura ou colocando civis em risco, danificando os instrumentos da democracia, atacando os sistemas de votação eleitoral, isso é considerado um ataque dos Estados. A questão é como responder?", questionou Krebs.

Outras questões surgiram ao falar sobre os grupos hacktivistas que atacaram países latino-americanos, como Guacamaya. “Esses grupos têm uma ampla agenda e conhecimento, podem ter conotações políticas… a questão é se eles cruzam a linha do ativismo para a atividade criminosa, com acesso não autorizado a sistemas de computador protegidos. Mas também há um debate ético quando, a partir desses vazamentos, é divulgada uma quantidade de informações sobre corrupção, uma relação com cartéis de drogas que envolve funcionários do governo... A questão então é sobre transparência: as informações desses registros devem foram tratados de forma mais adequada? Devo iniciar um processo contra alguém? Esse é o objetivo de toda a operação”, concluiu Krebs.