Estamos vivendo uma “pandemia” de ataques cibernéticos. E dentre os tipos de ataques, o ransomware é um dos que têm maior crescimento. Ransomware é um tipo de software malicioso, ou malware, que criptografa dados em um computador, tornando-o inutilizável. O cibercriminoso mantém os dados como reféns até que o resgate seja pago, sob ameaça de destruição ou divulgação dos dados raptados. Desde 2020, o cenário dos ransomwares se agravou, com a proliferação do serviço de “aluguel” de ransomware, conhecida como RaaS — Ransomware as a Service. Com esse tipo de serviço, os cibercriminosos que desenvolvem o malware permitem que outros criminosos com menos conhecimento técnico utilizem o RaaS, pagando parte do valor subtraído das vítimas, em caso de ataque bem-sucedido. Esse cenário já teve reflexos no mercado de seguros cibernéticos, que teve um aumento de até 30% no final de 20201. A empresa de segurança SonicWall também confirmou o aumento exponencial de ataques do tipo ramsonware, com o registro de 154,4 milhões de ataques de janeiro a abril de 2021, representando um crescimento de 90% em relação ao mesmo período de 2020. A situação é desafiadora, tanto para o setor privado quanto para o público. Neste último caso, o cenário ganha uma dose extra de preocupação: além de o setor público ter se tornado um alvo preferencial, o resultado de uma recente auditoria do Tribunal de Contas da União feita em 422 organizações públicas federais constatou que 50,7% dos auditados não possuem política de backup aprovada formalmente e 33 instituições não fazem sequer o backup de seu principal sistema, tornando-as altamente vulneráveis a ataques cibernéticos. Nestes casos, um ataque por ramsonware seria catastrófico.
Nesse cenário, como se proteger?
Não existe uma panaceia. Contudo, um recente estudo divulgado pelo CETIC.br identificou que três medidas poderiam reduzir 80% dos incidentes de segurança reportados ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br). Podemos aqui nos lembrar da regra de Pareto. Vilfredo Pareto foi um economista italiano do século XIX que, durante suas pesquisas, percebeu que, em geral, 80% da renda de uma nação estava nas mãos de apenas 20% da população. Extrapolando este conceito, Pareto criou uma regra que ficou conhecida como a lei de Pareto 80/20, que afirma que 80% dos resultados são produzidos por 20% das causas. Aplicando esse conceito à segurança digital, podemos deduzir que 80% dos incidentes são causados por 20% das vulnerabilidades, sejam elas tecnológicas ou de procedimentos.
Claro que são medidas, à primeira vista, simples e óbvias, mas envolvem muitas ações e têm requisitos que podem inviabilizar sua adoção de maneira generalizada. Vamos, então, tentar explorar um pouco cada uma dessas três medidas.
Primeira medida: manter todos os softwares atualizados
A exploração de vulnerabilidades conhecidas de softwares é uma das principais portas de entrada para malwares. Segundo o US-CERT, as dez vulnerabilidades mais exploradas para o comprometimento de sistemas e redes governamentais são conhecidas e possuem correções, algumas há mais de 5 anos. Um exemplo é a vulnerabilidade do protocolo Server Message Block versão 1 (SMBv1), que tem uma falha de estouro de buffer que foi usada nos ataques do Wannacry e NotPetya, em 2017 e 20182. Uma pesquisa da ExtraHop mostra que mais de dois terços das empresas no mundo ainda estão usando esse protocolo, mais de 4 anos após o WannaCry. que afetou centenas de milhares de usuários em mais de 150 países ao redor do mundo. O mesmo relatório aponta ainda outros protocolos conhecidamente inseguros em uso nas organizações.
Claro que atualizações de versões de softwares e aplicação de correções podem não ser tarefas tão simples, especialmente em ambientes onde há muito sistema antigo, que dependem de versões e protocolos inseguros. Mas os cibercriminosos também sabem disso e continuam explorando tais vulnerabilidades. Assim, é importante que as organizações tenham um plano de ação para migração ou substituição dos sistemas legados, bem como desenvolvam uma política de atualização e aplicação de correções, considerando todos os aspectos envolvidos, como procedimentos de gestão de mudanças e análise de riscos.
Segunda medida: fazer o hardening de todos os sistemas e dispositivos
Hardening pode ser entendido com um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas em servidores e equipamentos de TIC com o objetivo principal de torná-lo preparado para enfrentar tentativas de ataques, especialmente ataques para exploração de contas privilegiadas. Assim, mesmo que a primeira medida seja aplicada, é importante fazer o hardening, especialmente para mudar configurações de fábrica alterando, por exemplo, usuário e senhas amplamente conhecidas e desabilitando protocolos inseguros ou não utilizados. Essa medida também é uma das onze principais ações técnicas valorizadas pelas autoridades de proteção de dados europeias, conforme já escrevi em outro artigo.
Terceira medida: melhorar os processos de identificação e autenticação em serviços e sistemas
Os cibercriminosos geralmente escolhem o caminho mais fácil. Nesse sentido, sistemas que utilizam apenas senhas como forma de autenticação são alvos mais fáceis para golpes digitais. Uma forma de melhorar a segurança dos sistemas é utilizar múltiplos fatores de autenticação. Assim, essa medida acaba por endereçar um dos pontos mais sensíveis e explorados pelos cibercriminosos: o roubo de credenciais de acesso. Tal medida é tão importante que foi uma das iniciativas explicitamente citada na ordem executiva do governo dos EUA, em resposta aos recentes eventos de ataques cibernéticos, como o que ocorreu na Colonial Pipeline. Além disso, como a medida anterior, esta também é uma das ações técnicas valorizadas pelas autoridades de proteção de dados europeias. O uso de autenticação multifatorial verifica a identidade do usuário por meio de duas ou mais credenciais de acesso, ao invés de se basear somente na senha. Pode-se utilizar, por exemplo, algum critério que o usuário saiba (a senha), outro critério que ele possua (dados biométricos) ou algo que ele porte (um token). Tal medida é especialmente vital para controle de acesso de contas privilegiadas, como de administradores de sistemas e infraestrutura de TIC.
80% para eliminar os 20%
Alguém poderia ponderar que essas três medidas são muito simplistas para tratar um problema tão grande como essa “pandemia” de ataques cibernéticos pela qual estamos passando. Outros poderiam afirmar que embora simples e óbvias, a implementação dessas medidas pode não ser tão trivial como aparenta. Para qualquer um dos casos, há argumentos válidos. Contudo, é importante que as organizações tomem medidas que possam diminuir o tamanho do seu problema. Se essas três medidas, segundo pesquisa do CETIC.br, são capazes de tratar até 80% dos ataques, por que não investir tempo e recursos para isso? Tais medidas, se implementadas, permitirão que as organizações e times de TIC e segurança se concentrem nos outros 20% de situações não resolvidas, avaliando o risco e medidas de mitigação que podem ser aplicadas nestes casos.
Claro que, para que tenhamos um ecossistema digital saudável e seguro, é necessário o envolvimento de todos os atores desse ecossistema: organizações – públicas e privadas –, fornecedores de soluções de TIC, profissionais de TIC e segurança da informação e usuários finais. Só assim, teremos uma solução eficaz para essa pandemia digital empreendida pelos cibercriminosos.
Este artigo foi produzido por Fabio Correa Xavier, Diretor do Departamento de Tecnologia da Informação do TCESP, Mestre em Ciência da Computação, Professor e Colunista da MIT Technology Review.