O mundo dos hackers e as medidas de segurança necessárias para detê-los passam, ano após ano, por uma mudança radical -- e que não parece que vai parar tão cedo. Temos mais dispositivos do que nunca, com mais conectividade e exposição potencial. Embora a segurança da informação tenha tentado acompanhar esse desenvolvimento, infelizmente existe uma verdade inconveniente: estamos frente a frente com organizações altamente complexas.

Quem já passou por uma violação de dados na empresa sabe que as ações são altamente organizadas -- existe um plano claro para invasão, levado a cabo por profissionais com conhecimento e aparato tecnológico suficientes para romper quase qualquer barreira. Quem orquestra esses ataques é tão organizado quanto as empresas que são invadidas.

Pior que isso: o tempo de resposta é lento. Uma organização leva, em média, 191 dias para identificar uma violação de dados. Cada vez mais códigos maliciosos e ataques são preparados para que criminosos consigam passar meses desapercebidos coletando dados -- ou preparando um ataque de ransomware para um vultuoso pedido de resgate.

O Brasil é, hoje, um dos países mais atacados -- com a exposição de mais de 200 milhões de dados de brasileiros em 2021. Empresas e governo são as grandes vítimas -- mas o que efetivamente nós estamos fazendo para contornar essa situação?

Hacking, hoje, é um negócio

Como a maioria das empresas, os cibercriminosos se adaptaram e se ajustaram nos últimos dois anos. Os invasores modernos aprenderam a lançar campanhas de ransomware mais destrutivas, sem deixar rastros que podem gerar qualquer penalização pela lei.

E, quando há o desmantelamento de algum grupo, geralmente os criminosos rapidamente se reorganizam, com um novo nome, e utilizando nova infraestrutura tecnológica. O DarkSide, por exemplo, o grupo de ransomware por trás de vários ataques importantes, parece ter sido renomeado como BlackMatter.

A cada reinvenção, as gangues de ransomware podem voltar mais fortes, aprender com suas experiências e aproveitar novas técnicas e vulnerabilidades. Cibercriminosos têm uma grande variedade de ferramentas em evolução, muitos vetores para obter os dados que procuram e inúmeras maneiras de evitar a detecção após se infiltrar nas organizações vítimas.

E toda essa eficiência está por trás de um modelo de negócios: o RaaS -- Ransomware as a Service - que permite a invasores independentes entrar em ação rapidamente.

Mas... o que nós estamos fazendo?

O cenário tão complexo às vezes não sensibiliza gestores e a liderança na condução do tema da proteção empresarial com a diligência necessária. A maioria das organizações não percebe a quantidade de dados que hoje estão excessivamente acessíveis. Um usuário comprometido tem o potencial de acessar e colocar em risco um volume enorme de dados confidenciais, gerando um raio de explosão inaceitavelmente grande.

Por isso, se você precisa começar por algum lugar, existem algumas ações que podem ser tomadas para tornar a sua empresa mais resiliente. O primeiro passo é adotar uma abordagem centralizada em dados. Mesmo com uma quantidade enorme de endpoints, a maioria dos dados está alocada em repositórios centrais -- tanto na nuvem quanto on-premise. Como tantos vetores de ataques potenciais, é impossível se antecipar e monitorar todos. Ao invés de usar essa abordagem -- de fora para dentro, é mais fácil proteger os dados, trabalhando de dentro para fora.

Além dos dados, a abordagem a partir do ambiente interno também inclui o monitoramento da atividade dos usuários. Analisar qualquer atividade incomum dentro do seu ambiente, como funcionários fazendo logins de locais estranhos, ou acessando arquivos que não estão relacionados ao seu trabalho, é fundamental para detectar atividade criminosa. Ações suspeitas são sinais de um dispositivo ou credenciais de usuários comprometidos. Alguns grupos de ransomware, como o BlackMatter, são conhecidos por usar credenciais de usuários expostas na Dark Web como um vetor de ataque.

Para ganhar resiliência e sair da inércia, é necessário trabalhar para estar à frente dos grupos criminosos. Uma coisa nós já sabemos: eles querem seus dados. Dificultar o acesso a eles e monitorar as possíveis investidas dos criminosos já vai tornar qualquer ataque mais complicado. Para reinventar a segurança, não é preciso reinventar a roda: você precisa contar com tecnologia.