janeiro 02, 2020

[Segurança] Previsões para 2020

Agora é hora de pensar o que o ano de 2020 está preparando para nós.


No ano passado eu separei a minha coletânea de previsões entre as óbvias e as que considerava válidas. Para esse ano, vou dar uma melhorada nessa separação:

O Óbvio
  • É claro que os ataques de Ransomware vão continuar assolando as empresas e organizações em todo o mundo. Além de serem muito lucrativos para os ciber criminosos, não há uma bala de prata capaz de proteger as empresas. Afinal, o ransomware é um ataque que explora a falha humana, semelhante quando um usuário se infecta por um vírus - um problema quase tão antigo quanto a própria informática;
  • Os vazamentos de dados vão continuar. Afinal, as empresas ainda vão demorar um bom tempo até aprenderem a proteger seus dados armazenados em ambientes em nuvem - isso representou a maioria dos casos de vazamento de dados em 2019. Além do mais, as ferramentas e procedimentos de segurança ainda engatinham frente a grande facilidade de criar ambientes em nuvem, sem a devida proteção (e esse foi o principal vetor de vazamento de dados em 2019);
  • Falta de profissionais qualificados. Isso é um problema crônico que afeta o mercado de tecnologia e também o de segurança há vários anos. Esse problema não vai ser resolvido tão cedo :(
  • Fake news nas eleições de 2020 - um tema que preocupa vários países, principalmente os EUA e o Brasil, que terão eleições nesse ano. As Fake News tem sido amplamente utilizadas para manipular a opinião do eleitorado, distrair a discussão sobre assuntos importantes, etc. Os países tem grande dificuldade em identificar e evitar a proliferação de notícias falsas nas redes sociais. Eu gostei de uma iniciativa que surgiu no Brasil: o TSE decidiu punir os candidatos que produzirem e disseminarem notícias falsas no período eleitoral.
"Tendências" que não são tendências! #peloamordeDeus
  • Blockchain? Sem novidades. Lamento! Embora a tecnologia exista há mais de 10 anos, ela não trouxe nenhum uso inovador além das criptomoedas. E não acredito que isso vá mudar tão cedo. Além disso, seu uso já está enraizado por ciber criminosos e até mesmo criminosos tradicionais, para esconder, movimentar e lavar o dinheiro;
  • Ataques em dispositivos IoT e a infraestrutura crítica não são novidades para ninguém, há vários anos. Mas, mesmo assim, eles permanecem nas listas de mercado, como se fossem tendências;
  • Threat Intelligence não é bala de prata! Nos últimos dois anos, principalmente, vi uma glamourização da área de Threat Intelligence. Nessa área, muito se fala de OSINT, como se fosse o principal aspecto de Threat Intel - mas, na verdade, é apenas uma pequena engrenagem de algo muito mais complexo que é a capacidade de identificar novas possibilidades de ameaças, investigar tendências e extrair indicadores úteis para a empresa. As empresas ainda engatinham nessa área, enquanto proliferam empresas que cobram rios de dinheiro para fazer um OSINT bem besta.
Vamos ao que interessa!
  • O fim da privacidade online - com tanta exposição nas redes sociais e, principalmente, com tantos vazamentos de dados pessoais sensíveis, toda nossa informação pode ser facilmente encontrada online. É o fim da privacidade dos nossos dados :(
  • O fim da identidade online - com mais dados vazados do que a população da terra, as empresas tem grande dificuldade em validar a identidade online de seus clientes. As senhas já são consideradas insuficientes há vários anos (o próprio NIST tem dito isso desde 2016, pelo menos). Além disso, a facilidade de fraude de SIM Swap torna muito difícil utilizar um dispositivo como parâmetro para identificar um usuário;
  • Os "Deepfakes" vão facilitar a criação de identidades falsas. Com o avanço da tecnologia para criação de "deepfakes", provavelmente ciber criminosos vão começar a utilizá-la para criação de identidades falsas online, que podem ser usadas em esquemas de fraudes. Além de constar em 11 de cada 10 listas de tendências dos principais fabricantes, a Forcepoint chegou a prever o surgimento do "Deepfakes-As-A-Service";
  • Esse será o "Ano do reconhecimento facial", graças  a expansão do uso de tecnologias de biometria facial, principalmente como forma de autenticação de aplicativos nos celulares. Além disso,vamos ver um grande debate sobre a necessidade de privacidade relacionado a o uso dessa tecnologia para vigilantismo governamental (que já é realidade na China e pode ser facilmente adotado em países que já investiram muito em câmeras de vigilância);
  • A dificuldade em manter segurança na nuvem vai gerar uma maior demanda por profissionais de segurança especializados em Cloud Security, enquanto os grandes provedores estão expandindo suas ofertas de serviços e ferramentas para facilitar a automatização dos controles de segurança em seus ambientes - já que os mega-vazamentos de dados de 2019 deixaram claro que os clientes falharam em manter controles básicos de segurança;
  • Zero Trust - o mercado de segurança ainda fala pouco sobre o conceito de Zero Trust, mas esse é um conceito muito importante para as empresas que adotam massivamente o uso de Cloud Computing. Cada vez vamos depender de confiar e aplicar controles de segurança associados a identidade do usuário e seu endpoint, e depender menos da segurança na rede local e na conectividade com a Internet.
Tendências nefastas
  • "Compliance fatigue" - Essa tendência sugerida pelo The Hacker News diz respeito a dificuldade das empresas acompanharem as dezenas de regulamentações locais e internacionais relacionadas a segurança e privacidade que já existem e as que estão surgindo. Além disso, a GDPR teve o mérito de criar o precedente de ser uma regulamentação local, mas que deve ser seguida por países fora de sua área geográfica. Esse excesso de regulamentações, leis e padrões regionais, nacionais e internacionais, que causam regulamentações repetitivas ou até mesmo conflitantes, pode causar um impacto negativo nas áreas de Compliance das empresas, tornando seu trabalho muito difícil. Some a isso sopas de letrinhas como ISO, NIST, SOX, HIPAA, GDPR, LGPD, CCPA, etc;
  • Fadiga do Endpoint: Hoje existem tantas soluções de segurança que devem ser aplicadas nos computadores pessoais (endpoint) que está tornando impossível gerenciar isso tudo. Antigamente os críticos dos softwares de anti-vírus argumentavam que eles impactavam na performance dos computadores. O que dizer agora, em que além do anti-vírus, as empresas adotam soluções específicas de anti-APT, client de Proxy, client de VPN, DLP e CASB (para segurança no acesso a ambientes em nuvem)? Ou seja, só aí temos 6 ferramentas de segurança que estão presentes nos desktops dos usuários. Segundo uma estimativa de 2018, um usuário trabalha com cerca de 35 aplicações diferentes - mas, se considerarmos que hoje e dia a maioria das aplicações de escritório estão na nuvem (ou migrando para nuvem) e são acessadas via browser (até mesmo o Office tradicional já está na nuvem e pode ser acessado vi browser), eu acredito que hoje em dia esse número é muito menor. Corremos o risco do nosso usuário final ter mais aplicativos de segurança em seu computador do que aplicativos de trabalho! Uma piada que eu sempre faço com meus colegas é que daqui a pouco vamos precisar de 2 computadores: um para rodar as ferramentas de segurança e um para trabalhar. Não é a toa que já tem quem preveja a consolidação dos fabricantes de solução de segurança para endpoints.
Aqui no Brasil
  • Certamente 2020 vai ser o ano da privacidade no Brasil, por causa da Lei Geral de Proteção de Dados Pessoais (LGPD)! As empresas já estão desesperadas, as consultorias estão bombando e a galera está desesperada procurando DPOs;
  • Eu acredito que vamos ver um grande número de empresas brasileiras aderindo a programas de Bug Bounty. Embora seja algo relativamente comum em grandes empresas americanas e globais, o Bug Bounty ainda é muito raro no Brasil - e as poucas empresas que tem, rodam em modo "privado", sem divulgar que o fazem (rara excessão é o caso do C6 Bank, que embora tenha um programa privado, fala abertamente sobre o assunto).

Para saber mais:


PS (adicionado em 03/01): Se houver uma praga global em 2020, provavelmente será cibernética... um Ransomware super mega destrutivo? Uma guerra cibernética?


PS: Post atualizado em 07, 08 e 11/01.

Um comentário:

Amilton Justino disse...

Bom dia mestre Anchises,

Concordo com suas previsões, e acompanho a tempo, são sempre bem certeiras.

Todavia, Acredito que precisa ficar claro para as pessoas que Privacidade é relacionada ao indivíduo e Confidencialidade é relacionada aos dados.
Você escreveu ali "...privacidade dos nossos dados..." acredito que o correto é "confidencialidade dos nossos dados".

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.