janeiro 05, 2021

[Segurança] Previsões para 2021 (com memes)

Depois de um ano m* como foi 2020, qualquer previsão para 2021 pode se resumir em "espero que não piore".

   

OBS (adicionado em 08/01): Xi, já tem gente pedindo o rollback! Parece que 2021 é, na verdade, a Temporada 2 de 2020 !!!

   



A expectativa otimista de todos é que a pandemia possa ser controlada com o avanço da vacinação contra o COVID-19 ao redor do mundo. Talvez em meados de 2021 possamos voltar a uma vida mais próxima ao normal.


Mas, falando sobre o nosso mercado de segurança, eu passo abaixo as minhas previsões para o ano de 2021, baseado nas tendências atuais, um pouco de achismo, uma pitada de chutômetro e anos de experiência acumulada de muita procrastinação:
  • Os impactos da Pandemia
    • Consolidação do trabalho remoto como prática dominante no mercado - mas pode ser possível que daqui a alguns meses e nos próximos 1 ou 2 anos comecemos a ver as pessoas querendo voltar para o escritório. Eu acredito que a maioria das empresas vão assumir um modelo de trabalho híbrido, com os times revezando entre alguns dias no escritório e outros dias em casa, trabalhando remotamente. Isso permite reduzir o tamanho dos escritórios atuais, economizando recursos. Também deve ampliar o escopo de contratação de profissionais para além das cidades aonde as empresas mantém suas operações, permitindo o crescimento do mercado de tecnologia e de segurança para além dos grandes centros urbanos;
    • Maior foco em proteção do Endpoint, devido a proliferação do trabalho remoto durante e após a pandemia do novo Coronavírus. No cenário de trabalho remoto e longe das redes corporativas, a proteção dos end points (computadores dos usuários finais) tornou-se fundamental, uma vez que agora nossos funcionários podem (e precisam) trabalhar a partir de qualquer lugar - inclusive a partir de redes locais inseguras. Além do uso obrigatório de tecnologias de autenticação de dois (ou mais) fatores (2FA e MFA), o Zero Trust é um conceito fundamental nesse "novo normal";
    • Ainda teremos muitos golpes e ciber ataques relacionados a COVID-19, pois a pandemia ainda vai dominar a vida de todos nós até, pelo menos, metade do ano. Já estamos vendo surgir, por exemplo, golpes de phishing oferecendo acesso a vacina contra o Coronavírus, além de ciber ataques aos laboratórios e, até mesmo, venda online de vacina falsa;
  • Ransomware corporativo bombando!
    • Os ataques de Ransomware com foco corporativo continuarão bombando e extorquindo milhões de dólares de grandes empresas, graças as técnicas de double e triple extorsion (criptografia e roubo de dados, além de DDoS). Além de aumentar a tendência de ataques direcionados, acredita-se que, graças aos ganhos milionários com resgates exigidos de empresas, os ciber criminosos também possam focar em corromper ou extorquir funcionários para implantarem ransomware na empresa aonde trabalham;
    • Deve ganhar força ações governamentais para criminalizar o pagamento de resgates de ransomwares, fruto da explosão dos ataques de ransomwares aos ambientes corporativos. Na incapacidade de prevenir e combater esse tipo de ciber crime de forma efetiva, o caminho mais fácil para as autoridades é criminalizar o pagamento dos resgates. É possível, por exemplo, surgir esforços para enquadrar tais pagamentos em regulamentações contra a lavagem de dinheiro e financiamento ao crime e terrorismo. Consequentemente, vão surgir empresas de consultoria especializadas em "mascarar" esses pagamentos;
  • A saga da LGPD continua!
    • 2021 será, com certeza, o Ano do LGPD no Brasil (ok, eu disse a mesma coisa no ano passado!), forçando as empresas a se adaptarem a lei, com a consolidação assim que a Autoridade Nacional de Proteção de Dados (ANPD) começar a funcionar realmente. Em Agosto de 2021 também teremos um novo "boom" da LGPD, com o início da aplicação das sanções administrativas. De qualquer forma, começaremos a ver as empresas tratando os dados pessoais com mais cuidados e com mais respeito aos direitos dos titulares;
    • Proliferação, no Brasil, de empresas oferecendo "DPO as a Service" e, por tabela, "CISO as a Service", graças a baixa quantidade de profissionais para suprir a demanda de mercado. Além disso, como A LGPD é aplicada a todos os setores da economia, as empresas de pequeno e médio porte não tem capacidade de manter profissionais dedicados, sendo obrigados a buscar a terceirização dessa função em formato de consultoria;
    • Há quem acredite no surgimento de chantagem pelo sequestro de dados pessoais, por causa das multas da LGPD. Mas eu sou do contra, duvido que isso ocorra. Há uma grande especulação no mercado e segurança de que a entrada da LGPD e suas multas por vazamento de dados vai estimular o mercado criminoso de roubo de dados e extorsão em troca da não divulgação. Isso pode acontecer, claro, pois a criatividade dos criminosos não tem limites, e considera-se que o valor exigido pelos criminosos seria menor do que a potencial multa que a empresa pagaria. Mas eu não acredito que isso realmente vá acontecer em grande escala e que vai ter relevância (embora nunca possamos duvidar da criatividade dos criminosos brazucas), pois até aonde eu sei o mesmo fenômeno não aconteceu na Europa, com a entrada da GDPR há 2 anos atrás;
  • Gestão de acessos a ambientes em Cloud vai ser um tópico quente em 2021 e talvez nos próximos anos, principalmente graças a grande quantidade de dados vazados diariamente - muitos vindos de repositórios em nuvem, sem a devida proteção. CASB vai virar uma buzzword frequente!
  • Novos modelos de eventos, overdose dos eventos online e foco nos eventos presenciais pós-pandemia - As pessoas já estão ficando exaustas dos eventos online, das frequentes lives, webinars e cursos online. O boom de 2020 não vai se sustentar em 2021, pois as pessoas vão ficar cansadas desse modelo, principalmente por causa da quantidade exagerada de lives que vimos em 2020. A flexibilização (e eventual fim) das medidas de isolamento social vai trazer de volta os eventos presenciais, e as pessoas terão a oportunidade de retomar essa interação. O mercado e eventos vai se adaptar, com eventos online mais focados em conteúdo e eventos presenciais focados em networking, com surgimento dos eventos mistos (parte do conteúdo online e parte presencial), juntando o melhor de cada um dos cenários;
  • Mercado Brasileiro
    • Em termos do ciber crime brasileiro, acredito que em breve veremos surgir golpes usando os cartões com aproximação (contactless), que estão se popularizando no Brasil, e também teremos o aumento nas fraudes relacionadas ao uso do PIX, o sistema de pagamentos instantâneo que começou a operar no Brasil no final de 2020. Conforme o PIX se populariza e cai no gosto da população, mais ele também será utilizado por criminosos, de diversas formas: como tema em esquemas de fraude (ex, sites falsos e phishing para acessar credenciais bancárias), como forma de transferência rápida de dinheiro entre contas, etc
    • Eu acredito que vamos ver o mercado de Bug Bounty crescer no Brasil em 2021. Aos poucos, bem aos poucos, as empresas nacionais estão acreditando no bug bounty como uma forma de ajudar a identificar vulnerabilidades. Já temos muitos pesquisadores brasileiros participando de programas de BB mundo a fora, mas ainda falta ver a adesão das nossas empresas.

Para saber mais:

Adicionado em 08/01: Dê uma olhada nesse artigo também: 10 fastest-growing cybersecurity skills to learn in 2021.

Adicionado em 28/01: Vale a pena dar uma lida rápida nesse artigo da Kaspersky: A privacidade digital no futuro: previsões dos especialistas para a próxima década.

Adicionado em 19/02: A HackerOne tem um relatório curto e interessante: Hacker Trends & Security In 2021.
Postado por em
Marcadores: , , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.