dezembro 30, 2021

[Segurança] Ciber Retrospectiva 2021 (com memes)

É impossível pensar em 2021 sem lembrar dos diversos ataques de ransomware, dos constantes vazamentos de dados e do COVID-19 (mas isso é outra história). E, claro, fechamos o ano com "chave de ouro", com o stress ao máximo graças a terrível vulnerabilidade do Log4J que assustou toda a comunidade de segurança em Dezembro.


Não foi um ano fácil para ninguém, convenhamos, com uma carga grande de stress nos profissionais de segurança, causado principalmente pelo ritmo intenso de trabalho, o grande risco de ciber ataques (ransomware em particular) e ao esgotamento após mais de um ano e meio trabalhando em casa, quarentenado.


Assim como nos últimos anos, não foi diferente: Mais um ano das tretas causadas pelos ransomwares, com ataques direcionados a grandes empresas, o que traz grandes impactos e resgates milionários. Com certeza, nada supera o ataque de ranwomware à Colonial Pipeline, em Março deste ano, que simplesmente interrompeu o abastecimento de gasolina em metade dos EUA. E, junto com o ataque a JBS que impactou o fornecimento de carnes no mercado americano, colocou o governo dos EUA no encalço dos grupos criminosos. O ataque a Kaseya em Julho também foi marcante, pois fez co que mais de mil empresas fossem afetadas e trouxe a discussão sobre ataques a cadeia de fornecedores.


Diversas empresas brasileiras também foram atacadas, como a JBS, a Cyrela, a CVC, o laboratório Fleury, a Renner (destaque pela rapidez em que recuperaram os sistemas) e a Atento (destaque pelo impacto e demora em reestabelecer seus sistemas e o atendimento). O REvil foi a família de ransomware mais atuante em 2021, responsável por 37% dos ataques - segundo a IBM. Não deixe de ver esse post: Ransomware no Brasil: Um panorama de 2021.


Aqui no Brasil, o PIX dominou o cenário das fraudes online. Não estou falando de vulnerabilidades no PIX. O problema aconteceu porque, principalmente, o PIX deu grande agilidade para a movimentação de fundos pelos criminosos, trazendo maior dificuldade em rastrear e bloquear o dinheiro roubado através de fraudes eletrônicas. Além disso, a agilidade no roubo através do PIX fomentou o aumento significativo de roubo de celulares (com objetivo de acessar o app bancário) e a volta do sequestro relâmpago.

Na "pandemia das fraudes" brasileira, os golpes do Whatsapp reinaram absolutos! Além disso, as fraudes foram impulsionadas pela retomada econômica nesse momento de possível fim da pandemia. A volta ao emprego e a necessidade de renegociar as dívidas acumuladas na pandemia causou uma maior demanda por renegociação de dívidas e busca pos empréstimos, que tem sido explorada em golpes.

Em 2021 tivemos também o início das sanções da LGPD (Lei Geral de Proteção de Dados Pessoais). Mas, como a Autoridade Nacional de Proteção de Dados (ANPD) ainda está em formação, as penalidades ainda não se concretizaram.


Este foi mais um ano em que uma parcela do mercado de trabalho esteve quarantenada em home office graças a pandemia do novo Coronavírus. Mas, graças a expectativa de redução da pandemia e que a vida estaria voltando a sua normalidade, nos últimos meses temos visto algumas empresas retornarem ao escritório - aderindo ao modelo hibrido ou retornando definitivamente ao modelo de trabalho antigo, 100% presencial.


A lição que esses dois anos de pandemia nos deixa é que sim, o regime de trabalho remoto é viável, e isso foi testado e comprovado na prática. As empresas continuaram operando mesmo quando precisaram mover toda a sua força de trabalho para o home office. É claro que a transição não foi fácil, e nunca é. Mas, graças ao stress adicional causado pelo isolamento social, a saúde mental dos funcionários nunca foi tão discutida e valorizada.


Tenho vários colegas que, graças ao trabalho remoto, saíram de São Paulo em busca de melhor qualidade de vida: mudaram para o interior ou voltaram para suas cidades de origem. Na minha opinião, a adoção do home office tem um potencial transformador no mercado de trabalho brasileiro, permitindo a contratação de profissionais qualificados fora dos grandes centros. No modelo tradicional de trabalho, a única opção dada as pessoas é que se mudem para as grandes cidades para terem acesso ao mercado de trabalho e melhor possibilidade de crescimento profissional.

Vamos torcer para que a maioria das empresas abrace o trabalho remoto!


Não podemos falar de mercado de trabalho sem citar o "apagão de talentos" na área de segurança. As empresas tem grande dificuldade em contratar e reter profisisonais devido ao mercado estar super aquecido, graças a grande falta de profissionais na área. Para piorar, há um receio de que começaremos a encarar uma debandada de profissionais de segurança devido ao grande stress que enfrentamso.

Na minha opinião, só existem 3 formas de combater a falta de talentos:
  • Investir em automação, para que as pessoas sejam aproveitadas em atividades mais nobres;
  • Formar novos profissionais, em vez de buscar profissionais prontos no mercado;
  • Investir pesadamente na diversidade e equidade racial, atraindo, formando e contratando mais mulheres, pessoas negras e da comunidade LGBT+.
Para terminar, não podemos esquecer delas, das senhas. Estamos em 2021 e as pessoas ainda usam senhas triviais. E as empresas ainda não protegem suas bases de usuários e senhas. E, o pior de tudo é que a grande maioria dos problemas poderiam ser resolvidos se as empresas utilizassem duplo fator de autenticação!


(Adicionado em 04/01/22): Também é relevante lembrar e destacar a nova versão do OWASP Top 10 lançada em 2021, a 7a atualização desde que a lista foi criada, em 2003. Veja essa cobertura na The Hack.

Para saber mais
PS: Pequenas atualizações (novas referências) em 04, 06, 10, 11 e 18/01/22 e em 09 e 23/02. Atualizado em 28 e 30/03 para incluir uma nova referência.

PS/2 (atualizado em 09/02): Veja essa notícia e o infográfico compartilhados no portal Minuto da Segurança - Brasil sofreu mais de 88,5 bilhões de tentativas de ataques cibernéticos em 2021.



Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.