Páginas

janeiro 11, 2023

[Segurança] Previsões e tendências para 2023

"Ano novo, vida nova", é o que diz o ditado popular, não é? Mas, para quem trabalha com segurança, isso não é tão verdadeiro, pois o que vemos frequentemente é que os mesmos problemas persistem através do ano.

Um ano repleto de ataques de ransomware e vazamento de dados, como temos vivenciado nos últimos tempos, vai ser seguido por um ano com os mesmos problemas - ou pior. Foi assim, por exemplo, nos últimos 3 ou 4 anos, desde que os ransomwares se especializaram em atacar empresas (em vez de usuários finais) e quando começaram a adotar a técnica de double extorsion, em que roubam os dados antes de encriptar os servidores. A frequencia dos incidentes de ransomware e de vazamento de dados é tão grande que, só nesses primeiros dias de 2023, já vimos a notícia de vazamento de 229 milhões credenciais do Deezer e do sequestro da CPTM, em São Paulo.

Outro exemplo? Basta olhar as principais categorias de vulnerabilidades que são destacadas pelo ranking OWASP Top 10 e vamos ver que há quase 20 anos cometemos praticamente os mesmos erros :(

Por isso, algumas previsões para 2023 são tão óbvias que mal merecem ser mencionadas:

  • aumento de ataques de phishing e de ransomware;
  • evolução nas técnicas utilizadas pelos ataques de ransomware;
  • maior volume de dados vazados;
  • guerra cibernética na agenda das organizações;
  • ataques a infra-estruturas críticas;
  • ataques a cadeia de suprimentos (a velha buzzword supply chain attacks);
  • falta de profissionais de segurança ("apagão").
OBS: No final de 2022 vimos um forte movimento de demissão em grandes empresas de tecnologia. Mas a falta de profissionais de TI e de Segurança é tão grande que essa movimentação praticamente não fará diferença no mercado como um todo.


Eu acredito que vale a pena destacar as seguintes tendências para 2023:
  • Ransomware e vazamento de dados já viraram rotina. O Ransomware vai continuar sendo a principal preocupação dos executivos. O constante crescimento dos ataques de ransomware tem impactado o mercado de segurança de várias formas e diversas frentes, e assim deve continuar nos próximos anos. Essa preocupação tira o sono dos CISOs e as empresas ficam buscando soluções milagrosas para não serem as próximas vítimas. Por outro lado, as iniciativas para criminalizar o pagamento de ransomware não tiveram sucesso e não conseguiram diminuir a ferocidade dos criminosos;
  • Veremos o fim da identidade digital?
    • As tecnologias de autenticação estão na mira cos criminosos, sendo cada vez mais difícil garantir sua identidade online. Assim como aconteceu em 2022, as tecnologias de MFA e biometria, que o mercado esperava que poderiam substituir as senhas, estão em risco, pois os criminosos tem investido muito esforço em burlá-las. Os ataques contra MFA, principalmente a engenharia social baseada em fadiga de MFA, tem conseguido sucesso em burlar o segundo fator de autenticação. E devem se tornar cada vez mais comuns e presentes em 2023. Por outro lado, os constantes vazamentos de dados pessoais e a evolução nas tecnologias de deep fake tem colocado as ferramentas de biometria facial em xeque, sendo cada vez mais difícil garantir a identificação biométrica, diferenciando um usuário válido de seu fake. Já vivemos uma briga de gato e rato entre as tecnologias de autenticação facial e as ferramentas de deep fake, e isso só deve piorar;
    • IA e deep fake usados pelo Cibercrime, de verdade, com grande potencial para ajudar em ataques de roubo de identidade e phishing. O grande destaque do ChatGPT no final de 2022 certamente já atraiu a atenção dos ciber criminosos. Imagina que poderíamos, por exemplo, criar toda uma central de atendimento falsa usando IA, para interagir com as vítimas. Já se falou muito sobre criminosos usando IA, mas até hoje eu nunca vi um caso real. O ChatGPT pode tornar essa velha previsão uma realidade, afinal;
  • A indústria do seguro cibernético está se reinventando (e ficando mais restrita), e algumas seguradoras estão até mesmo reavaliando se devem oferecer essa modalidade de seguro. O grande volume de empresas que caíram vítimas de ataques de ransomware tem levado ao crescimento da demanda por esse seguro e, por outro lado, dos gastos das seguradoras com os pagamentos dos prêmios. Isso significa que elas estão se tornando mais criteriosas no processo de contratação dos seguros e o custo das apólices tem aumentado significativamente. Podemos ver algo similar com que aconteceu com o seguro de moto e de celular no Brasil, que hoje é caro e oferecido por poucas seguradoras;
  • A automação dos carros e iniciativas de direção autônoma estão dando destaque cada vez maior aos riscos de segurança na indústria automobilística e veículos autônomos;
  • Frente a grande iminência das empresas serem vítimas do próximo ataque de ransomware, vamos continuar vendo um maior investimento em ferramentas e em treinamento de resposta a incidentes. Detalhe: as empresas estão começando a perceber que não adianta investir em ferramentas se não houver um processo de resposta a incidentes estabelecido, se as equipes não estiverem treinadas e se não houver parcerias pré-estabelecidas com empresas que possam ajudar na resposta a incidentes. A buzzword preocupação com ciber resiliência vai dominar esse mercado;
  • As empresas e, principalmente, as comunidades de tecnologia e de segurança estão cada vez mais investindo na diversidade como forma de combater o grave problema de falta de mão de obra. Já estamos vendo o crescimento das iniciativas de formação e capacitação de profissional junto a diversas comunidades, e a próxima frente é a educação de crianças sobre segurança da informação. Assim, podemos aumentar a quantidade de profissionais trazendo novas pessoas para a área de segurança dentre a parcela da população que, infelizmente, foi historicamente excluída do mercado de trabalho;
  • A área de conscientização estará se tornando cada vez mais popular, atraindo mais atenção e investimento dos executivos em orientar e treinar seus colaboradores - do usuário final ao time técnico (que também merece atenção e treinamentos específicos);
  • Aqui no Brasil, a. consolidação do PIX como meio de pagamento também representa uma grande dificuldade das instituições financeiras combaterem o cibercrime no Brasil. O PIX deu muita agilidade no roubo e no compartilhamento dos valores entre várias contas, praticamente impossibilitando o rastreamento e recuperação do dinheiro. E, assim, aumenta a impunidade e a vantagem dos criminosos. Não vejo como evitar ou reduzir o impacto desse problema, pois qualquer solução para evitar fraudes passaria por reduzir a facilidade de uso e agilidade do PIX. Com isso, tendência do ciber crime é continuar se popularizando cada vez mais no Brasil :(
  • O grande aumento das fraudes no Brasil fez com que a preocupação com segurança tenha se popularizado na população. Por isso, vamos ver cada vez mais iniciativas para educar o público em geral, incluindo campanhas públicas realizadas pelas instituições financeiras e o crescimento nos perfis em redes sociais dedicados a conscientização e educação dos usuários finais;
  • A segurança no trabalho híbrido em foco, substituindo o desafio que tivemos em proteger o trabalho remoto durante a pandemia. Ou seja, o trabalho híbrido (parcialmente no escritório e em casa) virou realidade em várias empresas, e portanto devemos ajustar nossas estratégias e ferramentas de segurança para atender os dois públicos coexistindo na empresa.

Também tenho uma previsão um tantinho bizarra....

  • Com a popularização e bafafá em torno do ChatGPT, vamos ver muita gente usando essa ferramenta para realizar seu trabalho, como escrever relatórios. Adolescentes e estudantes vão usar ele para escrever seus trabalhos escolares, teses e TCCs. Por isso, já está surgindo rapidamente, a necessidade de melhores ferramentas para diferenciar um material produzido pela IA ou por uma pessoa.

Pode ter certeza que essas buzzwords vão dominar 2023:

  • IA
  • supply chain attacks
  • zero trust
  • ciber resiliência
  • guerra cibernética
  • seguro cibernético

Também há algumas previsões furadas que você provavelmente vai ouvir bastante por aí:

  • qualquer coisa relacionada ao Metaverso, pois eu acredito que isso não vai emplacar tão cedo (se é que realmente vai se popularizar algum dia). Para mim, o Metaverso é o mesmo caso do Second Life: prometia ser algo muito legal, gerou muito buzz nos primeiros 1 ou 2 anos, mas não conseguiu atrair gente o suficiente para se consolidar e acabou definhando até morrer. O Metaverto é mais uma uma "paleta mexicana digital";
  • ataques a supply chain: isso não é uma tendência, é simplesmente uma realidade que sempre existiu mas que atualmente tem sido uma buzzword muito usada no mercado.

Referências, leituras complementares e textos para refletir sobre o assunto:


PS: Pequeno ajuste em 12/01 e aproveitei para incluir mais algumas referências. Atualizado em 20/01 com mais referências interessantes e com o vídeo do Red Zone Area. Atualizado em 24/01 com o vídeo do Filipe Pires. Atualizado em 03, 08, 10 e 15/05.

PS (02/06): Por algum motivo bizarro e sem noção, esse post foi suspenso temporariamente pela Google em 29/05, sub suspeita de violar as regras de comunidade referente a Malware e Vírus.

2 comentários:

  1. Sensacionais as previsões!
    As gigantes de tecnologia já perceberam o quanto o trabalho de capacitação é o melhor investimento para se diminuir a falta de mão de obra, agora é hora de as empresas de menor porte também começarem a investir. É uma excelente ferramenta para auxiliar em questões sociais onde todos os lados saem ganhando.
    Valeu pelo artigo, Anchises! :D

    ResponderExcluir