setembro 15, 2023

[Opinião] Ahhhh, essas estatísticas de segurança... afff...

Duas notícias publicadas no final de agosto, relacionadas a ataques de ransomware, mostram dados totalmente diferentes sobre o cenário brasileiro:
O Brasil registrou 603 mil tentativas de ataques de ransomware no decorrer dos últimos 12 meses, o que coloca o país na liderança com folga entre os mais atacados na América Latina e na quarta posição do ranking global, segundo o último relatório da Kaspersky. Os dados, compilados a partir das tentativas de ataques bloqueadas pelo sistema de telemetria da Kaspersky, mostram que o país respondeu por aproximadamente 52% das 1.152.784 tentativas de ataques de ransomware na região. Atrás do Brasil, aparecem o Equador (212 mil tentativas de ataques), México (102 mil), Colômbia (80 mil) e Chile (46 mil).

A Check Point Research (CPR) divulga o Relatório de Cibersegurança referente ao primeiro semestre de 2023, segundo o qual as atividades criminosas continuaram a aumentar no primeiro semestre do ano, com um crescimento de 8%. No primeiro semestre de 2023, 48 grupos de ransomware violaram mais de 2.200 vítimas no mundo, sendo o Lockbit3 o mais ativo. Grupos veteranos como Lockbit, Alphv e Cl0p juntaram-se a grupos mais novos como Royal, Play, BianLian e BlackBasta. O Brasil desponta na oitava posição com 2% das vítimas de ransomware, com o registro de 1.595 ataques de ransomware no período.

Ou seja, segundo a Kaspersky, o Brasil sofreu 603 mil ataques de ransomware nos últimos 12 meses, uma média de 50.250 ataques por mês. Já a Checkpoint tem um número absurdamente mais baixo: 1.600 ataques no primeiro semestre desse ano - uma média de 266 ataques por mês. Uma diferença de 188 vezes!!!

Isso escancara uma realidade que eu sempre tive certo para mim, mas nem sempre tive facilidade de compartilhar: as estatísticas não são confiáveis e sempre devem ser analisadas com cuidado.

E porque essa discrepância? Consigo imaginar vários motivos...

  • Antes de mais nada, todo fabricante tem interesse em divulgar estatísticas para manter o mercado assustado - e as vendas aquecidas. Ou seja, por trás da estatística, há um interesse além da notícia. Note que, mesmo quando a estatística aponta para um dado desfavorável, eles tentam minimizar isso ou dar destaque para o lado ruim. Veja, por exemplo, essa frase na reportagem da CISO Advisor: "Já quanto considerados malwares em geral, aí incluídos ransomware, a queda pode ser considerada marginal." Ou seja, a frase poderia ser reescrita como "Ignore o fato de que nossa estatística mostra uma queda na quantidade de ataques";
  • As vezes as estatísticas mostram um recorte do cenário, e não necessariamente o todo. Há um parábola muito comum para ilustrar isso: imagina que você coloca uma mão no forno e outra no congelador, na média você está bem. Por isso, é muito importante avaliar como foi realizada a pesquisa para entender o que ela realmente está representando. O principal aspecto a considerar: qual foi a amostragem utilizada? Essa amostragem realmente representa o mercado que você quer avaliar?
    • É muito comum, no nosso mercado, ver estatísticas distorcidas pelo simples fato de que as empresas consideram dados de seus próprios clientes, ou de sua região geográfica. Ou seja, se a empresa não tem participação muito forte em um determinado país, a sua visibilidade sobre ele vai ser baixa. Óbvio, mas isso é ignorado na maioria dos casos;
    • Isso acontece com muita frequência em estudos realizados por empresas americanas que usam os dados de seu próprio país e divulgam como se representassem o cenário mundial;
    • No Brasil, é comum ver estatísticas distorcidas se a empresa não tem presença local. Ainda mais no cenário de cibersegurança, pois muito das atividades maliciosas são realizadas por atores locais, contra vítimas brasileiras. Esses casos não são visíveis por empresas de fora;
    • Nesses casos acima, a Ka
  • Cuidado com as visões limitadas ao próprio umbigo. Quando um fabricante lança uma estatística baseado em seus clientes, na "telemetria de suas soluções", por exemplo, significa que ele tem uma visão limitada a apenas seus clientes, o que pode não representar uma amostragem confiável para aquele estudo. Isso vai ser impactado pela presença, ou não, daquele fabricante no mercado e da representatividade dele no cenário total;
  • Vale sempre refletir: Será que os dados parecem factíveis? Por exemplo, será que a economia brasileira não teria sido impactada se tivéssemos 50 mil ataques de ransomware por mês? Se isso fosse verdade, provavelmente você conheceria algum comércio próximo que já foi atacado. Seriam tantas notícias sobre o caso que teria uma edição do jornal só sobre isso. Por exemplo, segundo a Kaspersky tivemos cerca de 300 mil ataques de ransomware no primeiro semestre. Em contrapartida, nesse período 400 mil empresas fecharam no país, fruto dos problemas econômicos e da própria dinâmica de mercado. Por isso, vale a pena refletir se a estatística aparenta refletir a realidade que ela tenta mostrar.
Nesse caso específico, essa grande discrepância entre as estatísticas da Kaspersky e CheckPoint pode se justificar se considerarmos algumas variáveis:
  • Por ser uma empresa de antivírus, a Kaspersky tem grande penetração nas empresas e nos usuários finais, o mercado de varejo. A Checkpoint, por outro lado, por ser focada no mercado corporativo, tem uma participação muito menor - e, portanto, uma visibilidade menor, em termo de quantidade de clientes. Se a Kaspersky considerou os usuários finais em suas estatísticas, é natural que eles tenham algumas centenas de milhares de clientes e tenham visibilidade sobre uma quantidade de ataques muito maior do que a Checkpoint. Essa diferença entre as empresas, por si só, poderia justificar a discrepância nas estatísticas;
  • É altamente possível que a Kaspersky esteja considerando ataques de ransomware a empresas e usuários finais. Apesar dos ataques às empresas atraírem mais a atenção da imprensa, os ataques à usuários finais, criptografando computadores pessoais, tem uma escala (quantidade) muito maior;
  • Também é possível que a estatística da Kaspersky trate de tentativas de ataques identificados pelas suas ferramentas, independente de terem sucesso ou não. Certamente a quantidade de tentativas de ataques é enorme, inchando a estatística.
Ou seja, possivelmente a CheckPoint considerou os ataques de ransomwares a empresas, enquanto a Kaspersky contabilizou as tentativas de ataques (com ou sem sucesso) à empresas e usuários finais.

Na prática, o que acontece é que o mercado de segurança é sedento por estatísticas e cases que mostrem um cenário caótico, para ajudar a promover o discurso de FUD (sigla em inglês para Fear, Uncertainty and Doubt). Essa é uma arma utilizada pelas empresas do setor para alavancar seu discurso e promover as vendas. Quanto mais assustador for a estatística, mais ela será aceita e compartilhada pelo mercado.


Para saber mais:

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.