Desafio das Previsões de Cibersegurança da WatchGuard para 2023
Em 2023, prevemos que os hackers tentarão contornar as suas defesas de cibersegurança utilizando novas técnicas centradas em processos empresariais, identidade e inteligência artificial. Este ano, Corey Nachreiner, CSO da WatchGuard, e Marc Lalibert, Diretor de Operações de Segurança, oferecem diferentes pontos de vista sobre possíveis hacks e ataques nestas três categorias. Só o tempo dirá quais as previsões que se realizarão!
Processos empresariais: Hackers passam a ser verticais vs. Visam fornecedores e parceiros
- Seguradoras segmentam os requisitos de segurança, já elevados
O ciberseguro é um tema de grande importância nos últimos anos, uma vez que tanto os custos como os requisitos de conformidade têm aumentado nos últimos anos. As seguradoras sofreram perdas pesadas desde que começaram a oferecer opções de extorsão cibernética, já que a sua estratégia inicial de pagamento de resgates fez subir os seus custos. Como resultado, começaram a transferir esses custos aumentados para os seus clientes e elevaram significativamente os requisitos técnicos de segurança que pedem antes de os segurarem.
Embora os clientes já estejam sofrendo com as novas e significativas exigências e com as faturas mais elevadas para poderem reavaliar as suas políticas, pensamos que alguns setores terão mais dificuldades do que outros durante 2023. As seguradoras compreendem que certas verticais são alvos mais interessantes para os cibercriminosos e irão forçá-los a aderir regulamentos de conformidade mais exigentes e a suportar os custos mais elevados.
As indústrias mais afetadas são também as que aparecem nas manchetes devido aos ciberataques. Por exemplo, suspeitamos que a saúde, infraestruturas críticas, finanças e prestadores de serviços geridos (MSP) serão sujeitos a requisitos mais severos de cibersegurança por parte das seguradoras.
Também acreditamos que os fornecedores de cibersegurança serão alvos de preços e requisitos mais elevados. Algumas seguradoras adotarão mesmo "listas de fornecedores de segurança aprovados", subscrevendo apenas apólices para empresas que utilizam soluções de segurança de determinados fornecedores. Se o seu setor é alvo de ciberataques, talvez queira planear o aumento dos prémios e mais obstáculos.
- Avaliação e validação de segurança cibernética se tornam um fator importante na seleção de fornecedores e parceiros
Os últimos dois anos foram equivalentes ao que parecem ser cinco anos de falhas da cadeia de abastecimento digital.
Uma falha na cadeia de abastecimento digital é aquela em que uma insegurança num software ou hardware de um dos seus fornecedores, seja através de uma anomalia no produto ou uma violação da própria rede, provoca uma lacuna de segurança que o expõe a si ou à sua organização a uma falha.
Exemplos mais comuns incluem os ataques da SolarWinds e Piriform, em que uma falha de segurança das suas redes resultou nos atacantes conseguirem armadilhar produtos populares como o Orion e CCleaner. Outro exemplo é o evento Kaseya, onde uma vulnerabilidade de zero-day no popular produto VSA expôs clientes que o utilizaram a um ataque de ransomware. Estes são apenas três dos muitos incidentes da cadeia de abastecimento digital que ocorreram nos últimos dois anos.
Com o aumento destes ataques à cadeia de abastecimento, as organizações estão cada vez mais preocupadas com a segurança dos parceiros e fornecedores com quem fazem negócios. Depois de se passar tanto tempo aperfeiçoando as suas próprias defesas, seria especialmente frustrante sucumbir devido aos erros de segurança de outra pessoa. Como resultado, as empresas estão fazendo as práticas de segurança interna de um fornecedor uma parte chave da decisão de escolha do produto.
Na verdade, a validação do fornecedor e a análise de risco de terceiros tornaram-se uma nova indústria vertical, com produtos que ajudam a pesquisar e acompanhar os programas de segurança de seus fornecedores externos. Resumindo, durante 2023, a segurança interna dos fornecedores se tornará o principal fator de seleção para produtos e serviços de software e hardware – logo abaixo do preço e do desempenho.
Identidade - O primeiro hack do Metaverso vs. Surto de engenharia social de MFA
- O primeiro grande hack do Metaverso afetará o negócio através de novos casos de uso de produtividade
O metaverso apresenta muitas oportunidades futuras e atuais para hackers maliciosos. Em cinco a dez anos, eles podem criar uma falsificação virtual do seu avatar online, que poderá mover-se e agir assim como nós. Mas isso não significa que o metaverso já não seja alvo hoje em dia. Pensamos que o primeiro ataque do metaverso que afetará os negócios será de um conhecido vetor de ameaça recriado para o futuro do VR.
Perto do final de 2022, a Meta lançou o Meta Quest Pro como um headset VR/MR “empresarial” para casos de uso de produtividade e criatividade. Entre outras coisas, o Meta Quest Pro permite criar uma conexão remota com a área de trabalho do computador tradicional, permitindo que o usuário veja a tela do computador em um ambiente virtual e crie ainda muitos monitores virtuais e espaços de trabalho para o seu computador. Ele ainda permite que um funcionário remoto inicie reuniões virtuais (vs. vídeo) que supostamente permitem interagir de uma maneira muito mais humana. Por mais sofisticado que pareça, ele basicamente aproveita as mesmas tecnologias de área de trabalho remota da Microsoft, ou Virtual Network Computing (VNC) - o mesmo tipo de tecnologia de área de trabalho remota que os cibercriminosos visaram e exploraram inúmeras vezes no passado.
É por isso que, em 2023, os especialistas da WatchGuard acreditam que o primeiro grande hack do metaverso que afeta um negócio será resultado de uma vulnerabilidade em novos recursos de produtividade empresarial, como área de trabalho remota, usada na última geração de headsets VR/MR voltados para casos de uso corporativo.
- A adoção da MFA alimenta o aumento da engenharia social
Os agentes de ameaças terão como alvo agressivo os usuários de autenticação multifator (MFA) em 2023, pois o aumento da adoção de MFA exige que os invasores encontrem uma maneira de contornar essas soluções de validação de segurança. Confirmando o que previmos anteriormente, a adoção da MFA aumentou de seis pontos percentuais para 40% este ano, de acordo com uma pesquisa a Thales realizada pela 451 Research. Isto levará os cibercriminosos a apostarem mais em técnicas de bypass maliciosas de MFA nos ataques às credenciais.
Esperamos que, em 2023, surjam várias vulnerabilidades novas de MFA e técnicas de bypass. Contudo, a forma mais comum de os cibercriminosos contornarem estas soluções é através de engenharia social inteligente. Por exemplo, o sucesso do push bombing não é um fracasso do MFA per se, é causado por erro humano. Os atacantes não têm de hackear o MFA se conseguirem enganar os seus utilizadores ou, simplesmente, cansá-los com uma avalanche de pedidos de aprovação que, eventualmente, os levam a clicar numa ligação maliciosa.
Os cibercriminosos também podem atualizar técnicas adversary-in-the-middle (AitM) para incluir o processo de MFA, capturando, desta forma, tokens de autenticação quando os utilizadores iniciam legitimamente a sessão. Em qualquer um dos casos, esperam-se muitos mais ataques de engenharia social dirigidos à MFA durante 2023.
Hack de robotaxis com IA vs. Proliferação de vulnerabilidades através de ferramentas de código que utilizam IA
Várias empresas tecnológicas, como a Cruise, Baidu e a Waymo começaram a testar robotaxis em várias cidades de todo o mundo, incluindo São Francisco e Pequim, China. Os robotaxis são basicamente carros autónomos, que proporcionam uma experiência como da Uber ou Lyft, mas sem um condutor humano. Empresas como a Baidu afirmam já ter completado com sucesso mais de um milhão destas viagens autônomas com os passageiros, na sua maioria, encantados, e é possível imaginar como as empresas se sentem atraídas pela eliminação da sua gigantesca mão-de-obra.
Dito isto, os projetos-piloto não têm sido todos bem-sucedidos. Em Junho, um dos robotaxis da Cruise esteve envolvido num acidente que feriu os seus três passageiros e o condutor do outro veículo. Embora a Cruise afirme que o veículo conduzido por humanos parece ser o responsável, isso não ajuda as pessoas a confiarem na inteligência artificial (IA) que estes carros utilizam para serem autónomos, especialmente quando truques simples, como sal colocado na estrada de forma criativa, já os confundiu.
Pesquisas de segurança anteriores mostraram que carros conectados à Internet podem ser hackeados, e os humanos já provaram que é possível projetar socialmente IA. Ao combinar essas duas coisas com um serviço baseado em telefone celular que qualquer pessoa pode usar, certamente veremos pelo menos um incidente de segurança cibernética em que os agentes de ameaças visam os robostaxis por diversão e lucro.
Uma vez que estes serviços de veículos autónomos são tão novos e ainda estão em fase de testes, não acreditamos que um hack resulte num acidente perigoso num futuro próximo. No entanto, em 2023, suspeitamos que alguns investigadores de segurança ou grey hat hackers possam perpetrar uma partida técnica, que faz com que um destes veículos fique preso sem saber o que fazer, atrasando potencialmente o tráfego.
Embora o Machine Learning (ML) e a Inteligência Artificial (IA) não se tenha tornado tão poderosas como alguns evangelistas técnicos afirmavam, têm evoluído significativamente na oferta de novas capacidades práticas. Além de gerar arte a partir de estímulos escritos, as ferramentas de IA/ML podem, agora, gerar código para programadores preguiçosos (ou inteligentemente eficientes). Em ambos os casos, a IA recorre à arte existente ou código de computador para gerar as novas criações.
O Copilot da GitHub é uma dessas ferramentas de desenvolvimento de código automatizada. A GitHub treina o Copilot através do big data de milhares de milhões de linhas de código encontradas nos seus repositórios. Contudo, como com qualquer algoritmo AI/ML, a qualidade da sua produção é apenas tão boa quanto a qualidade dos dados de treino que lhe são enviados e as instruções que lhe são dadas para trabalhar com eles.
Dito de outra forma, se a ferramenta é alimentada com código de IA mau ou inseguro, pode esperar que forneça o mesmo. Estudos já demonstraram que até 40% do código desenvolvido pelo Copilot incluiu vulnerabilidades de segurança exploráveis, e esta percentagem aumenta quando o próprio código do programador contém vulnerabilidades. Esta é uma questão relevante o suficiente para que a GitHub seja rápida a avisar: "É responsável por garantir a segurança e a qualidade do seu código [quando utiliza o Copilot]".
Em 2023, prevemos que um programador ignorante e/ou inexperiente que seja excessivamente dependente do Copilot, ou uma ferramenta semelhante, irá lançar uma aplicação que inclui uma vulnerabilidade crítica introduzida pelo código automático.
Assista aqui ao vídeo onde Corey Nachreiner e Marc Lalibert falam sobre as suas reflexões sobre cibersegurança para 2023 e vote nas previsões que acha que vão acontecer no próximo ano.
