Na cibersegurança, estamos numa situação particularmente difícil: precisamos continuar lutando a guerra passada, enquanto travamos a guerra atual… ao mesmo tempo em que planejamos a próxima. Isso porque os ataques antigos ainda funcionam.
Há um velho ditado que diz que não devemos lutar uma guerra passada. Esse é um alerta válido: devemos ter cautela ao aplicar estratégias do passado no mundo atual. Precisamos ser ágeis e adaptáveis, em vez de ficar revivendo nossas maiores glórias (ou travar novamente as batalhas de nossas derrotas mais devastadoras). Por exemplo, após a 1.ª Guerra Mundial, as potências mundiais limitaram a construção de navios de guerra e então aeronaves japonesas embarcadas em porta-aviões devastaram as frotas americanas e britânicas nas primeiras horas da 2.ª Guerra Mundial.
O que isso significa no mundo da cibersegurança?
Antigamente, a guerra cibernética era travada no perímetro da rede. Hoje, partimos do princípio de que houve uma violação, aplicamos o modelo zero trust, verificamos identidades continuamente e microsegmentamos as redes. Na próxima guerra, nossos filhos lutarão usando agentes de inteligência artificial (IA) e computadores quânticos.
Mas este não é um apelo veemente para aprendermos com a História, repleta de exemplos de empresas imprudentes que foram comprometidas porque “lutaram a guerra passada”. Na verdade, não acredito que essa “regra” se aplique de forma alguma à cibersegurança. Não. Na cibersegurança, estamos numa situação particularmente difícil: ela é diferente, e não de uma forma positiva.
Por que precisamos continuar lutando a guerra passada?
Porque os ataques antigos ainda funcionam. Portanto, precisamos corrigir os sistemas, treinar os usuários para identificar e-mails de phishing, implementar a abordagem zero trust e nos preparar para ataques com IA. Precisamos corrigir nossa base e modernizá-la ao mesmo tempo.
Nosso erro inicial foi construir uma rede global usando protocolos e sistemas criados para um ambiente fechado. Ninguém tem culpa disso. Os criadores da internet nunca imaginaram que sua pequena rede de confiança se tornaria uma infraestrutura crítica global. E, no início, acreditávamos que a internet iria educar o mundo e conectar culturas. E, por um tempo, foi isso mesmo que aconteceu. Mas aprendemos rapidamente que a internet tinha um lado sombrio, e esse foi o nosso erro. Nós nos adaptamos: um pouco. As ferramentas de segurança realmente dificultaram as coisas para os invasores. O mesmo aconteceu com a autenticação multifatorial, a criptografia e a conscientização sobre golpes.
O pecado original da internet e seus agravamentos
Mas também agravamos nosso pecado original. Em primeiro lugar, continuamos usando protocolos antigos e inseguros. O “Border Gateway Protocol” é basicamente o GPS da internet, mas não verificamos se os “mapas” digitais são reais. Os invasores se aproveitam disso para transmitir “mapas” falsos a fim de interceptar ou bloquear o tráfego. Há décadas tentamos resolver esse problema, mas sem sucesso. Em segundo lugar, e mais importante, continuamos desenvolvendo tecnologia insegura. Veja os chamados “dispositivos de borda”, que conectam redes à internet. Minha agência de cibersegurança emitiu vários alertas sobre eles e, recentemente, adicionou mais um. Mas novas vulnerabilidades continuam surgindo, como se nossos adversários conhecessem esses dispositivos melhor do que os próprios desenvolvedores. Algumas vulnerabilidades geram uma exposição impressionante: uma vulnerabilidade da Microsoft expôs todas as contas do Exchange Online a hackers chineses. No entanto, mesmo as empresas que sofrem violações tão gigantescas e embaraçosas têm dificuldade em manter o compromisso com a segurança.
O papel dos governos na cibersegurança
Os governos não ajudam; ou fazem muito pouco para exigir cibersegurança nas infraestruturas críticas básicas, como nos Estados Unidos. Ou adotam políticas protecionistas mal disfarçadas que prejudicam a segurança e a privacidade, como na Europa. Infelizmente, a União Europeia abandonou seu compromisso com a privacidade e permite que empresas ávidas por dados influenciem políticas, enfraqueçam direitos à privacidade e acessem informações pessoais de seus cidadãos.
E a inteligência artificial?
Você deve estar se perguntando se os novos e poderosos modelos de IA mudam isso. A resposta curta é não. Esses modelos identificam e exploram falhas mais rapidamente do que os seres humanos conseguem corrigi-las, mas não criam novas categorias de ameaças. Em vez disso, eles intensificam as ameaças já conhecidas, ao mesmo tempo em que reduzem o nível de habilidade necessário para realizar um ataque. Em breve, a IA poderá ser capaz de empregar técnicas que hoje só um invasor experiente consegue executar. Não precisamos de um novo manual de estratégias; precisamos aplicar o antigo com mais rapidez e disciplina.
Então, onde isso nos deixa? Depende da sua perspectiva. Se você está preocupado com sua privacidade e cibersegurança, não se desespere. Ainda é possível enfrentar todos esses desafios com medidas de segurança relativamente simples. Se você trabalha com segurança de rede, seu emprego está garantido. E se você desenvolve tecnologia, precisa priorizar o desenvolvimento seguro dos seus produtos.
Comecei desmistificando um clichê, pelo menos no que diz respeito à cibersegurança, e vou concluir confirmando outro: somos tão fortes quanto nosso elo mais fraco.
