Por Daniel dos Santos

Segundo uma pesquisa divulgada pela empresa de segurança Proofpoint, 78% das empresas brasileiras tiveram ao menos uma experiência de ataque de roubo de dados por e-mail bem-sucedida em 2022, com quase 25% delas sofrendo perdas financeiras como resultado dos ataques de cibercriminosos.

A pesquisa, realizada também em outros 14 países, identificou que 58% das empresas brasileiras sofreram uma tentativa de ransomware (sequestro de dados por criminosos, com pedido de resgate) no ano passado, com 46% dos casos sendo bem-sucedidos para os hackers…

Já um estudo da IBM mostra que quase 80% das organizações de infraestrutura crítica entrevistadas não adotam estratégias Zero Trust (na qual é adotada uma forma mais abrangente de segurança e validação de usuários).

Nesse cenário de desafios, mas também de oportunidades para as empresas, conversamos com Rinaldo Ribeiro (acima), líder da área de serviços de cibersegurança da IBM no Brasil, para entender como funciona a estratégia Zero Trust e para saber como está o equilíbrio de forças entre as empresas e os criminosos, com a disseminação da inteligência artificial. Saiba mais na entrevista abaixo:

AIoT Brasil – Na área de segurança a IBM aposta suas fichas na estratégia batizada de Zero Trust.  O que é essa estratégia e como ela funciona?

Rinaldo Ribeiro – Acho que vale a pena a gente falar primeiro um pouco dessa mudança. Para isso, é preciso citar três momentos. Vamos voltar rapidamente 20 anos aqui no tempo.  Falar de 2003, 2013 e 2023.

AIoT Brasil – Já passamos do bug do milênio (referência aos problemas enfrentados na virada de 1999 para o ano 2.000)…

RR – Isso, já passamos daquele 1999, quando não sabíamos se o videocassete ia parar de funcionar (risos).  Então, lá em 2003, a gente falava “se um dia a minha empresa for atacada”.  Em 2013, a pergunta passou a ser “quando seremos atacados”?  Não era mais questão de se, mas de quando.  Já em 2023 precisamos adotar uma mentalidade que parte de um possível comprometimento.  A possibilidade não é mais se e nem quando, mas eu já posso estar hoje com minha estrutura comprometida.  Pensar no cenário de que tenho um incidente cibernético acontecendo, já tenho alguma ação maliciosa na empresa.  E quando a gente pensa nesse cenário, é fundamental adotar uma mentalidade diferente, uma estratégia de segurança diferente.  E aí a gente conecta diretamente com a confiança zero, com a Zero Trust.

AIoT Brasil – Qual a ligação dessa estratégia com as chamadas vulnerabilidades de Zero Day?

RR – Vulnerabilidades Zero Day fazem parte desse cenário complexo que a gente vive hoje.  De novas ameaças, novos atores e a complexidade do mundo que a gente vive. Mas quando a gente pensa nessa possibilidade, eu já posso estar comprometido.  Essa mudança de mentalidade significa que eu não posso confiar na estrutura, nos usuários, nos acessos como eu confiava 20 anos atrás.  É preciso adotar uma mentalidade e um framework e um modelo que revalide todos os acessos e todas as permissões que eu preciso dar aos funcionários para que o meu negócio funcione.

AIoT Brasil – Mas uma coisa que a gente aprende na área de segurança é que nada é 100%.  Mesmo o Zero Trust, não dá para dizer que é 100% seguro, certo?

RR – Nada é 100% seguro. Não existe bala de prata e nenhuma tecnologia ou abordagem vai conseguir cobrir todos os aspectos de um programa de segurança robusto e o mais eficaz possível.

AIoT Brasil – O que IBM faz é colocar novas camadas de proteção, o máximo que é possível ter?  Até porque tem o ser humano envolvido… Sempre vai ter alguém que clica no link, que não segue aquele treinamento e as recomendações, não é?

RR – Certo. Esse mundo totalmente conectado, com um ambiente heterogêneo, híbrido, com a presença humana, que a gente espera continuar tendo por muitos e muitos anos ainda, cria esse cenário. O modelo Zero Trust exige a adoção de uma nova mentalidade para que a gente tenha um programa de segurança mais robusto.

AIoT Brasil – A inteligência artificial é uma tecnologia muito importante dentro da estratégia de Zero Trust? Como a IBM usa a IA no atual cenário de segurança?

RR – Se a gente for ver os componentes do mundo em que vivemos hoje, de complexidade, de escassez de talento, na complexidade de como o incidente cibernético é endereçado, como que ele é tratado, há a necessidade principalmente da velocidade. E botar mais pessoas num problema complexo em expansão não é algo escalável.  Nesse cenário, automação e inteligência artificial são fundamentais.

Como que eu consigo trazer agilidade e um processo mais eficiente para um analista que está com diversos data points, diversas fontes de dados, que precisa tomar uma decisão rápida para identificar se o incidente é de alta segurança ou de baixa segurança?  Então, você vai ver em vários fabricantes, em várias abordagens de serviço, a adoção de formas para encurtar esse tempo.

AIoT Brasil – A estratégia de Zero Trust inclui serviços, hardware, software? O que ela engloba?

RR – Quando a gente fala de tecnologia e de software, você vai começar a ver algumas características de novos produtos que vão trazer essa nova capacidade.  Então, a ferramenta X da versão nova vai ter algum aspecto que automatiza ou facilita esse trabalho no uso da tecnologia.  Então, você tem um cenário da tecnologia, numa versão nova, com features que usam o que a gente está conversando agora.

Quando a gente fala de serviços, é descomplicar um pouco esse conceito e traçar uma estratégia que conecte esses pontos.  Ou seja, no final, a gente está falando de algo que é reutilizar conceitos antigos em uma abordagem que tenha essa mentalidade, tenha essa conexão para que o programa de segurança fique mais robusto, fique mais seguro.

Quando a gente fala de um acesso seguro, num contexto de confiança zero, onde eu preciso revalidar esses acessos, onde eu preciso dar o acesso com base no nível de perfil e privilégio de cada um dos usuários, revalidando, eu falo de algo como o Zero Trust Network Access.

Ou seja, tenho um acesso remoto, mas agora eu não abro um túnel e deixo sem monitoração, sem validação, sem controle, por dentro de um túnel seguro. Agora eu tenho um acesso na mentalidade do modelo de confiança zero, onde eu revalido e eu permito, de forma limitada, de acordo com uma regra de negócio, quais aplicações que aquele usuário acessar, e eu vou revalidar, através da ferramenta, através daquele framework. A gente tem um cenário no qual eu preciso revalidar se o usuário precisa de acesso.  Eu preciso controlar, de forma mais específica, quais aplicações que ele precisa ter.  E eu preciso garantir isso de forma fluida, disponível.

AIoT Brasil – Se fossemos fazer um resumo das outras camadas que tem uma estratégia de Zero Trust, como ele seria?

RR – Acho que você olhando para a nuvem, para a Cloud Security e todos os “security” que também existem hoje,  ou seja, você tem um cenário totalmente diferente, se a gente for comparar com o que a gente tinha há pouco tempo,  onde você não tem mais máquinas físicas, você tem microsserviços, APIs, workloads,  ou seja, são vários componentes que vão ser criados para que a aplicação esteja disponível,  para que o processo de negócio seja colocado de forma disponível em nuvem.

Então, como é que a gente adota o controle e a revalidação de todos esses componentes, como tira proveito de uma infraestrutura em nuvem, que promete diversos benefícios? Cloud e Cloud Security vão andar sempre juntas e você ter uma abordagem de confiança zero na composição dessa nova criação,  desse novo componente do negócio que está em nuvem, é um ponto super importante.

E o que você vai ver, que é um dos pilares, é microsegmentação.  Ou seja, como eu, em um ambiente híbrido, eu tenho on-premises, eu tenho nuvem, eu tenho várias nuvens, eu tenho plataformas, SaaS, então eu tenho vários concorrentes em um escopo muito complexo.  E como que eu vou segmentar e ter os compartimentos para que dentro de uma estrutura, dentro de um pedaço desse ecossistema, caso eu tenha algum problema, eu não tenha um efeito dominó.

Uma comparação legal para gente pensar é no submarino, por exemplo.  Você vê aqueles compartimentos, você vai passando de um lugar para o outro, vai fechando aquelas portas, se tem algum vazamento ali, o submarino não afunda.  Então, quando você faz a microsegmentação de um ambiente complexo, você tem isso também em mente.

AIoT Brasil – O histórico que temos na área de cibersegurança é de que os criminosos descobrem algo e a indústria, pelo menos foi a imagem que ficou, corre atrás dessa nova vulnerabilidade, porque ela ficava exposta. Em muitos casos se sabe que há uma vulnerabilidade e há uma demora para disponibilizar correções. Como fica essa caçada de “gato e rato” com relação à inteligência artificial?

RR – Acho que a gente tem uma facilidade da utilização da tecnologia existente pelos atores maliciosos também. Então é preciso reconhecer que existe uma adoção e um benefício que também está sendo trazido para esse lado. Se você pegar a IA generativa e os prompts, por exemplo, você consegue, com baixo conhecimento técnico, gerar conteúdo malicioso, tem vários exemplos que podem ser usados para ataques cibernéticos.

Quando a gente fala de corrida de gato e rato, é constante, é diário. A motivação maliciosa, ela é, na grande maioria, financeira. Mas há também a motivação geopolítica, motivação de hacktivismo, mas sua grande maioria são os ataques de ransomware, com fins de ganhos financeiros. Como temos o ator malicioso lançando novos ataques de forma mais eficaz, mesmo usando menos conhecimento, isso dificulta do lado da defesa e aumenta ainda essa priorização para uma redução do tempo. Podemos olhar esse movimento dos dois lados e ter exemplos concretos dos dois lados. Então, a gente não deveria pensar que teve um avanço muito maior de um lado do que do outro, porque esse é um movimento que está sendo visto e observado e trabalhado pelos dois lados.

AIoT Brasil – Falamos de segurança e de exploração de vulnerabilidades. Eu queria que você falasse um pouco mais sobre a questão da segurança dos dados.

RR – Muitos dos riscos estão conectados com privacidade de dados. Como os modelos são gerados, que tipo de dados e como a gente endereça todas as questões de governança e privacidade dos dados. Então, se a gente tem adoção de uma tecnologia que não prioriza esses pontos, começa a ver riscos que são bem relevantes. Então, quando eu vou utilizar para sumarizar contratos de uma certa área, como consigo trazer o nível de confiança e de governança para não só proteger como esses dados são processados, mas também ter a confiança necessária para que consiga demonstrar o que foi feito e como que aquele resultado ou uma recomendação foi gerada.

De uma forma geral, a gente vai olhar para um nível de confiança que não pode ser cego. Eu não posso simplesmente acreditar sem ter formas de comprovar e implementar a governança. E aí, olhando para o lado da manipulação, você começa a ver termos como o hipnotismo dos modelos. Como que a gente consegue ter uma manipulação dos resultados por meio de ataques contra aquelas tecnologias que vão gerar recomendações que não necessariamente são verdadeiras. Existe um trabalho de entendimento dos riscos e existem riscos que são inerentes ao uso dessas novas tecnologias.