As inseguranças do sucesso da segurança cibernética

As inseguranças do sucesso da segurança cibernética. Tornar-se um grande profissional não precisa custar sua felicidade, mas a cultura da moagem torna isso provável.

Nos últimos anos, a questão da saúde mental no setor de segurança cibernética ganhou destaque. Uma pesquisa de 2019 revelou que 1 em cada 6 CISOs admitiu se automedicar para lidar com o estresse de seu trabalho. A tensão passa pelo escritório do CISO e permeia todo o setor. Um perfil que está crescendo mais rápido que o orçamento e uma sofisticação cada vez maior e o impacto financeiro dos ataques se combinam para transformar o que antes era um canto do departamento de TI em uma panela de pressão.

John Hammond , pesquisador de segurança cibernética da Huntress, falou sobre “Hard Truths and Unexpected Realities: Lamentations in Producing Cybersecurity Content” na Intigriti 1337UP Live , uma conferência online sobre bugs, em março de 2022. Seus vídeos no YouTube tendem a cobrir tópicos técnicos como malware análise, engenharia reversa e programação geral, bem como conteúdo menos técnico, como carreiras e entrevistas com notáveis ​​de segurança cibernética.

Enquanto ele usa a criação de conteúdo como uma lente para falar sobre saúde mental e as pressões que enfrenta, ele também traça paralelos entre fazer vídeos e para a comunidade. Ambas são atividades igualmente criativas e de alto perfil, e vêm com algumas das mesmas inseguranças e pressões .

“Algo dá errado, e muitas vezes eu me sinto como, ‘Olha, eu não sei o que estou fazendo.’ Todos esses guerreiros ninjas de elite loucos e legais, travessuras cibernéticas, os magos que estão cortando Ghidra e Ida e essas coisas de baixo nível – tipo, cara, isso está tão fora do meu alcance”, disse Hammond. “Chego à conclusão de que sou uma fraude.“

Parte desse sentimento decorre da grande escala do campo, onde nenhuma pessoa pode saber tudo o que há para saber. “Uma lição que espero que venha disso“, disse ele, “é que ninguém sabe o que está fazendo. Ninguém é especialista em segurança cibernética. Porque não pode haver.”

Para combater a voz interior dizendo que você é uma fraude, Hammond recomenda concentrar-se em seu próprio processo, em vez de se concentrar no sucesso de outras pessoas.

“Você não pode se comparar com o que as pessoas mostram no Twitter, porque, por um lado, elas estão celebrando seus altos, seus sucessos, os momentos incríveis da vida. E isso é incrível, mas você não vê o trabalho duro , você não vê a coragem, você não vê a determinação, as longas noites, a falta de sono – tudo o que eles estão fazendo para dar certo“, observa Hammond.

O valor de trazer sua voz e suas opiniões para a comunidade está em aumentar o leque de perspectivas e experiências na praça da cidade. “Eles têm seus pontos fortes, eles têm seus pontos fracos; eu tenho meus pontos fortes, tenho meus pontos fracos“, disse ele. “Nós temos essa discussão, temos essa conversa, temos esse compartilhamento de conhecimento e insights e contribuições e opiniões – se estão errados ou estão certos, estamos fazendo isso. E isso é uma coisa boa.“

Ele fecha com um excelente bloco de conselhos sobre como prosseguir com o crescimento de seu perfil no mundo da segurança cibernética sem se esgotar. “Faça as coisas que você ama“, disse ele. “Pare de se comparar com outras pessoas. Compare-se com você mesmo. E ofereça sua opinião e visão, porque tem que ser assim que crescemos e continuamos e melhoramos a indústria e tudo o que fazemos.“

 

Fonte: Dark Reading

Atacantes precisam de menos de 10 horas para encontrar fraquezas

Atacantes precisam de menos de 10 horas para encontrar fraquezas. Configurações vulneráveis, falhas de software e serviços da Web expostos permitem que hackers encontrem pontos fracos exploráveis ​​nos perímetros das empresas em apenas algumas horas, não em dias.

O hacker ético médio pode encontrar uma vulnerabilidade que permite a violação do perímetro da rede e, em seguida, explorar o ambiente em menos de 10 horas, com testadores de penetração focados na segurança da nuvem obtendo acesso mais rapidamente aos ativos direcionados. Além disso, uma vez que uma vulnerabilidade ou fraqueza é encontrada, cerca de 58% dos hackers éticos podem invadir um ambiente em menos de cinco horas.

Isso está de acordo com uma pesquisa com 300 especialistas do SANS Institute e patrocinada pela empresa de serviços de segurança cibernética Bishop Fox, que também descobriu que as fraquezas mais comuns exploradas pelos hackers incluem configurações vulneráveis, falhas de software e serviços da Web expostos, afirmaram os entrevistados.

Os resultados refletem métricas para ataques maliciosos do mundo real e destacam o tempo limitado que as empresas têm para detectar e responder a ameaças, diz Tom Eston, vice-presidente associado de consultoria da Bishop Fox.

“Cinco ou seis horas para entrar, como um hacker ético, não é uma grande surpresa“, diz ele. “Isso corresponde ao que estamos vendo os hackers reais fazendo, especialmente com engenharia social e phishing e outros vetores de ataque realistas”.

A pesquisa é o ponto de dados mais recente das tentativas das empresas de segurança cibernética de estimar o tempo médio que as organizações têm para interromper os invasores e interromper suas atividades antes que danos significativos sejam causados.

A empresa de serviços de segurança cibernética CrowdStrike, por exemplo, descobriu que o invasor médio “sai” de seu comprometimento inicial para infectar outros sistemas em menos de 90 minutos. Enquanto isso, o período de tempo que os invasores conseguem operar nas redes das vítimas antes de serem detectados foi de 21 dias em 2021, um pouco melhor do que os 24 dias do ano anterior, segundo a empresa de serviços de segurança cibernética Mandiant .

Conheça seu inimigo e a você mesmo

“Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você conhece a si mesmo, mas não conhece o inimigo, para cada vitória conquistada também sofrerá uma derrota. Se você não conhece nem o inimigo nem a si mesmo, você sucumbirá em todas as batalhas.”

O conceito simples de Sun Tzu pode ser aplicado a praticamente qualquer tipo de confronto: conheça a si mesmo e conheça seu inimigo. O grau de conhecimento em ambas as frentes prevê o resultado independente do tipo de confronto. A psicologia forense investiga os motivos e as mentes dos criminosos e pode prever o que de outra forma seria desconhecido sobre o comportamento criminoso. Curiosamente, a segurança cibernética pode seguir um caminho semelhante para se defender em qualquer organização, mas muitas vezes não.

Conheça a si mesmo. As melhores equipes de segurança cibernética passam por medidas minuciosas para se conhecerem. Elas implementam descoberta de superfície de ataque, inventário de ativos, classificação de dados, verificação de vulnerabilidades – a lista continua – e muitas equipes de segurança têm uma boa noção de si mesmas. As decisões defensivas são tomadas com base no risco em relação ao impacto nos negócios e os investimentos são feitos de acordo.

Conheça seu inimigo. Embora conhecer a si mesmo seja um desafio, conhecer seu inimigo é quase impossível em segurança cibernética. Em um mundo perfeito, você seria capaz de interrogar cibercriminosos que são pegos para entender melhor como eles escolhem alvos e técnicas. Investir na ciência da psicologia forense pode ser uma boa razão – a comunicação com criminosos nos ensina o que levou às razões por trás de cometer crimes.

Na ausência desses insights, as equipes de segurança cibernética tradicionalmente se voltaram para o passado para prever o futuro. Estudos como o Verizon DBIR Report e  o Ponemon’s Cost of a Data Breach agregam milhares de pontos de dados relevantes para encontros passados ​​e muitas vezes perigosos com adversários. Esses relatórios enfatizam a urgência em torno de métricas importantes, como ataques de ponta a ponta que levam menos de um dia. Ainda mais alarmante, o principal “método de entrega” para mais da metade das violações é a “divulgação do ator”, significando essencialmente notas de ransomware ou postagens que oferecem evidências e/ou dados para venda em fóruns criminais são os mecanismos para alertar as equipes de segurança sobre uma violação. A conclusão é que as equipes de segurança ainda estão lutando muito com detecção e resposta.

Organizações não monitoram

No geral, quase três quartos dos hackers éticos acham que a maioria das organizações não possui os recursos necessários de detecção e resposta para interromper os ataques, de acordo com a pesquisa Bishop Fox-SANS. Os dados devem convencer as organizações a não apenas se concentrarem na prevenção de ataques, mas também detectar e responder rapidamente aos ataques como forma de limitar os danos, diz Eston, da Bishop Fox.

“Todo mundo eventualmente será hackeado, então tudo se resume à resposta a incidentes e como você responde a um ataque, em vez de proteger contra todos os vetores de ataque”, diz ele. “É quase impossível impedir uma pessoa de clicar em um link.“

Além disso, as empresas estão lutando para proteger muitas partes de sua superfície de ataque, afirmou o relatório. Terceiros, trabalho remoto, a adoção de infraestrutura em nuvem e o aumento do ritmo de desenvolvimento de aplicativos contribuíram significativamente para expandir as superfícies de ataque das organizações, disseram os testadores de penetração.

No entanto, o elemento humano continua a ser a vulnerabilidade mais crítica, de longe. Os ataques de engenharia social e phishing, juntos, representaram cerca de metade (49%) dos vetores com o melhor retorno sobre o investimento em hackers, de acordo com os entrevistados. Ataques a aplicativos da Web, ataques baseados em senha e ransomware são responsáveis ​​por outro quarto dos ataques preferenciais.

“Não deveria ser surpresa que a engenharia social e os ataques de phishing sejam os dois principais vetores, respectivamente”, afirmou o relatório. “Vimos isso repetidas vezes, ano após ano – os relatórios de phishing aumentam continuamente e os adversários continuam encontrando sucesso nesses vetores“.

Apenas seu hacker médio

A pesquisa também desenvolveu um perfil do hacker ético médio, com quase dois terços dos entrevistados tendo entre um ano e seis anos de experiência. Apenas um em cada 10 hackers éticos tinha menos de um ano na profissão, enquanto cerca de 30% tinham entre sete e 20 anos de experiência.

A maioria dos hackers éticos tem experiência em segurança de rede (71%), teste de penetração interna (67%) e segurança de aplicativos (58%), de acordo com a pesquisa, com red teaming, segurança na nuvem e segurança em nível de código como os próximos tipos mais populares de hacking ético.

A pesquisa deve lembrar às empresas que a tecnologia sozinha não pode resolver os problemas de segurança cibernética – as soluções exigem treinamento dos funcionários para estarem cientes dos ataques, diz Eston.

“Não há uma única tecnologia que irá repelir todos os ataques e manter sua organização segura“, diz ele. “É uma combinação de processos de pessoas e tecnologia, e isso não mudou. As organizações gravitam em torno da melhor e mais recente tecnologia… mas depois ignoram a conscientização sobre segurança e treinam seus funcionários para reconhecer a engenharia social.“

Com os invasores focados exatamente nessas fraquezas, diz ele, as organizações precisam mudar a forma como estão desenvolvendo suas defesas.

Fonte: Dark Reading & Bishopfox