19 de maio de 2023
À medida que as organizações se transformam digitalmente para expandir o acesso aos serviços on-line, o desafio deixa de ser permitir o acesso e passa a ser proteger as pessoas dos criminosos cibernéticos. Os agentes de ameaças estão em constante desenvolvimento, usando ferramentas e técnicas de nível empresarial de maneiras cada vez mais sofisticadas para contornar os sistemas de segurança que os protegem.
Infelizmente, muitas organizações cometem um erro crucial de segurança cibernética: elas investem recursos em métodos de segurança comoditizados, reagindo constantemente a violações e credenciais comprometidas, em vez de se prepararem para o futuro por meio de medidas preventivas.
Hoje estamos conversando com Matt Welch, chefe de inteligência contra ameaças da iProov. Matt tem um extenso histórico de liderança e consultoria em departamentos globais de Threat Intelligence, após 16 anos de serviço nas Forças Armadas Canadenses. Agora, na iProov, Matt estuda o cenário de ameaças biométricas em evolução e os agentes de ameaças por trás delas, enquanto desenvolve estruturas para combater os tipos de ameaças.
Conversamos com Matt para entender melhor o estado macro da segurança cibernética no primeiro trimestre de 2023.
Entendendo a evolução das ameaças no primeiro trimestre de 2023
P: Matt, quais tendências e evoluções você observou na segurança cibernética até agora neste ano?
R: Houve uma mudança de tática observada em um agente de ameaças prolífico, o grupo que foi apelidado de Scattered Spider pela Crowdstrike. É interessante notar que eles estão mudando seu foco para o phishing, especialmente e-mails e domínios de phishing. O phishing é uma forma de ameaça comum e estabelecida há muito tempo, que visa induzir as pessoas a revelarem suas informações pessoais, mas ainda é extremamente eficaz contra organizações que dependem de credenciais para a segurança das informações. Você pode ler mais sobre essa tendência no último relatório da crowdstrike aqui.
O ponto principal aqui é que os agentes de ameaças percebem que as credenciais ainda são o fruto mais fácil. Muitas vezes, eles nem precisam de phishing; os agentes de ameaças podem facilmente obter credenciais comprometidas, pois muitas já estão espalhadas pela darknet. Em seguida, eles podem usar ataques de preenchimento de credenciais para ver a quais outras contas podem ter acesso com essas informações.
A conclusão aqui é que, como muitas organizações usam protocolos de autenticação multifator atualmente, os outros tipos de autenticação - "algo que você possui" e "algo que você sabe" - serão naturalmente atacados depois que as credenciais forem roubadas. Se uma organização emprega a autenticação multifatorial (MFA) e os agentes de ameaças estão coletando credenciais por meio de phishing, logicamente, os outros fatores de autenticação serão atacados em seguida.
Esse é, em parte, o motivo pelo qual a tecnologia biométrica se tornou essencial: embora seja possível coletar e compartilhar facilmente credenciais comprometidas, não é possível capturar e usar a presença genuína do rosto vivo de alguém. Portanto, a boa notícia é que "algo que você é" pode ser incrivelmente difícil de ser quebrado, ao contrário de "algo que você sabe" ou "possui".
O problema com os métodos de autenticação baseados em credenciais e a ênfase equivocada em "algo que você possui"
P: Então, Matt, as credenciais estão sendo ameaçadas por um foco renovado em phishing. O que pode ser dito sobre os outros fatores de autenticação?
R: Sim, no momento, os agentes de ameaças estão se concentrando nas credenciais. Mas, à medida que mais e mais organizações implementam a autenticação multifator, elas voltarão seu olhar para os outros fatores usados para proteger a MFA.
Mas um ponto mais importante aqui é que os protocolos MFA protegidos com fatores "algo que você possui", como senhas de uso único (OTPs), não são uma solução de longo prazo. Os criminosos cibernéticos derrotaram essas tecnologias de verificação tradicionais, o que levou à comoditização do que antes eram consideradas opções seguras (você pode ler mais sobre os riscos das OTPs aqui, por exemplo).
As OTPs são um avanço em relação às senhas e geralmente oferecem um nível mais alto de segurança do que a autenticação baseada em credenciais. Entretanto, os fatores baseados em posse são cada vez mais suscetíveis e ainda podem ser roubados ou interceptados. Não é uma solução milagrosa.
Em termos mais amplos, eu diria que o excesso de confiança na autenticação baseada em credenciais e na posse de dados levou a um ciclo vicioso no qual as organizações estão presas em um estado de reação e detecção de ameaças, em vez de prevenção, criando um "setor" de carga administrativa na segurança da informação.
A dicotomia do tipo de controle: Prevenção vs. Detecção
P: Matt, o que pode ser feito para combater as ameaças aos sistemas de autenticação?
R: Em geral, as organizações estão muito concentradas no que as prejudica no momento - elas estão constantemente apagando incêndios causados por senhas fracas e autenticação baseada em posse de dados, de modo que os profissionais de segurança da informação estão muito ocupados (ou não têm todas as informações necessárias) para perceber que há uma maneira muito melhor.
A tecnologia biométrica oferece uma abordagem melhor para a segurança. Há uma eficiência única na adoção de um produto maduro e confiável que garante a identidade genuína de um usuário remoto.
A segurança cibernética pode ser dividida em controles preventivos e detectivos. Tradicionalmente, a segurança cibernética tem se concentrado em controles de detecção, que são incrivelmente caros.
Pense da seguinte forma: é a diferença entre pagar alguém para andar pelo seu prédio para ver se alguém entrou e simplesmente trancar a porta. Nessa analogia, a biometria é a fechadura - impedindo a grande maioria de seus problemas no estágio inicial. Nesse sentido, a tecnologia iProov é a medida preventiva definitiva.
Além disso, o custo de um sistema maduro de capacidade de segurança cibernética em uma determinada organização é astronômico; elementos como um Centro de Operações de Segurança (SOC), pessoal, resposta a incidentes, terceirização, APIs, integrações e plataformas de inteligência contra ameaças são todos somados. Mas o custo de uma solução resiliente de vivacidade biométrica é muito menor.
O iProov oferece a iProov Security Operations Centre (iSOC) como parte de sua solução biométrica. Por meio do iSOC, o iProov monitora o tráfego em tempo real para detectar padrões de ataque em várias regiões geográficas, dispositivos e plataformas. O iSOC oferece a profundidade de visibilidade e a amplitude de controle como se você estivesse desenvolvendo sua própria tecnologia interna, com a vantagem de não ter despesas adicionais. Todas as soluções recebem suporte, são aprimoradas e atualizadas sem tempo, custo ou recursos adicionais.
Além disso, esses agentes de ameaças sabem que os funcionários saem do trabalho para o fim de semana em um determinado horário na sexta-feira e, por isso, coordenam seus ataques nessa época. É por isso que os processos automatizados são essenciais.
Por fim, um processo de MFA que incorpora a tecnologia biométrica correta para garantir a presença genuína elimina uma quantidade colossal de dor e estresse, concentrando-se na prevenção.
Considerações finais sobre as tendências de inteligência contra ameaças
P: Obrigado, Matt! Alguma consideração final?
R: As pessoas precisam entender que é incrivelmente difícil identificar ataques de IA generativa, como deepfakes ou, mais recentemente, trocas de rosto, principalmente a olho nu. O resultado fraudulento pode parecer totalmente realista e muito diferente da entrada real. Não podemos confiar apenas nas pessoas para identificar ataques de IA.
Observação: em uma pesquisa da iProov, 57% dos entrevistados globais afirmaram que conseguiam distinguir um vídeo real de um deepfake, o que representa um aumento em relação aos 37% de 2019. No entanto, o IDIAP revelou que, na realidade, apenas 24% dos participantes de seu estudo conseguiram detectar um deepfake. Um deepfake de alta qualidade pode ser genuinamente indistinguível da realidade para o olho humano.
Se observarmos as diferentes soluções biométricas, elas podem oferecer níveis muito diferentes de garantia de que uma determinada autenticação é um ser humano vivo e não uma falsificação. Portanto, é necessário aprender sobre os diferentes tipos de vivacidade e tecnologias disponíveis - as diferenças entre quadro único, quadro múltiplo, passivo, ativo e assim por diante - e por que há tanta necessidade de uma solução de missão crítica.
A pergunta "como podemos ter certeza da identidade de alguém on-line?" é um tópico extremamente importante e sério, e não está desaparecendo. Autenticação e verificação fracas significam fronteiras mais fracas no ponto de viagem, contas on-line comprometidas, segurança de informações mais fraca e muito mais. Preocupa-me o fato de que, para algumas pessoas, a biometria ainda seja vista como ficção científica - porque ela é real, é necessária e é necessária agora mais do que nunca.
Lembrete: nosso último relatório, "iProov Biometric Threat Intelligence", é o primeiro do gênero. Nele, destacamos os principais padrões de ataque observados ao longo de 2023. Ele destaca padrões de ataques biométricos em produção até então desconhecidos, para que as organizações possam tomar decisões informadas sobre qual tecnologia e qual nível de segurança implementar. Leia o relatório completo aqui.