19 de maio de 2023
À medida que as organizações se transformam digitalmente para expandir o acesso aos serviços em linha, o desafio passa de permitir o acesso a proteger as pessoas dos cibercriminosos. Os agentes das ameaças estão em constante desenvolvimento, utilizando ferramentas e técnicas de nível empresarial de formas cada vez mais sofisticadas para contornar os sistemas de segurança que os protegem.
Infelizmente, muitas organizações cometem um erro crucial em matéria de cibersegurança: investem recursos em métodos de segurança comoditizados, reagindo constantemente a violações e credenciais comprometidas, em vez de se prepararem para o futuro através de medidas preventivas.
Hoje estamos a falar com Matt Welch, Diretor de Threat Intelligence da iProov. Matt tem um extenso historial de liderança e consultoria de departamentos globais de Threat Intelligence, após 16 anos de serviço nas Forças Armadas Canadianas. Agora, na iProov, Matt estuda o cenário de ameaças biométricas em evolução e os agentes de ameaças por trás delas, enquanto desenvolve estruturas para combater os tipos de ameaças.
Sentámo-nos com Matt para compreender melhor o estado macro da cibersegurança no primeiro trimestre de 2023.
Compreender a evolução das ameaças no primeiro trimestre de 2023
P: Matt, que tendências e evoluções observou na cibersegurança até agora este ano?
R: Houve uma mudança nas tácticas observadas por um agente de ameaças prolífico, o grupo que foi apelidado de Scattered Spider pela Crowdstrike. Curiosamente, eles estão a mudar o seu foco para o phishing - particularmente e-mails de phishing e domínios de phishing. O phishing é uma forma comum e há muito estabelecida de ameaça - que tem como objetivo induzir os indivíduos a revelar as suas informações pessoais - mas ainda é notavelmente eficaz contra as organizações que dependem de credenciais para a segurança das informações. Pode ler mais sobre esta tendência no último relatório da crowdstrike aqui.
O ponto-chave aqui é que os agentes de ameaças percebem que as credenciais continuam a ser o fruto mais fácil. Muitas vezes, nem sequer precisam de phishing; os agentes de ameaças podem facilmente obter credenciais comprometidas, uma vez que muitas já estão espalhadas pela darknet. Podem então utilizar ataques de credential stuffing para ver a que outras contas podem aceder com esta informação.
A conclusão aqui é que, como muitas organizações usam protocolos de autenticação multifator agora, os outros tipos de autenticação - "algo que você possui" e "algo que você sabe" - serão naturalmente atacados depois que as credenciais forem roubadas. Se uma organização utiliza a autenticação multifactor (MFA) e os agentes de ameaças estão a recolher credenciais através de phishing, logicamente, os outros factores de autenticação serão atacados a seguir.
É, em parte, por isso que a tecnologia biométrica se tornou essencial: embora se possa recolher e partilhar facilmente credenciais comprometidas, não se pode capturar e utilizar a presença genuína do rosto vivo de alguém. Por isso, a boa notícia é que "algo que se é" pode ser incrivelmente difícil de quebrar, ao contrário de "algo que se sabe" ou "que se possui".
O problema com os métodos de autenticação baseados em credenciais e a ênfase errada em "algo que é seu"
P: Então, Matt, as credenciais estão a ser ameaçadas por um foco renovado no phishing. O que se pode dizer sobre os outros factores de autenticação?
R: Sim, os agentes de ameaças estão atualmente a concentrar-se nas credenciais. Mas, à medida que cada vez mais organizações implementam a autenticação multifactor, vão voltar o seu olhar para os outros factores utilizados para proteger a MFA.
Mas um ponto mais importante aqui é que os protocolos MFA protegidos com fatores "algo que você possui", como senhas de uso único (OTPs), não são uma solução de longo prazo. Os cibercriminosos derrotaram essas tecnologias de verificação tradicionais, o que levou à comoditização do que antes eram consideradas opções seguras (você pode ler mais sobre os riscos das OTPs aqui, por exemplo).
As OTP são um passo à frente das palavras-passe e oferecem frequentemente um nível de segurança mais elevado do que a autenticação baseada em credenciais. No entanto, os factores baseados na posse são cada vez mais susceptíveis e podem ainda ser roubados ou interceptados. Não se trata de uma solução milagrosa.
Em termos mais gerais, eu diria que a dependência excessiva da autenticação baseada em credenciais e na posse de dados conduziu a um ciclo vicioso em que as organizações estão presas a um estado de reação e deteção de ameaças em vez de prevenção, criando uma "indústria" de encargos administrativos na segurança da informação.
A dicotomia do tipo de controlo: Prevenção vs. Deteção
P: Matt, o que pode ser feito para combater as ameaças aos sistemas de autenticação?
R: Geralmente, as organizações estão demasiado concentradas naquilo que as prejudica neste momento - estão constantemente a apagar fogos que ardem devido a palavras-passe fracas e autenticação baseada na posse, pelo que os profissionais de segurança da informação estão demasiado ocupados (ou não têm toda a informação de que necessitam) para se aperceberem de que existe uma forma muito melhor.
A tecnologia biométrica oferece uma melhor abordagem à segurança. Existe uma eficiência única na adoção de um produto maduro e fiável que assegura a identidade genuína de um utilizador remoto.
A cibersegurança pode ser dividida em controlos preventivos e controlos de deteção. Tradicionalmente, a cibersegurança tem-se centrado nos controlos de deteção, que são extremamente dispendiosos.
Pense da seguinte forma: é a diferença entre pagar a alguém para andar à volta do seu edifício para ver se alguém entrou, versus simplesmente trancar a porta. Nesta analogia, a biometria é a fechadura - impedindo a grande maioria dos seus problemas na fase inicial. Neste sentido, a tecnologia iProov é a derradeira medida preventiva.
Além disso, o custo de um sistema de capacidade de cibersegurança maduro numa determinada organização é astronómico; elementos como um Centro de Operações de Segurança (SOC), pessoal, resposta a incidentes, subcontratação, APIs, integrações e plataformas de informações sobre ameaças, todos eles se acumulam. Mas o custo de uma solução biométrica resiliente de vivacidade é muito mais baixo.
O iProov oferece o Centro de Operações de Segurança iProov (iSOC) como parte da sua solução biométrica. Através do iSOC, a iProov monitoriza o tráfego em tempo real para detetar padrões de ataque em várias geografias, dispositivos e plataformas. O iSOC fornece a profundidade de visibilidade e a amplitude de controlo como se estivesse a desenvolver a sua própria tecnologia interna, com a vantagem de não ter custos adicionais. Todas as soluções são suportadas, melhoradas e actualizadas sem tempo, custos ou recursos adicionais.
Além disso, estes agentes de ameaças sabem que os empregados saem do trabalho para o fim de semana a uma determinada hora de sexta-feira, pelo que coordenam os seus ataques nessa altura. É por isso que os processos automatizados são essenciais.
Em última análise, um processo MFA que incorpore a tecnologia biométrica correcta para garantir uma presença genuína elimina uma quantidade colossal dessa dor e stress, concentrando-se na prevenção.
Reflexões finais sobre as tendências da informação sobre ameaças
P: Obrigado, Matt! Alguma ideia final?
R: As pessoas têm de compreender que é extremamente difícil identificar ataques de IA generativa, como os deepfakes ou, mais recentemente, as trocas de rostos, sobretudo a olho nu. O resultado fraudulento pode parecer totalmente realista e muito diferente do que foi introduzido. Não podemos confiar apenas nas pessoas para detetar ataques de IA.
Nota: Num inquérito da iProov, 57% dos inquiridos a nível mundial afirmaram que conseguiam distinguir entre um vídeo real e um deepfake, o que representa um aumento em relação aos 37% de 2019. No entanto, o IDIAP revelou que, na realidade, apenas 24% dos participantes no seu estudo conseguiram detetar um deepfake. Um deepfake de alta qualidade pode ser genuinamente indistinguível da realidade para o olho humano.
Se olharmos para as diferentes soluções biométricas, elas podem fornecer níveis muito diferentes de garantia de que uma determinada autenticação é um ser humano vivo e não uma falsificação. Por isso, é necessária formação sobre os diferentes tipos de vivacidade e tecnologias disponíveis - as diferenças entre fotograma único, fotograma múltiplo, passivo, ativo, etc. - e a razão da necessidade de uma solução de missão crítica.
A questão de "como podemos ter a certeza da identidade de alguém em linha?" é um tópico extremamente importante e sério, e não está a desaparecer. Uma autenticação e verificação fracas significam fronteiras mais fracas no ponto de passagem, contas em linha comprometidas, segurança da informação mais fraca e muito mais. Preocupa-me o facto de, para algumas pessoas, a biometria ainda ser vista como ficção científica - porque é real, é necessária e é necessária agora mais do que nunca.
Lembrete: o nosso último relatório, "iProov Biometric Threat Intelligence", é o primeiro do seu género. No interior, iluminamos os principais padrões de ataque testemunhados ao longo de 2023. Ele destaca padrões de ataques biométricos em produção anteriormente desconhecidos, para que as organizações possam tomar decisões informadas sobre qual tecnologia e qual nível de segurança implantar. Leia o relatório completo aqui.