Desafio das Previsões de Cibersegurança da WatchGuard para 2023
Em 2023, prevemos que os hackers tentarão contornar as suas defesas de cibersegurança utilizando novas técnicas centradas em processos empresariais, identidade e inteligência artificial. Este ano, Corey Nachreiner, CSO da WatchGuard, e Marc Lalibert, Director de Operações de Segurança, oferecem diferentes pontos de vista sobre possíveis hacks e ataques nestas três categorias. Só o tempo dirá quais as previsões que se realizarão!
Processos empresariais: Hackers passam a ser verticais vs. Visam fornecedores e parceiros
- Seguradoras segmentam os requisitos de segurança, já de si elevados
O ciberseguro é um tema de grande importância nos últimos anos, uma vez que tanto os custos como os requisitos de conformidade têm aumentado nos últimos anos. As seguradoras sofreram perdas pesadas desde que começaram a oferecer opções de extorsão cibernética, já que a sua estratégia inicial de pagamento de resgates fez subir os seus custos. Como resultado, começaram a transferir esses custos acrescidos para os seus clientes e aumentaram significativamente os requisitos técnicos de segurança que pedem antes de os segurarem.
Embora os clientes já estejam a sofrer com as novas e significativas exigências e com as faturas mais elevadas para poderem reavaliar as suas políticas, pensamos que alguns setores terão mais dificuldades do que outros durante 2023. As seguradoras compreendem que certos verticais são alvos mais interessantes para os cibercriminosos e forçá-los-ão a aderir a regulamentos de conformidade mais exigentes e a suportar os custos mais elevados.
As indústrias mais afetadas são também as que aparecem nas manchetes devido aos ciberataques. Por exemplo, suspeitamos que os cuidados de saúde, infraestruturas críticas, finanças e prestadores de serviços geridos (MSP) serão sujeitos a requisitos mais severos de cibersegurança por parte das seguradoras.
Também acreditamos que os fornecedores de cibersegurança serão alvos de preços e requisitos mais elevados. Algumas seguradoras adotarão mesmo "listas de fornecedores de segurança aprovados", subscrevendo apenas apólices para empresas que utilizam soluções de segurança de determinados fornecedores. Se o seu setor é alvo de ciberataques, talvez queira planear o aumento dos prémios e mais obstáculos.
- Avaliação e validação da cibersegurança torna-se um fator preponderante na seleção de fornecedores e parceiros
Os últimos dois anos foram equivalentes ao que parecem ser cinco anos de falhas da cadeia de abastecimento digital.
Uma falha na cadeia de abastecimento digital é aquela em que uma insegurança num software ou hardware de um dos seus fornecedores, seja através de uma anomalia no produto ou uma violação da própria rede, provoca uma lacuna de segurança que o expõe a si ou à sua organização a uma falha.
Exemplos mais comuns incluem os ataques SolarWinds e Piriform, em que uma falha de segurança das suas redes resultou nos atacantes conseguirem armadilhar produtos populares como o Orion e CCleaner. Outro exemplo é o evento Kaseya, onde uma vulnerabilidade de zero-day no popular produto VSA expôs clientes que o utilizaram a um ataque de ransomware. Estes são apenas três dos muitos incidentes da cadeia de abastecimento digital que ocorreram nos últimos dois anos.
Com o aumento destes ataques à cadeia de abastecimento, as organizações estão cada vez mais preocupadas com a segurança dos parceiros e fornecedores com quem fazem negócios. Depois de se passar tanto tempo a aperfeiçoar as suas próprias defesas, seria especialmente frustrante sucumbir devido aos erros de segurança de outra pessoa. Como resultado, as empresas estão a fazer das próprias práticas de segurança interna de um fornecedor uma parte chave da decisão de escolha do produto.
De facto, a validação de fornecedores e a análise de risco de terceiros tornaram-se mesmo um novo vertical da indústria, com produtos que ajudam a pesquisar e acompanhar os programas de segurança dos fornecedores externos. Em suma, durante 2023, a segurança interna dos vendedores tornar-se-á um fator preponderante na seleção de produtos e serviços de software e hardware, logo a seguir ao preço e do desempenho.
Identidade - O primeiro hack do Metaverso vs. Surto de engenharia social de MFA
- O primeiro grande hack do Metaverso afetará o negócio através de novos casos de uso de produtividade
O metaverso apresenta muitas oportunidades futuras e actuais para hackers maliciosos. Em cinco a dez anos, eles podem criar uma falsificação virtual do seu avatar online, que poderá mover-se e agir tal como nós. Mas isso não significa que o metaverso não esteja já a ser alvo hoje em dia. Pensamos que o primeiro ataque metaverso a afetar os negócios será de um conhecido vetor de ameaça recriado para o futuro do VR.
Perto do final de 2022, a Meta lançou o Meta Quest Pro como um headset VR/MR "empresarial" para casos de uso de produtividade e criatividade. Entre outras coisas, o Meta Quest Pro permite-lhe criar uma ligação remota ao seu computador tradicional de secretária, permitindo-lhe ver o ecrã do seu computador num ambiente virtual e criar muitos monitores e espaços de trabalho virtuais para o seu computador. Permite até que um colaborador remoto inicie reuniões virtuais (vs. vídeo) que supostamente lhe permitem interagir de uma forma muito mais humana. Por mais extravagante que isto possa parecer, aproveita essencialmente as mesmas tecnologias de desktop remoto que o Remote Desktop da Microsoft ou Virtual Network Computing (VNC), e o mesmo tipo de tecnologias que os cibercriminosos têm visado e explorado inúmeras vezes no passado.
É por isso que em 2023, acreditamos que o primeiro grande hack do metaverso a afetar uma empresa resultará de uma vulnerabilidade em novas características de produtividade empresarial, como o desktop remoto, utilizado na última geração de auscultadores VR/MR que visam casos de uso empresarial.
Os cibercriminosos vão visar agressivamente os utilizadores de autenticação multifatorial (MFA) em 2023, dada a adoção cada vez maior desta solução. Confirmando o que previmos anteriormente, a adoção da MFA aumentou de seis pontos percentuais para 40% este ano, de acordo com um inquérito da Thales realizado pela 451 Research. Isto levará os cibercriminosos a apostarem mais em técnicas de bypass maliciosas de MFA nos ataques às credenciais.
Esperamos que, em 2023, surjam várias vulnerabilidades novas de MFA e técnicas de bypass. Contudo, a forma mais comum de os cibercriminosos contornarem estas soluções é através de engenharia social inteligente. Por exemplo, o sucesso do push bombing não é um fracasso do MFA per se, é causado por erro humano. Os atacantes não têm de hackear o MFA se conseguirem enganar os seus utilizadores ou, simplesmente, cansá-los com uma avalanche de pedidos de aprovação que, eventualmente, os levam a clicar numa ligação maliciosa.
Os cibercriminosos também podem atualizar técnicas adversary-in-the-middle (AitM) para incluir o processo de MFA, capturando, desta forma, tokens de autenticação quando os utilizadores iniciam legitimamente a sessão. Em qualquer um dos casos, esperam-se muitos mais ataques de engenharia social dirigidos à MFA durante 2023.
Hackear robotaxis com IA vs. Proliferação de vulnerabilidades através de ferramentas de código que utilizam IA
Várias empresas tecnológicas, como a Cruise, Baidu e a Waymo começaram a testar robotaxis em várias cidades de todo o mundo, incluindo São Francisco e Pequim, China. Os robotaxis são basicamente carros autónomos, que proporcionam uma experiência do género da Uber ou Lyft, mas sem um condutor humano. Empresas como a Baidu afirmam já ter completado com sucesso mais de um milhão destas viagens autónomas com os passageiros, na sua maioria, encantados, e é possível imaginar como as empresas se sentem atraídas pela poupança na eliminação da sua gigantesca mão-de-obra económica.
Dito isto, os projetos-piloto não têm sido todos bem-sucedidos. Em Junho, um dos robotáxis da Cruise esteve envolvido num acidente que feriu os seus três passageiros e o condutor do outro veículo. Embora a Cruise afirme que o veículo conduzido por humanos parece ser o responsável, isso não ajuda as pessoas a confiarem na inteligência artificial (IA) que estes carros utilizam para serem autónomos, especialmente quando truques simples, como sal colocado na estrada de forma criativa, já os confundiu.
Pesquisas de segurança anteriores já mostraram que os carros ligados à Internet podem ser pirateados e os humanos já provaram que se pode engendrar IA socialmente (ou devemos dizer, "visualmente?"). Quando se combinam estas duas coisas com um serviço baseado em telemóvel que qualquer pessoa pode utilizar, veremos certamente pelo menos um incidente de cibersegurança em que os cibercriminosos visarão os robotáxis por diversão e lucro.
Uma vez que estes serviços de veículos autónomos são tão novos e ainda estão em fase de testes, não acreditamos que um hack resulte num acidente perigoso num futuro próximo. No entanto, em 2023, suspeitamos que alguns investigadores de segurança ou grey hat hackers possam perpetrar uma partida técnica, que faz com que um destes veículos fique preso sem saber o que fazer, atrasando potencialmente o tráfego.
Embora o Machine Learning (ML) e a Inteligência Artificial (IA) não se tenha tornado tão poderosas como alguns evangelistas técnicos afirmavam, têm evoluído significativamente na oferta de novas capacidades práticas. Além de gerar arte a partir de estímulos escritos, as ferramentas de IA/ML podem, agora, gerar código para programadores preguiçosos (ou inteligentemente eficientes). Em ambos os casos, a IA recorre à arte existente ou código de computador para gerar as novas criações.
O Copilot da GitHub é uma dessas ferramentas de desenvolvimento de código automatizada. A GitHub treina o Copilot através do big data de milhares de milhões de linhas de código encontradas nos seus repositórios. Contudo, como com qualquer algoritmo AI/ML, a qualidade da sua produção é apenas tão boa quanto a qualidade dos dados de treino que lhe são enviados e as instruções que lhe são dadas para trabalhar com eles.
Dito de outra forma, se a ferramenta é alimentada com código de IA mau ou inseguro, pode esperar que forneça o mesmo. Estudos já demonstraram que até 40% do código desenvolvido pelo Copilot incluiu vulnerabilidades de segurança exploráveis, e esta percentagem aumenta quando o próprio código do programador contém vulnerabilidades. Esta é uma questão relevante o suficiente para que a GitHub seja rápida a avisar: "É responsável por garantir a segurança e a qualidade do seu código [quando utiliza o Copilot]".
Em 2023, prevemos que um programador ignorante e/ou inexperiente que seja excessivamente dependente do Copilot, ou uma ferramenta semelhante, irá lançar uma aplicação que inclui uma vulnerabilidade crítica introduzida pelo código automático.
Assista aqui ao vídeo onde Corey Nachreiner e Marc Lalibert falam sobre as suas reflexões sobre cibersegurança para 2023 e vote nas previsões que acha que vão acontecer no próximo ano.