Já tivemos o primeiro grande incidente de segurança cibernética relacionado à API em 2023, e o ano mal começou. A violação da T-Mobile API expôs as informações de identificação pessoal (PII) de 37 milhões de clientes. O ataque à API estava ocorrendo desde novembro, mas não foi descoberto e divulgado até 19 de janeiro, ilustrando a ameaça da abordagem”baixa e lenta”dos ataques à API, que estão aumentando em um ritmo constante. Seguindo pesquisa de Sam Curry que descobriu centenas de vulnerabilidades de API no setor automotivo indústria-da Mercedes-Benz à Nissan, da Kia à Ferrari e muito mais-não é surpreendente que 2023 tenha sido apelidado de”O Ano da Segurança de API”.
Infelizmente, as ameaças não param na segurança da API. As organizações de hoje–e o mundo–enfrentam riscos de segurança excessivos. Que outras ameaças e tendências podemos esperar para o próximo ano?
Os ataques automatizados direcionados à infraestrutura do sistema de controle industrial (ICS) explodirão em 2023, seguindo uma cadência do tipo ransomware e projetado para interrupção máxima.
A guerra em curso na Ucrânia certamente será um fator. Podemos ver interrupções cibernéticas no ICS provenientes de origens reais de estados-nação (ou seja, Rússia) ou de equipes que pretendem ser patrocinadas pelo governo russo. O ICS direcionado provavelmente estará nos EUA, Reino Unido e similares. A Ucrânia também verá ataques de ICS como aconteceu na Rússia em 2015.
Para explorações esperadas, ainda não vimos o Stuxnet em escala e mais de 12 anos se passaram desde esse evento. Nossa modelagem de ameaças sugere que uma série repetida de ataques contínuos do tipo Stuxnet em escala ocorrerá, e o acesso malicioso automatizado por meio de APIs públicas será um vetor importante.
Jeff Farinich, SVP Technology e CISO, New American Funding
Ataques recentes provam que a autenticação multifator (MFA) não é mais suficiente, exigindo a adoção de autenticação sem senha para maior proteção.
A segurança na nuvem não está mais limitada à infraestrutura como serviço (IaaS), a adoção generalizada de aplicativos baseados em nuvem requer gerenciamento de postura de segurança de software como serviço (SaaS).
O navegador tornou-se o espaço de trabalho principal, mas continua bastante inseguro, exigindo navegadores ou plug-ins corporativos para fornecer controles de segurança granulares.
A expansão dos regulamentos com ações de fiscalização mais fortes em nível federal (FTC, SEC) e estadual (Califórnia, Colorado, Connecticut, Nova York, Utah e Virgínia) exigirá o amadurecimento de controles, políticas e práticas para proteger ainda mais os dados do cliente.
Michael Farnum, CTO, Set Solutions, Inc.
À medida que os fornecedores de SaaS continuam a aumentar em número, e PaaS e ferramentas de código baixo/sem código permitem o movimento do desenvolvedor cidadão, Funcionários que não são de TI criarão cada vez mais aplicativos e funcionalidades sem o envolvimento da TI e da segurança. As empresas terão dificuldade para avançar (e permanecer à frente) da TI paralela à medida que funcionalidades mais complicadas são incorporadas a aplicativos e APIs não sancionados/não federados.
Os CISOs primeiro precisam garantir que a política e a educação estejam em vigor para que os funcionários entendam o perigo e as possíveis consequências de implementações não federadas de SaaS e PaaS. Em segundo lugar, as ferramentas em torno da descoberta, federação, controle e exclusão de ferramentas SaaS e PaaS devem ser investigadas agora para colocar a sombra de TI sob controle (mesmo que eles não saibam que têm esse problema).
Richard Stiennon, analista-chefe de pesquisa, IT-Harvest
Dois anos atrás, aprendemos sobre um dos ataques diretos com maior potencial de dano de todos os tempos–a corrupção de uma atualização de software SolarWinds.
Processos de CI/CD inseguros não são os problema raiz. O verdadeiro problema é que passamos décadas persuadindo as equipes a corrigir imediatamente. Examine os sistemas continuamente, classifique as vulnerabilidades descobertas por gravidade ou”risco”e patch, patch, patch.
As atualizações de software malicioso não são novas. Durante as Olimpíadas de Atenas em 2004, os interruptores da Ericsson no provedor grego de telecomunicações foram atualizados para ativar a interceptação legal padrão e atletas, funcionários olímpicos e políticos tiveram seus telefones grampeados ilegalmente. O NotPetya, um worm malicioso semeado na Ucrânia, surgiu de uma atualização comprometida de uma empresa de software de contabilidade. E o malware FLAME foi entregue por meio de uma atualização falsificada da Microsoft para alvos específicos.
Em 2023, receberemos mais lembretes de que não podemos confiar em atualizações de software, mesmo que sejam assinadas, seladas e entregues diretamente da cadeia de suprimentos. Devemos procurar maneiras de nos defender agora, antes dos próximos SolarWinds.
Patricia Titus, Diretor de privacidade e segurança da informação, Markel Corporation
O mercado de trabalho de segurança cibernética continuará lutando para preencher vagas e diversificar. Talentos qualificados com experiência em operações de segurança e engenheiros de identidade serão difíceis de encontrar e reter. Os profissionais de segurança cibernética exigirão mais benefícios, como trabalho remoto e remuneração excessiva.
Os CISOs também serão afetados, pois exigem seguro de diretores e executivos, indenização e benefícios pré e pós-emprego. Eles podem optar pela função número dois para evitar riscos ou sair completamente da posição, aumentando a lacuna de liderança em segurança cibernética.
O alvo da oportunidade sempre será o elo mais fraco da armadura-os humanos. Com agentes de ameaças sofisticados criando campanhas de phishing mais realistas e a prevalência de bombardeio/fadiga de autenticação multifator (MFA), os invasores continuarão a entrar nos sistemas de e-mail, com a intenção de desviar transações financeiras para contas bancárias fraudulentas.
Daniel van Slochteren , diretor de inovação da Linha Aberta
Investimentos em tecnologia não compensam. A maioria das empresas investe em segurança cibernética impulsionada pela tecnologia, com os seguintes resultados: nenhuma visão geral, custos exorbitantes e soluções que são bandagens, mas não estancam o sangramento.
As organizações devem conectar os investimentos em segurança cibernética a possíveis riscos de negócios digitais que poderia impactar seriamente os principais objetivos de negócios.
As empresas precisam de uma abordagem’de cima para baixo’, na qual os objetivos de negócios e a pesquisa sobre riscos de negócios conduzam sua tomada de decisão. A criação de possíveis cenários baseados em risco e casos de uso baseados em risco permite que as empresas determinem quais registros, ferramentas e software são necessários para gerenciar os riscos de negócios digitais. Ao focar no que realmente importa, as empresas ganham controle sobre as medidas e investimentos em segurança cibernética.
Colin Williams, CTO da linha de negócios, Computacenter UK
As organizações agora enfrentam um desafio adicional, potencialmente tão grande quanto o ciber batalha de defesa travada todos os dias–complexidade.
Manter ambientes de segurança corporativos caros e altamente complexos, enquanto enfrenta o maior desafio de encontrar profissionais de segurança qualificados para mantê-los, pode deixar as organizações com um estado operacional incontrolável e inseguro. A primeira iniciativa para 2023 é investigar as soluções de segurança existentes para áreas de sobreposição e eliminar essa duplicação. As únicas novas”balas de prata”de segurança a serem introduzidas devem fornecer proteções claras e diferenciadas que protejam os ativos atualmente inseguros. As empresas devem simplificar para reduzir custos, aumentar a visibilidade e aumentar a eficiência operacional. Concentre-se nas verdadeiras lacunas de cobertura de segurança e estabeleça as bases para aumentar o uso da automação.
À medida que avançamos em 2023, as empresas devem procurar se concentrar no que realmente importa para que possam obter controle sobre as medidas e investimentos em segurança cibernética.
Crédito da imagem: IgorVetushko/depositphotos.com
Michael Nicosia é COO e cofundador da Segurança do Salt