(em) Seguro é uma coluna semanal que se aprofunda no tópico em rápida escalada da segurança cibernética.
Conteúdo
- O problema
- Tudo leva de volta ao phishing
Tal como acontece com a segurança doméstica, as pessoas muitas vezes preferem não pensar na segurança cibernética depois de pagarem por ela. Eles preferem pagar e orar.
Mas como saber quando o software de uma empresa de segurança está funcionando? Com todos os bilhões de dólares investidos na proteção de nós mesmos e de nossos negócios on-line, por que os hacks parecem estar aumentando em termos de regularidade e danos?
Conversamos com Oren J. Falkowitz, um ex-funcionário sênior da NSA e do Comando Cibernético dos Estados Unidos, que tem uma ideia radical de como as empresas de segurança cibernética deveriam ganhar dinheiro.
O problema
Nosso fiasco moderno na segurança cibernética tem muitas causas. Talvez seja uma falta de financiamento e regulamentação governamental. Talvez sejam as grandes corporações de tecnologia que não se importam o suficiente com a privacidade. Talvez seja apenas uma questão de educar o público e explicar em termos simples o que está em jogo.
“As empresas gastam cerca de US$ 93 bilhões em segurança cibernética, sem fim à vista…”
Falkowitz tem uma opinião diferente. Ele acredita que o verdadeiro problema é que os lucros da segurança cibernética não estão vinculados ao desempenho. “Para nós, significa segurança cibernética baseada no desempenho e pagamento por resultados, não um fracasso”, disse ele à Digital Trends. “As empresas devem pagar pela segurança cibernética apenas quando e se ela funcionar conforme projetado.”
Não é assim que funciona hoje. Especialistas em segurança cibernética, empresas e software antivírus são apresentados e adquiridos como um plano de seguro. Você paga mensalmente e espera que nada de ruim aconteça. Se isso acontecer, eles ajudarão você a juntar as peças – e talvez tentarão vender mais segurança.
Segurança da Área 1, a própria empresa de segurança cibernética de Falkowitz, adota a abordagem oposta. A Área 1 chama a atenção para o facto de as pessoas “comprometerem-se com contratos de segurança com duração de três a cinco anos, gastando seis ou sete dígitos. Mas eles ainda não recebem o que pagam.” Falkowitz acredita que os clientes devem pagar apenas pelas tentativas de crimes que são interrompidas. É uma ideia semelhante aos programas de recompensa por bugs, que incentivam os hackers a encontrar – e depois divulgar – vulnerabilidades.
É sempre phishing
“As empresas gastam cerca de 93 mil milhões de dólares em segurança cibernética, sem fim à vista e, o que é pior, sem fim para a gravidade ou frequência dos ataques cibernéticos”, disse Falkowitz. “A segurança cibernética responsável e baseada no desempenho garantirá que os resultados sejam o que impulsionam as inovações futuras e os resultados bem-sucedidos nos modelos de negócios.”
Você pode se perguntar como uma empresa poderia permanecer no mercado se tivesse que provar constantemente aos clientes que os ataques estão sendo interrompidos. A Area 1 Security faz funcionar concentrando seus esforços em um aspecto específico da segurança cibernética – o phishing.
Tudo leva de volta ao phishing
“Phishing é o ataque que inicia o ataque, é a causa raiz de surpreendentes 95% de todos os danos”, disse Falkowitz. “A chave para a segurança cibernética baseada no desempenho é impedir o phishing.”
“Phishing é um ataque de engenharia social que depende da autenticidade para evitar a detecção.”
O phishing se tornou a ruína da existência da Internet. De malware a dados roubados, o phishing costuma ser o ponto de entrada para os piores ataques cibernéticos que já vimos. Geralmente assume a forma de um e-mail fraudulento, enviado a uma vítima inocente sob o disfarce de uma empresa ou organização oficial.
O e-mail solicitará que o leitor clique em um link – e quando isso acontecer, a armadilha do invasor será acionada. Embora simples, os hackers usaram o phishing para tudo, desde Desastre por e-mail da campanha de Clinton para o devastador Ataque de ransomware WannaCry de 2017.
“Phishing é um ataque de engenharia social que depende da autenticidade para evitar a detecção”, explicou Falkowitz. “Ele foi projetado para não ser pego por ninguém! É por isso que funciona tão bem. Além de eficaz, também é incrivelmente barato. É por isso que é tão bom economicamente ser um bandido na internet. Se você é um invasor e tem algo que funciona, contra o qual a maioria das empresas não consegue se defender, por que não continuar usando?”
O sistema da Area 1 Security afirma impedir 99,99% de todos os ataques de phishing, permitindo-lhes manter um registro dos ataques que estão prevenindo. A sua filosofia não é caçar os criminosos na Internet, mas sim deter aqueles que já batem à nossa porta.
“Até que tiremos o phishing como arma das mãos dos invasores, continuaremos nesta trajetória cada vez mais perigosa e cara.”
Talvez seja hora de começarmos a pedir mais às empresas que afirmam nos proteger. Afinal, desarmar os bandidos parece um plano muito melhor do que esperar que eles ataquem.
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.