O ano passado (2022) foi sem precedentes para a segurança cibernética, tanto para o bem quanto para o mal. Do lado positivo, vimos o aumento do uso de autenticação sem senha e multifator (MFA) e métodos ZERO TRUST, no negativo, o custo das violações de dados atingindo um recorde histórico, o aumento do cibercrime comoditizado (ransomware-as-a-service) e violações massivas do Twitter, WhatsApp, Rockstar e Uber para citar casos internacionais e Golden Cross, BRB e TV Record e Prefeitura do Rio para citar alguns no Brasil.
O que veremos em 2023?
Foi a “singela” pergunta que o portal “VentureBeat fez a vários líderes de segurança da AWS.
As incríveis e objetivas respostas que eles receberam, você lê aqui, neste que muito provavelmente será um dos melhores conteúdos de segurança que você terá lido neste ano.
Confira abaixo as respostas e reflita sobre o que vem por aí em segurança cibernética irá impactar a segurança de sua empresa e até mesmo sua carreira.
MFA se tornará difundido
“A adoção de MFA [autenticação multifator] continuará a crescer tanto para uso comercial quanto pessoal, incluindo o aumento do uso de formas biométricas de autenticação que melhoram a segurança e a conveniência (ou seja, desbloqueio de dispositivos com impressão digital ou identificação facial).
“Ao seguir nessa direção, o futuro da MFA combinará segurança robusta com usabilidade, garantindo que os usuários tenham uma experiência sem atrito e melhorando sua postura de segurança. Como uma das proteções mais simples e importantes, a MFA está sendo incentivada como proteção on-line de linha de base pela FIDO Alliance, NIST e pelo governo dos EUA, que recentemente emitiu uma declaração instando todas as empresas a adotá-la.
“A maior prioridade que os governos e as organizações de segurança proeminentes colocaram na segurança nos últimos anos significa que o MFA precisará ser usado ainda mais para atender às demandas e expectativas cada vez mais rigorosas de segurança.
“As organizações devem monitorar os avanços antecipados em MFA nos próximos anos para ver como podem melhorar um recurso existente ou criar novos recursos de MFA na cultura e nos processos de sua organização.”
– CJ Moses, CISO for AWS Security
Diversidade de Pessoas reduz falta de talentos e melhora segurança
“A necessidade de lidar com a escassez contínua de talentos na área de segurança será uma prioridade para muitas organizações. Em 2023, as organizações perceberão cada vez mais que atrair os melhores talentos de diversas origens não apenas ajudará a preencher vagas críticas, mas também ajudará as organizações a melhorar sua postura geral de segurança.
“As pessoas constroem, criam, pensam e entregam de maneiras diferentes, e esse é um grande benefício quando se trata de resolver as necessidades de segurança em evolução. Com uma mentalidade mais diversificada, entram em jogo diferentes pontos de vista que permitem que as equipes de segurança tenham perspectivas novas e exclusivas nos cenários digital e físico que devem manter seguros.
“Novas formas de pensar podem ser transformadoras para as equipe de segurança porque reduzem anos de preconceito e pensamento de grupo e ajudam a eliminar as limitações de crenças. Diversas formações e equipes também ajudam a identificar como apoiar as principais iniciativas e metas de negócios. A segurança não é mais o ‘departamento do não’, é o ‘departamento do ‘como posso ajudar?
– Jenny Brinkley, diretora da Amazon Security
A colaboração melhorará a preparação e a resposta a incidentes
“O setor de segurança e o ambiente digital que ele suporta estão se beneficiando das colaborações observadas em 2022, e essa tendência continuará. O modelo ‘melhor juntos’ ganhará impulso em 2023 e além.
“Por exemplo, à medida que o Open Cibersecurity Schema Framework recém-estabelecido ganha novos membros, as defesas coletivas serão aprimoradas, permitindo que as equipes de segurança correlacionem mais fontes de dados com mais facilidade, façam seus trabalhos com menos tempo gasto na troca de dados e usem dados aprimorados para melhorar proativamente posturas de segurança.
“Mais empresas verão valor em contribuir com esforços e projetos de engenharia, ferramentas, treinamento e diretrizes para ajudar a padronizar ferramentas de segurança e formatos de dados em todo o setor, incluindo contribuições significativas de membros da Open Source Security Foundation (OpenSSF).”
– Mark Ryland, diretor do escritório do CISO, AWS Security
As melhores práticas de treinamento inspirarão ações e melhorarão a segurança
“Treinamento e educação são fundamentais para a implementação de bons controles de segurança. Mesmo com as ferramentas mais robustas e modernas, a segurança só é eficaz quando as pessoas sabem o que fazer e como fazer. Qualquer pessoa que trabalhe com dados ou construa ferramentas e sistemas para armazenar dados deve estar inserida na proteção desses dados.
“A maioria dos funcionários não trabalha com segurança, nem tem ‘segurança’ em seus cargos, o que pode levá-los a acreditar que o problema é ‘consertado’ por outra pessoa. Organizações de todas as formas e tamanhos devem inspirar os funcionários a se preocuparem com a segurança e capacitá-los a tomar ações significativas para garantir resultados seguros. O treinamento de segurança precisa incluir uma mentalidade completa que ajude todos a adotar a segurança como uma questão de negócios em todos os níveis de uma empresa.
“À medida que procuramos continuamente maneiras de envolver os funcionários e melhorar os resultados de segurança, as novas práticas recomendadas incluem o desenvolvimento de planos de aprendizado individualizados e multimodais que contêm uma mistura de apresentações, discussões e laboratórios práticos que atraem criativamente todos os estilos de aprendizado. Ajudar os funcionários a entender claramente o “porquê” por trás das práticas recomendadas de segurança é fundamental. Isso pode ser feito compartilhando exemplos do mundo real, lições aprendidas e estudos de caso que ilustram por que a segurança deve vir em primeiro lugar em tudo o que fazem.
“Tanto para funcionários técnicos quanto não técnicos, entender como o comportamento pessoal afeta a segurança , tanto positiva quanto negativamente, cria o senso de responsabilidade compartilhada que resulta em melhor higiene de segurança e prioriza a segurança como um recurso – não uma reflexão tardia. O treinamento de segurança multimodal é complementado por um modelo de conscientização contínua que cultiva uma cultura de segurança em um esforço diário para informar e envolver os funcionários, enquanto aumenta seu trabalho.”
– Jyllian Clarke, Chefe Global de treinamento de segurança, Amazon Security
A segurança incorporada se tornará mais tangível com Infraestrutura como Código (IaC)
“A segurança continua sendo uma prioridade e as entidades migrarão cada vez mais para a nuvem porque desejam mudar para testes ”shift left” para incorporar a segurança no início do ciclo de desenvolvimento do produto para obter abordagens melhores e mais escaláveis para o desenvolvimento de software. Agora que os provedores de nuvem removeram o trabalho pesado indiferenciado de construir e manter data centers e investiram no desenvolvimento de hardware seguro, o poder e a flexibilidade da nuvem permitem que as entidades aumentem e diminuam ambientes imutáveis e efêmeros.
“Este é um facilitador de negócios claro: ele permite que os desenvolvedores se movam rapidamente e criem segurança . [e] incluindo controles de segurança, permissão e proteção – em outras palavras, agora eles também podem fazer segurança como código. E eles podem validar ou raciocinar sobre essas permissões, usando métodos formais semelhantes à matemática.
“Esses ambientes com considerações de segurança incorporadas são as ‘estradas pavimentadas’ que as equipes de segurança ajudam a definir e refinar, permitindo que os desenvolvedores criem (e dissolvam) ambientes rapidamente. O resultado é mais automação, menos revisão manual de ambientes únicos ‘snowflake’, melhores experiências de construtor e segurança em escala. À medida que a adoção da nuvem aumenta, ‘nuvem’ e ‘segurança’ estarão ainda mais interligados, pois a nuvem capacita os construtores a incluir considerações de segurança em suas decisões de código e arquitetura.
“Estou ansioso por isso como um exemplo de incorporação da primazia da segurança em todas as equipes: tornar a coisa segura a fazer, a coisa fácil de fazer.”
– Merritt Baer, diretor do escritório do CISO, AWS Security
As organizações aumentarão o investimento e se concentrarão na resiliência dos negócios
“À medida que a transformação digital e os programas de adoção da nuvem se consolidam em todos os setores, a segurança e a resiliência operacional receberão maior escrutínio das partes interessadas, acionistas, conselho de administração, seguradoras e outros. Testar planos e procedimentos de continuidade de negócios uma ou duas vezes por ano pelo departamento de TI não será mais suficiente.
“Arquiteturas técnicas resilientes e altamente disponíveis e processos de negócios de suporte devem ser desenvolvidos e inspecionados quanto ao que poderia dar errado no pior cenário. Os orçamentos incluirão itens de linha de ‘manutenção e melhoria contínuas’ que garantirão que os sistemas sejam não apenas de alto desempenho, mas também seguros e resilientes até que sejam desativados. Com o poder da automação e a escala das tecnologias de nuvem, não será mais apenas um sonho reconstruir e reidratar ambientes seguros e resilientes sem intervenção humana.
“Os líderes de negócios se tornarão mais fluentes digitalmente e farão investimentos que realmente mudarão a maneira como fazem negócios (inovação, estruturas organizacionais, processos de negócios, atualização/recapacitação) e como se preparam para eventos que desafiam a resiliência de sua organização. O C-suite e o conselho participarão regularmente de exercícios de mesa/dia de jogo, respondendo à pergunta ‘e se?’ pergunta.
“’E se’: Nós vivenciamos um evento cibernético (em nossa infraestrutura ou na de um de nossos fornecedores/parceiros)?; um sistema crítico de negócios está indisponível?; somos afetados negativamente por uma crise econômica/emergência de saúde global/turbulência/guerra relacionada ao clima; ou outro evento.
“Com a prática, os líderes se sentirão mais à vontade em se sentir desconfortáveis e aceitarão o fato de que não existe mais ‘normal’ nos negócios. No entanto, continuando a aprender e se transformar (não há ‘fim’ para uma transformação digital), as empresas se tornarão mais seguras e resilientes em 2023.”
– Clarke Rodgers, Diretor de estratégia corporativa da AWS
Visibilidade melhorará com ferramentas criadas especificamente
“Transformação digital acelerada, trabalho remoto, mais dispositivos conectados, novas tecnologias e demanda por mobilidade e acesso criam ambientes cada vez maiores para as equipes de segurança protegerem. Mais e mais sinais de segurança de organizações inteiras gerarão volumes crescentes de registros e dados de eventos díspares que devem ser coletados, investigados e respondidos rapidamente para resolver problemas potenciais com eficiência.
“Nos próximos meses e anos, o aumento da implantação de ferramentas específicas, como data lakes de segurança, permitirá que as equipes de segurança centralizem automaticamente, acessem com facilidade e analisem com mais eficiência todos os dados de segurança da nuvem e de fontes locais. Essa maior visibilidade significa que mais ameaças e vulnerabilidades potenciais podem ser identificadas proativamente para ajudar a prevenir futuros eventos de segurança.”
– Rod Wallace, Gerente geral Amazon Security Lake
A segurança na nuvem aumentará com o raciocínio automatizado
“ A Automação de Raciocinio nos permite responder com precisão a muitas perguntas de segurança proativas em segundos — ou mesmo milissegundos — o que, de outra forma, levaria bilhões de anos com testes de força bruta. No futuro previsível, prevê-se que as ferramentas de raciocínio automatizado dupliquem em capacidade e desempenho a cada ano. Esta previsão é baseada em três observações:
-
- Praticamente todas as ferramentas de raciocínio automatizado são baseadas na tradução de problemas para solucionadores de satisfatibilidade para lógica matemática. Ao comparar as últimas duas décadas de solucionadores de satisfatibilidade de maçã para maçã nos mesmos benchmarks e hardware (permitindo-nos fatorar a lei de Moore), vemos que eles já aumentaram em capacidade e desempenho em 20% ao ano.
-
- A lei de Moore continua a nos fornecer poder computacional adicional, anualmente crescente, para problemas que podem ser paralelizados e distribuídos.
-
- Resultados científicos recentes nos fornecem um novo método inovador de distribuição do trabalho de resolução de satisfatibilidade entre microprocessadores que fornece acelerações próximas ao limite teórico da lei de Amdahl.
“Quando esses três pontos são somados, os cálculos apontam para a possibilidade de duplicação anual de capacidade e desempenho. Essa capacidade crescente revelará novas e revolucionárias ferramentas de segurança na nuvem que são inimagináveis hoje.”
– Byron Cook, VP and distinguished scientist for automated reasoning at AWS
As equipes de segurança levarão mais a sério a criptografia resistente a computação quântica
Em 2023, as organizações começarão a dobrar a agilidade criptográfica. A esperada primeira especificação do Instituto Nacional de Padrões e Tecnologia (NIST) do processo de padronização de criptografia pós-quântica (PQC) e a Lei de preparação para segurança cibernética de computação quântica levarão os líderes de TI a começar a transição dos sistemas criptográficos clássicos para novos pós -algoritmos quânticos.
Também veremos a indústria e o governo desenvolverem estratégias de migração para casos de uso conhecidos de criptografia. Por exemplo, com o surgimento do estabelecimento de chave híbrida, o uso de métodos clássicos de estabelecimento de chave – como a curva elíptica Diffie-Hellman combinada com um novo mecanismo de encapsulamento de chave pós-quântica, como Kyber – será usado na primeira iteração do pós quântico Lei de preparação para segurança cibernética de computação quântica padrões para fornecer confidencialidade de longo prazo contra possíveis adversários quânticos futuros”.
– Matthew Campagna, engenheiro principal sênior de criptografia da AWS
Se você chegou até aqui, espero que assim como eu, você também esteja empolgado e desafiado com tudo que vem pela frente em Segurança da Informação. Muito do que você leu neste post já é realidade em nosso trabalho aqui na Infomach, outros temas ainda não estão em nosso dia a dia, mas a partir de agora entram em nosso radar. Adoraria falar com você sobre temas mencionados aqui e principalmente como eles podem contribuir para aumentar a eficência da segurança e da continuidade das operações de sua empresa.
Antonio Luiz Alves, Fundador e Diretor da Infomach, meu telefone é 62 – 981217000
AWS security heads offer top cybersecurity predictions for 2023