Por Michelle Burrows, CMO, Splashtop
Jerry Hsieh tem estado na vanguarda da avaliação de riscos e segurança de TI durante os mais de vinte anos da sua carreira, mais recentemente como Diretor Sénior de Segurança e Conformidade na Splashtop, onde desempenhou uma variedade de funções de TI e Segurança nos últimos dez anos. Não há muito tempo, falou com a CMO da Splashtop, Michelle Burrows, sobre o que o levou a interessar-se pela segurança e como pensa em manter os sistemas seguros, especialmente com o aumento das violações de segurança altamente publicitadas nos últimos meses.
Michelle Burrows: Jerry, obrigado por se juntar a nós. Embora a segurança tenha sido notícia ultimamente, tendeu a ser quase uma reflexão tardia no passado. Como surgiu o seu interesse pela segurança?
Jerry Hsieh: Você está exatamente certo – eu tenho focado em segurança há muito tempo e, há muitos anos, as empresas tendiam a não pensar muito em segurança. Tive uma experiência alarmante em 2003 e acabou por cimentar o meu interesse pela segurança e avaliação de riscos.
Michelle Burrows: Isso soa ameaçador, por favor, diga-me mais.
Jerry Hsieh: A empresa para a qual eu trabalhava foi uma das vítimas de um ataque DDoS SMTP que acabou derrubando serviços de e-mail corporativo, incluindo grandes empresas e a que eu estava na época. Lembro-me do momento tão claramente porque coincidia com o meu casamento e era a razão pela qual eu não podia realmente me divertir por causa do que estava acontecendo no escritório.
Também me mostrou em primeira mão o impacto de algo assim. Tínhamos trabalhado com uma empresa que estava a fazer filtragem de e-mail para proteger empresas como a minha e outras de um ataque como este e elas acabaram por encerrar por causa deste ataque.
Também vi outro incidente em primeira mão que ocorreu quando um arquivo de produto foi categorizado como um vírus depois que o fornecedor de AV atualizou a definição. A equipe de TI e a equipe de engenharia passaram inúmeras noites acordadas e tentando resolver o incidente, pois todos os sistemas foram afetados e tivemos muito trabalho a fazer para limpar arquivos, trabalhando com nosso fornecedor de antivírus e corrigindo as definições do que foi definido como um ataque.
Michelle Burrows: Uau, acho que ter seu casamento interrompido seria uma maneira memorável de descobrir todas as coisas para não fazer na arena de segurança. Conte-me sobre outras experiências iniciais que você teve com segurança.
Jerry Hsieh: Trabalhei com outra empresa na indústria de semicondutores como engenheiro de segurança. Nessa altura, trabalhámos na segurança principalmente para impedir a violação de patentes. A empresa contratou muitas pessoas de segurança, pois éramos menos caros do que uma sala cheia de advogados. Esta experiência fez-me ver a segurança como uma forma de proteger a propriedade intelectual de uma empresa.
Michelle Burrows: Neste momento, parece que ouvimos falar de alguma violação de segurança ou ataque de ransomware quase diariamente. O que as empresas podem fazer para se proteger?
Jerry Hsieh: Perguntam-me isto e penso muito nisso. Na minha opinião, o elo mais fraco é geralmente o utilizador final. A maioria das breeches são causadas por um erro simples – um funcionário clicando em um link prejudicial, salvando um arquivo danificado, usando uma senha fraca ou encaminhando algo. Um único utilizador pode, então, comprometer todo o sistema.
Michelle Burrows: É muito interessante que um funcionário possa acidentalmente causar muitos danos. Acho que muitas pessoas pensam que não serão vulneráveis a um incidente como este porque têm um firewall. Pode comentar isso?
Jerry Hsieh: Um firewall geralmente dá às pessoas uma falsa sensação de segurança. Ouvirei alguém dizer: "Não serei vítima de um ataque porque tenho um firewall". O que eles não consideram é que, embora você possa colocar todos os tipos de proteção em torno de sua rede, uma de suas maiores ameaças pode realmente ser interna. Um firewall não resolve seus problemas de segurança, especialmente quando os hackers estão ficando cada vez mais criativos para atrair os funcionários a clicar em algo para entrar em seu sistema.
Michelle Burrows: Se um firewall não é a única resposta para violações de segurança, o que você recomenda?
Jerry Hsieh: Eu recomendo três áreas para prestar atenção:
Formação do utilizador final / formação de sensibilização - Para mim, este é um dos itens mais importantes para se concentrar e desde que eu entrei na Splashtop, eu envio continuamente lembretes sobre os riscos de segurança. Garanto que todos vejam a mensagem e que todos os funcionários saibam o quão importante é estar vigilante. Ajuda que o nosso CEO, Mark Lee, acompanhe com mensagens para a nossa empresa que enfatizam a importância da segurança e que é responsabilidade de todos. Quando as pessoas sabem que é algo importante para o CEO, tendem a prestar mais atenção.
Políticas de segurança - Muitas empresas têm políticas de segurança, mas devem ter práticas para monitorá-las e testá-las constantemente. Ter uma política é um bom primeiro passo, mas aplicá-la é ainda mais crítico.
Testes de penetração contínua - A integração contínua e a entrega/implantação contínua (CI/CD) têm sido adotadas por muitas empresas. É importante "testar" constantemente sua rede, aplicativos para ver se alguma vulnerabilidade está sendo criada durante o Ciclo de Vida de Desenvolvimento de Software (SDLC).
Michelle Burrows: Tenho certeza de que, quando você diz às pessoas o que faz para viver, algumas podem sentir que precisam "confessar" suas próprias más práticas. Que prática questionável lhe dá mais pausa ou preocupação?
Jerry Hsieh: Eu não costumo ter ninguém me dizendo sobre o que eles fazem, o que pode ou não ser uma boa prática. Descobri que a maioria das pessoas não sabe o que é cibersegurança na prática. Eles veem na TV ou em um filme e assistem como um "bandido" com um único comando, derruba um sistema inteiro. E então eles também podem pensar que estão a salvo disso devido ao seu firewall. O que eles não entendem é que o "bandido" pode ser um único usuário na sua empresa. Poucos incidentes de violação de dados são causados por funcionários que se tornam desonestos. O que as empresas realmente precisam adotar é uma filosofia de "não confiar em ninguém". "Não confiar em ninguém" é um dos principais princípios do Zero Trust Access (ZTA) que estou vendo adotados cada vez mais amplamente.
O outro equívoco que algumas pessoas têm sobre segurança cibernética é que é algo que você pode "terminar". A cibersegurança é algo que nunca é "feito" e há sempre margem para melhorias.
Michelle Burrows: Neste momento, há muita atenção sobre segurança – do CEO aos investidores e conselhos. Com o que as empresas devem estar mais preocupadas?
Jerry Hsieh: As empresas precisam se preocupar com uma série de áreas.
Devem proceder a uma avaliação dos riscos exaustiva e honesta. Quando sua empresa é atacada, isso prejudica sua marca e corrói a confiança de seus clientes, funcionários e até mesmo do seu conselho. Deve avaliar o seu risco regularmente.
Monitorize todos os softwares, fornecedores de serviços e hardware na sua rede. Muitos departamentos estão frequentemente disputando o tempo de TI e querem trazer as ferramentas "mais recentes e melhores" para tudo, de pesquisas com clientes a marketing e de desenvolvimento ágil a controle de despesas. No entanto, cada fornecedor, software ou hardware pode estar vulnerável a um ataque. Você deve monitorar constantemente suas vulnerabilidades e garantir que os funcionários estejam atualizando seu software e/ou que a equipe de TI faça patches proativamente, enviando atualizações proativamente.
Faça a sua pesquisa. Existem agora milhões de produtos por aí e acompanhá-los e aos bugs que eles podem introduzir no seu sistema é um trabalho sem fim. Sua equipe de segurança precisa monitorar e pesquisar vulnerabilidades constantemente.
Saiba que o vetor de ataque mudou. Os hackers ficaram muito mais inteligentes ao longo dos anos e mudaram a forma como atacam. Embora um e-mail perigoso possa ter sido aparente apenas alguns anos atrás, agora esses e-mails são personalizados, a fim de torná-lo mais provável de fazer alguém clicar. Você deve testar seus funcionários constantemente para que a segurança esteja sempre em primeiro lugar.
Michelle Burrows: Recentemente houve um anúncio sobre as VPNs serem uma porta de entrada para um ataque. Na sua opinião, por que as VPNs (Redes Privadas Virtuais) são especialmente vulneráveis?
Jerry Hsieh: Sim, as VPNs têm sido uma porta de entrada para ataques ao sistema muito mais ultimamente.
Na minha opinião, as VPNs estão sendo usadas com mais frequência para ataques de ransomware por alguns motivos:
A VPN é uma tecnologia antiga e foi introduzida no final dos anos noventa. Quando uma determinada tecnologia existe há tanto tempo, é mais provável que haja uma falha de design ou um bug de software crítico específico do fornecedor, pois não sabíamos então tudo o que entendemos agora. Como exemplo, configurei a minha primeira VPN em 1999, baseando-me apenas em comandos e utilizando interfaces de utilizador (IU) algo amigáveis. Penso nessa experiência e não mudou muita coisa e a configuração errada por alguém é muito provável.
Uma VPN depende de o teu departamento de TI a configurar corretamente. Muitas vezes vejo que as VPNs são exploradas porque não há uma maneira padrão de configurar, operar e distribuir o acesso. Cada departamento de TI irá configurá-lo de uma forma que faça sentido para eles e que introduza riscos.
Os computadores domésticos são utilizados numa VPN. Se um funcionário estiver a trabalhar a partir de casa e precisar de aceder a ficheiros no trabalho, não existe uma forma simples de impedir que o funcionário utilize um sistema não emitido pela empresa para estabelecer o acesso VPN. Existem ferramentas para ajudar com isso, mas elas tendem a ser super caras e intensivas em recursos.
Podes mitigar o ponto acima com uma política que instrua os teus empregados que apenas podem utilizar o seu computador de trabalho para aceder à VPN. Isso introduz outra área de risco – as redes públicas. Se alguém estiver a viajar e se ligar através de uma VPN através de uma rede de acesso público, está inerentemente sujeito a ataques.
Michelle Burrows: Que alternativas podem as empresas utilizar em vez de uma VPN? Há alguma desvantagem nessa alternativa?
Jerry Hsieh: Eu sei que isso soa super autopromocional, mas a melhor alternativa é alavancar uma solução de acesso remoto. E, sim, isso inclui o Splashtop. O Splashtop ajuda a mitigar os riscos inerentes às VPNs porque te permite transmitir apenas o teu ambiente de trabalho. Isso significa que os dados em sua rede corporativa estão protegidos, pois você pode apenas visualizar os dados. Todos os dados ainda estão dentro da sua rede corporativa.
Em contrapartida, quando estou numa VPN, posso começar a descarregar o que quiser, o que significa que os piratas informáticos podem fazer o mesmo. Quando utilizo uma ferramenta como o Splashtop, posso ver e operar ou utilizar o ficheiro, mas não posso transferi-lo. Posso configurá-lo para que apenas computadores locais possam acessá-lo.
Além disso, como estamos a falar de segurança, o Splashtop oferece muitas outras funcionalidades de segurança, como a autenticação de dispositivos, a autenticação de dois factores (2FA), o início de sessão único (SSO) e muito mais. Todas estas caraterísticas de segurança adicionais são coisas que uma VPN não pode oferecer.
Você perguntou sobre as desvantagens da tecnologia de acesso remoto. A única desvantagem é que há uma curva de aprendizado à medida que as pessoas adotam soluções de acesso remoto. Mas, como o Splashtop foi concebido originalmente para o mercado de consumo, o tempo necessário para o aprenderes é mínimo. E por mínimo, quero dizer dentro de alguns minutos para o usuário médio.
Michelle Burrows: Fala-me mais sobre uma VPN vs. Splashtop?
Jerry Hsieh: Por vezes ouço dizer que a diferença pode ser um investimento fixo em comparação com o modelo de subscrição que o Splashtop oferece quando comparas os preços de uma VPN e do Splashtop. Uma VPN é um investimento a longo prazo que algumas pessoas podem fazer uma vez. Mas esquecem-se de que as gateways VPN se avariam frequentemente e que investir numa gateway de reserva é dispendioso. Além disso, uma VPN requer manutenção - para actualizações de vulnerabilidades e correcções. O Splashtop assume a manutenção e a segurança. O Splashtop não necessita de manutenção e está disponível vinte e quatro horas por dia, sete dias por semana.
Michelle Burrows: Quando você não está obcecado por segurança, o que você faz para se divertir?
Jerry Hsieh: Como você provavelmente percebeu, eu não tenho muito tempo de inatividade. Quando tenho tempo livre, gosto de jogar golfe. Minha esposa pode não ser louca pelo meu papel, mas eu adoro ficar por dentro das tendências de segurança e do trabalho que faço todos os dias.
