11 chavões de cibersegurança que você deve parar de usar agora

Views: 136
0 0
Read Time:12 Minute, 10 Second

Esses chavões de segurança cibernética são imprecisos, desatualizados, enganosos ou até prejudiciais. Veja porque eles deveriam ser colocados de lado

Michael Hill, CSO

hackers cibersegurança
Foto: Shutter Stock

Palavras-chave e frases da moda sobre segurança cibernética são muito comuns. Usadas para simplificar terminologias complexas ou para impulsionar campanhas de vendas e marketing, os chavões são uma realidade inescapável para uma indústria inovadora e acelerada, como é a segurança da informação.

No entanto, esses termos nem sempre são úteis e podem ser imprecisos, desatualizados, enganosos ou até mesmo causar danos. Por exemplo, uma palavra da moda que explora o medo, a incerteza e a dúvida para maximizar uma agenda voltada para o lucro pode ser prejudicial, enquanto um termo legítimo e outrora útil pode ficar desatualizado, com o uso contínuo e a confiança nele impedindo entendimentos mais evoluídos do problema raiz.

Aqui estão os 11 chavões e frases sobre segurança cibernética que devem ser abandonados em 2021:

  • Ransomware
  • Zero trust
  • Whitelist and blacklist
  • AI-powered security
  • Cyber 9/11
  • Digital transformation
  • SIEM
  • People are the weakest link
  • Cybersecurity awareness
  • Cyber kill chain
  • Hacker

1. Ransomware

Apesar de ser um dos termos mais usados em discussões sobre ataques cibernéticos comuns, ransomware é tecnicamente uma definição inadequada que não se encaixa mais ao propósito, diz Charl van der Walt, chefe de Pesquisa de Segurança da Orange Cyberdefense. “É difícil escapar das menções de ransomware na agenda de notícias atual, mas, embora seja suficiente para descrever o assunto abrangente, fica aquém de capturar totalmente o que é de fato uma questão complexa e em evolução”.

O verdadeiro significado do ransomware está se perdendo na tradução e agora está sendo usado para definir um conjunto muito mais amplo de ataques cibernéticos do que sua definição real – malware que sequestra dados de um computador e exige resgate – abrange, diz van der Walt. “Isso cria confusão entre malware que faz criptografia, malware geral que é usado por atores de ransomware, e os próprios atores de ransomware. No centro do ransomware está o ato de extorsão e os cibercriminosos veem as empresas como alvos fáceis de extorsão – você só precisa olhar para os dados que sugerem quantas empresas agora pagam pedidos de resgate como prova”.

À medida que essa ameaça evolui, van der Walt propõe um novo termo: extorsão cibernética (ou Cy-X). Ele diz que isso resume melhor a história, a forma atual e o futuro potencial dessa onda de crimes, além de fazer a distinção entre extorsão como crime e ransomware como a ferramenta usada para cometê-lo.

2. Zero Trust

O Zero Trust, ou Confiança Zero, descreve a abordagem padrão de “não confie em nada” para proteger usuários e dispositivos. Tornou-se um dos maiores termos de marketing dos últimos anos, exacerbado pela mudança em massa para o trabalho remoto e a necessidade subsequente de métodos mais eficazes de segurança para acesso remoto à rede. No entanto, para Quentyn Taylor, diretor de Segurança da Informação da Canon Europe, o termo Zero Trust é amorfo demais. “É impossível saber se você realmente o alcançou e, de fato, não acredito que alguém o tenha feito ou pudesse fazer. O que me irrita muito sobre o conceito é que muitas pessoas falam sobre ele como se fosse novo, quando na realidade já falamos sobre desperimetrização há anos. Confiança zero é apenas um novo termo de marketing para o que temos tentado fazer há muito tempo”.

Paul Baird, CTSO da Qualys, concorda, acrescentando que Zero Trust é bom como um conceito, mas como palavra da moda é usado em demasia e de forma insuficiente. “Ele é constantemente usado fora do contexto, o que acaba criando confusão entre os responsáveis por implementá-lo. A confiança zero é uma ideologia que abrange pessoas, processos e tecnologia. Não é um produto que você pode simplesmente comprar na prateleira”.

3. Whitelist and blacklist

Os termos whitelist and blacklist, ou lista de permissões e lista de proibições, datam de alguns dos primeiros dias da segurança cibernética. Associando “white” [branco] com algo bom, seguro ou permitido e “black” [negro] com algo ruim, perigoso ou proibido, as frases ainda são comumente aplicadas para permitir ou negar o uso ou acesso relacionado a vários elementos, incluindo senhas, aplicativos e controles.

Harman Singh, consultor de Segurança Cibernética acredita que os termos precisam ser substituídos com urgência por causa de conotações raciais prejudiciais associadas a eles, sugerindo que “allow lists e deny lists” têm o mesmo propósito, sem conotações potencialmente prejudiciais ligadas à etnia e raça. “Esta é uma mudança tão pequena, mas significativa”, disse ele. “O NCSC [Centro de Segurança Cibernética Nacional do Reino Unido] fez essa mudança consciente no ano passado para evitar o tom racial. Ainda assim, apenas um punhado de empresas do setor pensou em fazer isso. Por que não seguimos todos este exemplo para eliminar esses termos?”

Em uma postagem no blog da agência, Emma W, chefe de Aconselhamento e Orientação do NCSC, escreveu: “Você pode não ver por que isso é importante. Se você não for afetado adversamente por estereótipos raciais, considere-se com sorte. Para alguns de seus colegas (e potenciais futuros colegas), essa é realmente uma mudança que vale a pena fazer”.

Uma das poucas empresas que deu esse passo é a Microsoft, abordando a linguagem não inclusiva como uma barreira para manter e desenvolver a diversidade na segurança cibernética. “Um relatório recente publicado pela UK Finance, EY e Microsoft descobriu que fazer alterações em linguagem não inclusiva na segurança cibernética e no local de trabalho mais amplo pode ajudar muito no apoio à diversidade”, disse Sarah Armstrong-Smith, consultora de Segurança Chefe da Microsoft. A Microsoft, portanto, não aceita mais ou faz referência a white/black list em fóruns técnicos, optando por “allow/block lists”.

4. Segurança alimentada por IA

O furor em torno do potencial da inteligência artificial (IA) e da tecnologia de machine learning para transformar a segurança cibernética tem estado em estado febril por quase uma década. Embora seja difícil encontrar um líder de segurança que não reconheça e tenha conhecimento da importância crescente da automação na segurança da informação moderna, a infinidade de argumentos de vendas de fornecedores de segurança que se tornam líricos sobre a mais recente solução de IA ou machine learning está se desgastando um pouco.

“Hoje em dia, independentemente da solução, a maioria dos fornecedores de segurança rapidamente menciona que seu produto é inteligente e integra IA e machine learning para impulsionar os processos de tomada de decisão. Eles parecem acreditar que é isso que queremos ouvir, quando na verdade parece que eles estão preenchendo uma planilha de bingo sem entender como sua solução realmente funciona ”, diz Guillaume Ehny, CISO na Gohenry. “Infelizmente, a declaração nunca vai além daquela frase. Quando solicitados a obter mais informações sobre o modelo deles, a resposta quase sempre é que “é uma caixa preta no motor, funciona por conta própria e nem precisamos nos preocupar com isso”. Eu entendo que uma IA/máquina produto com aprendizagem assistida pode ser uma vantagem e merece ser mencionada, mas a forma como é comunicado raramente ajuda”.

5. Cyber 9/11

O termo Cyber 9/11 foi cunhado pela primeira vez na esteira dos ataques terroristas coordenados contra os Estados Unidos pelo grupo militante islâmico Al-Qaeda em 11 de setembro de 2001. A frase se refere à ameaça hipotética de ataques cibernéticos relacionados ao terrorismo que têm o potencial para causar implicações significativas e generalizadas, incluindo medo, violência, ferimentos e morte.

As previsões de tais incidentes ainda não se materializaram, revelando um pequeno punhado de casos e, para Taylor, da Canon Europe, o 11 de setembro cibernético e outras referências de segurança cibernética semelhantes a eventos de notícias importantes não devem ser usados. “Isso desonra as pessoas que foram afetadas por esses incidentes na vida real. Além disso, esses tipos de termos costumam ser usados como pura hipérbole. Felizmente, ainda não vimos um incidente de segurança cibernética que teve o mesmo nível de impacto que este [11 de setembro] ou qualquer outro evento ao qual certos comentaristas gostam de vincular. Quanto mais cedo pudermos deixar de tentar vincular incidentes cibernéticos a incidentes do mundo real que resultaram em perdas significativas de vidas, melhor, e mais a sério nosso setor será levado como resultado”.

6. Transformação digital

Embora a transformação digital seja uma frase da moda da era moderna movida pela nuvem, Matt Rider, vice-presidente de Engenharia de Segurança da Exabeam, acredita que qualquer referência à transformação digital é apenas descrever o que as organizações têm feito nos últimos 50 anos. “O fato é que a transformação não é nada novo. Tudo está sempre evoluindo, se transformando continuamente. Este termo não é uma epifania repentina que pegou a indústria de assalto”.

Flashback do início dos anos 1900 e da revolução industrial, onde Henry Ford modernizou a produção da linha de montagem. Seu conhecimento de tecnologia emergente e liderança transformacional inspirou uma nova maneira de trabalhar, acrescenta Rider. “Foi uma mudança tecnológica que teve uma influência monumental e mudou o mundo do trabalho como eles o conheciam na época. As organizações que vi terem sucesso têm a cultura certa, não as ferramentas certas. Se você não está “transformado digitalmente” agora, você está fora do jogo. Eu voto que todos nós pulemos fora do movimento da transformação digital”.

7. SIEM

Gerenciamento de Informações e Eventos de Segurança (SIEM) define produtos e serviços de software que combinam gerenciamento de informações de segurança (SIM) e gerenciamento de eventos de segurança (SEM). Como um acrônimo e uma oferta de produto, SIEM é vendido por aparentemente incontáveis fornecedores de segurança cibernética.

No entanto, Allie Mellen, analista de Segurança e Risco da Forrester, diz que tem um longo legado em conformidade e não representa necessariamente onde os SIEMs estão hoje. “Os SIEMs agora estão focados na detecção e resposta a ameaças, incorporando análise de comportamento do usuário de segurança (SUBA) e orquestração, automação e resposta de segurança (SOAR) para lidar com cada etapa do ciclo de vida de resposta a incidentes. Na Forrester, nós os chamamos de plataformas de analytics de segurança para representar melhor o que eles fazem: executam analytics de segurança em dados e servem como uma plataforma com conexões para ofertas de terceiros para resposta”.

8. Pessoas são o elo mais fraco

Um conceito apresentado em praticamente todas as conferências de segurança ao redor do mundo, referindo-se às pessoas como o elo mais fraco em uma cadeia de segurança, precisa ser interrompido, diz Nigel Phair, presidente do CREST Austrália e diretor do Cyber Security Institute da Universidade de New South Wales. “As pessoas são a maior força para a segurança da informação e para proteger as redes corporativas e os dados que nelas residem. Nomear e envergonhar as pessoas não funcionou e nunca funcionará. Como não há solução técnica para resolver crimes on-line, precisamos trazer os funcionários ao longo da jornada, explicando a eles por que certos controles estão em vigor e sua função na proteção de uma empresa”.

9. Conscientização sobre segurança cibernética

Melhorar a conscientização sobre a segurança cibernética em uma organização é uma meta de alta prioridade para muitos CISOs. Mas o termo está sendo mal utilizado, diz Ravi Srinivasan, CEO da Votiro. “O termo consciência de cibersegurança criou uma narrativa de que os usuários são os culpados pelos incidentes de segurança e incentiva as organizações a desenvolver estratégias de segurança baseadas em sua educação e treinamento para detectar (e, em última instância, prevenir) ameaças cibernéticas”, disse ele.

No entanto, os ataques de hoje são sofisticados e estão em constante evolução, e mesmo as empresas mais preocupadas com a segurança têm dificuldade em se manter à frente deles. Em vez disso, os líderes de segurança e TI precisam ajustar suas estratégias de segurança corporativa para se concentrar nos negócios que operam globalmente. “Em vez da conscientização da cibersegurança, sugiro promover a ‘vigilância da cibersegurança’ e encorajar as organizações a melhorar a colaboração entre funcionários e seus empregadores, líderes empresariais e de TI, entidades do setor privado e público para trabalhar coletivamente para impedir as ameaças cibernéticas”.

10. Cyber kill chain

À medida que o reino digital se torna cada vez mais entrelaçado com o físico, tem havido uma tendência crescente para o léxico de estilo militar em relação ao cibernético, e nada mais do que o cyber kill chain [cadeia de destruição cibernética]. Esta frase descreve os vários estágios de um ataque cibernético e geralmente está associada a ameaças persistentes avançadas (APTs).

“Não tenho certeza se isso é totalmente apropriado e pode nos levar a uma linguagem mais pesada, usada para tentar tornar os tópicos monótonos mais interessantes”, disse Leanne Salisbury, gerente sênior de Inteligência de Ameaças da EY. “Além disso, acho que há algo potencialmente errado com isso para os veteranos (especialmente aqueles que realmente viram conflitos ao vivo e têm histórias reais de guerra) quando são solicitados a compartilhar suas experiências sobre um projeto em um ambiente corporativo com civis”.

11. Hacker

Topher Tebow, analista de Segurança Cibernética da Acronis, diz que é preciso pensar seriamente em como o termo hacker é usado no cenário atual e, embora não precise necessariamente ser totalmente erradicado, o uso incorreto dele precisa. “Um hacker é simplesmente alguém que pode encontrar uma maneira de contornar os aplicativos normais de um determinado item, processo ou parte de software para alcançar o resultado desejado”.

O problema com essa palavra é que costuma ser usada para descrever um cibercriminoso, quando há milhares de hackers que invadem para o bem maior, acrescenta Tebow. “Em vez disso, precisamos considerar as implicações do que estamos dizendo e usar termos como invasores, cibercriminosos e agentes mal-intencionados em vez de chamar um malfeitor de hacker”.

Em defesa dos chavões da cibersegurança

Embora os especialistas concordem que muitos chavões e frases da moda de cibersegurança devem ser eliminados ou substituídos, Ed Tucker, diretor sênior de Segurança Cibernética da Byte, argumenta que muitos dos problemas decorrem mais da maneira como os chavões são usados do que os próprios termos.

“Um dos maiores problemas que temos não são os chavões – eles são apenas parte de estar em uma indústria comercializada – mas o uso preguiçoso e a falta de compreensão contextual e de aplicação prática dos chavões. Isso perpetua o tema de que os chavões são apenas isso”.

Ele conclui que a indústria precisa fazer um trabalho melhor para enxergar além dos chavões tão frequentemente usados e se aprofundar nos conceitos e onde, quando e como eles se tornam aplicáveis.

FONTE: CIO

Previous post Dezenas de milhares de servidores GitLab não corrigidos sob ataque via CVE-2021-22205
Next post Hackers tentaram invadir diversos serviços de segurança dos EUA, diz empresa

Deixe um comentário