Discutindo segurança, ransomware e o que as equipes de segurança devem estar pensando com Jerry Hsieh

Por Michelle Burrows, CMO, Splashtop

segurança e ransomware

Jerry Hsieh esteve na vanguarda da avaliação de riscos de TI e segurança em mais de vinte anos da sua carreira, mais recentemente como Diretor Sênior de Segurança e Conformidade da Splashtop, onde atuou em uma variedade de funções de TI e Segurança nos últimos dez anos. Há pouco tempo atrás, ele conversou com a CMO da Splashtop, Michelle Burrows, sobre o que gerou o seu interesse inicial em segurança e como ele pensa no quesito segurança de sistemas, particularmente com o aumento de violações de segurança altamente divulgadas nos últimos meses.

Michelle Burrows: Jerry, obrigada por se juntar a nós. Embora a segurança tenha estado em voga ultimamente, esse tema costumava ser uma reflexão tardia no passado. Como você se interessou por segurança pela primeira vez?

Jerry Hsieh: Você está certíssima — eu trabalho totalmente focado na segurança há muitos anos, as empresas costumavam não pensar muito sobre segurança. Eu tive uma experiência alarmante em 2003 e isso acabou cimentando o meu interesse em segurança e avaliação de riscos.

Michelle Burrows: Parece ter sido algo perigoso, fale mais sobre isso.

Jerry Hsieh: A empresa na qual eu trabalhava foi uma das vítimas de um ataque SMTP DDoS que acabou derrubando serviços de e-mail corporativos, incluindo grandes empresas e a minha empresa na época. Lembro-me do momento claramente porque coincidiu com o meu casamento, naqueles dias eu não consegui me soltar muito, porque não conseguia parar de pensar no que estava acontecendo no escritório.

Isso também me mostrou em primeira mão o impacto de um ataque. Nós tínhamos trabalhado com uma empresa que estava fazendo uma filtragem de e-mails para proteger empresas como a minha e outras de um ataque como esse e elas acabaram sendo desligadas por causa desse mesmo ataque.

Também vi um outro incidente em primeira mão que ocorreu quando um arquivo de produto foi categorizado como um vírus depois que o fornecedor de AV atualizou suas definições. A equipe de TI e a equipe de engenharia passaram muitas noites em claro tentando resolver o incidente, pois todos os sistemas foram afetados e tínhamos muito trabalho para limpar todos aqueles arquivos, trabalhar com nosso fornecedor antivírus e corrigir as definições do que tinha sido definido como um ataque.

Michelle Burrows: Uau, ter seu casamento interrompido deve ter motivado você a estudar muito para nunca mais deixar algo assim acontecer. Fale mais sobre outras experiências iniciais no quesito segurança.

Jerry Hsieh: Trabalhei com outra empresa na indústria de semicondutores como engenheiro de segurança. Naquela época, o pessoal da segurança visava impedir a violação de patentes. A empresa contratou muitas pessoas da área de segurança, pois éramos mais baratos do que uma sala cheia de advogados. Essa experiência me fez ver a segurança como uma forma de proteger a propriedade intelectual de uma empresa.

Michelle Burrows: Hoje em dia, parece que ouvimos falar de alguma violação de segurança ou ataque ransomware quase diariamente. O que as empresas podem fazer para se proteger?

Jerry Hsieh: Sempre me perguntam isso. Na minha opinião, o elo mais fraco geralmente é o usuário final. A maioria das brechas é causada por um simples erro — um funcionário que clica em um link nocivo, salva um arquivo nocivo, usa uma senha fraca ou encaminha algum arquivo indevido. Um único usuário pode comprometer todo o sistema.

Michelle Burrows: É interessante ver que um único funcionário pode, acidentalmente, causar muitos danos. Acho que muitas pessoas pensam que estão seguras e blindadas contra isso porque possuem um firewall. Você pode comentar sobre isso?

Jerry Hsieh: Um firewall muitas vezes dá às pessoas uma falsa sensação de segurança. Se escuto alguém dizer: “Não serei presa de um ataque porque tenho um firewall.” O que eles não consideram é que, embora você possa colocar todos os tipos de proteção em sua rede, uma das suas maiores ameaças pode ser interna. Um firewall não resolve seus problemas de segurança, especialmente porquê os hackers estão ficando cada vez mais criativos em fazer funcionários clicar em algo para entrar no seu sistema.

Michelle Burrows: Se um firewall não é a única resposta para as violações de segurança, o que você recomenda?

Jerry Hsieh: Eu recomendo prestar atenção em três áreas:

  1. Treinamento de usuários finais / treinamento de conscientização — Para mim, este é um dos itens mais importantes e, desde que entrei na Splashtop, sempre envio lembretes sobre riscos de segurança. Eu me certifico de que todos vejam a mensagem e todos os funcionários saibam o quão importante é estar sempre atento. É muito bom ver que nosso CEO, Mark Lee, acompanha as mensagens da nossa empresa, que sempre enfatizam a importância da segurança e que ela é responsabilidade de todos. Quando o CEO diz que algo é importante, as pessoas costumam prestar atenção.
  2. Políticas de segurança — Muitas empresas possuem políticas de segurança, mas elas devem ter práticas para monitorar e testar essas políticas constantemente. Ter uma política é um bom primeiro passo, mas aplicá-la é ainda mais crítico e importante.
  3. Teste de Penetração Contínua — A integração e implantação contínua, conhecidas por suas siglas em inglês CI/CD, foram adotadas por muitas empresas. É importante “testar” constantemente sua rede e aplicativos para ver se alguma vulnerabilidade está sendo gerada durante o Ciclo de Vida de Desenvolvimento de Software (SDLC).

Michelle Burrows: Tenho certeza de que quando você conta para as pessoas o que você faz para viver, algumas delas "confessam" algumas práticas questionáveis. Que prática questionável mais preocupa você?

Jerry Hsieh: Normalmente, as pessoas não me falam em detalhes sobre o que elas fazem, o que pode ou não ser uma prática recomendada. Descobri que a maioria dessas pessoas não sabe o que é segurança cibernética na prática. Eles assistem algo do tipo na TV ou em um filme e veem como um “cara do mal”, sozinho, derruba um sistema inteiro. Eles também podem pensar que estão a salvo devido ao firewall. O que eles não entendem é que o “cara do mal” pode ser um único usuário da sua empresa. Poucos incidentes de violação de dados são causados por funcionários desonestos. A filosofia que muitas empresas realmente precisam adotar é “não confie em ninguém”. A filosofia “não confie em ninguém” é um dos principais princípios do Zero Trust Access (ZTA) que está sendo cada vez mais adotado.

Outro equívoco que algumas pessoas possuem sobre segurança cibernética é que isso é algo que você pode “terminar”. A segurança cibernética nunca está "pronta", sempre há maneiras de melhorar ela ainda mais.

Michelle Burrows: Neste momento que há muitos olhos voltados para o setor de segurança — CEOs, investidores e conselhos de administração. Com o que as empresas devem estar mais preocupadas?

Jerry Hsieh: As empresas precisam se preocupar com várias áreas diferentes.

  1. Eles precisam fazer uma avaliação de risco completa e honesta. Quando sua empresa é atacada, o ataque prejudica sua marca e corrói a confiança dos seus clientes, funcionários e até mesmo da sua placa. Você precisa avaliar seus riscos regularmente.
  2. Monitore todos os softwares, provedores de serviços e hardware na sua rede. Muitos departamentos costumam não usar o tempo da sua equipe de TI com sabedoria e acham que as “melhores e mais recentes” ferramentas vão resolver todos os seus problemas, desde pesquisas de clientes, marketing, desenvolvimento ágil até o rastreamento de despesas. Porém, cada fornecedor, software ou hardware pode estar vulnerável a um ataque. Você deve monitorar constantemente as suas vulnerabilidades e garantir que seus funcionários estejam atualizando o software e/ou fazer com que a sua equipe de TI faça correções proativamente, assim enviando atualizações de forma proativa.
  3. Faça sua pesquisa. Existem milhões de produtos por aí, acompanhá-los e conhecer os bugs que eles podem inserir no seu sistema é um trabalho interminável. Sua equipe de segurança precisa estar monitorando e pesquisando vulnerabilidades de maneira constante.
  4. Saiba que o vetor de ataque mudou. Os hackers ficaram muito mais inteligentes ao longo dos anos e mudaram totalmente a forma como atacam. Embora um e-mail perigoso fossa aparente há alguns anos atrás, agora esses e-mails são personalizados para aumentar as chances de receber um clique. Você precisa testar seus funcionários constantemente de modo que a segurança sempre seja a sua prioridade.

Michelle Burrows: Recentemente, anunciou-se que as VPNs podem ser uma porta de entrada para um possível ataque. Na sua opinião, por que as VPNs (Redes Privadas Virtuais) são especialmente vulneráveis?

Jerry Hsieh: Sim, as VPNs têm sido um gateway para ataques do sistema.
Na minha opinião, as VPNs estão sendo usadas com muita frequência em ataques ransomware por alguns motivos:

  1. A VPN é uma tecnologia antiga, ela foi apresentada no final dos anos noventa. Quando uma determinada tecnologia existe há tanto tempo, é mais provável que haja uma falha de design ou um bug de software crítico específico do fornecedor, pois não sabíamos tudo o que sabemos agora. Por exemplo, eu configurei a minha primeira VPN em 1999, confiando puramente em comandos e usando interfaces de usuário (UIs) pouco amigáveis. Pensando nesse sentido, não mudou-se muita coisa desde então, de modo que erros de configuração podem ser muito mais comuns.
  2. Uma VPN precisa que o seu departamento de TI configure-a corretamente. Muitas vezes vejo que as VPNs são exploradas pois não há uma maneira padrão de configurar, operar e distribuir o seu acesso. Cada departamento de TI configura ela da forma que faz sentido, e isso acaba criando riscos.
  3. Computadores domésticos são usados em uma VPN. Se um funcionário estiver trabalhando em casa e precisar acessar arquivos do trabalho, não há uma maneira simples de impedir que os funcionários usem o sistema emitido não corporativo para estabelecer seu acesso à VPN. Existem ferramentas que ajudam nisso, mas elas tendem a ser super caras e exigir muitos recursos.
  4. Você pode mitigar o ponto acima com uma política que instrui seus funcionários de que eles só podem usar o computador de trabalho para acessar a VPN. Isso apresentar outra área de risco — redes públicas. Se alguém estiver viajando e realizar sua conexão com uma VPN por meio de uma rede de acesso público, eles estão incrivelmente vulneráveis.

Michelle Burrows: Quais alternativas as empresas podem implantar ao invés de uma VPN? Existe alguma desvantagem nessa alternativa?

Jerry Hsieh: Eu sei que isso soa como auto-promoção, mas a melhor alternativa é usar uma solução de acesso remoto. Sim, isso inclui a Splashtop. A Splashtop ajuda a mitigar os riscos inerentes às VPNs, porque ela permite que você faça o stream apenas do seu desktop. Isso significa que os dados da sua rede corporativa estão protegidos, pois você pode apenas visualizar os dados. Todos os dados ainda estão dentro da sua rede corporativa.

Em contraste, quando eu estou usando uma VPN, posso começar a baixar o que quiser, o que significa que hackers podem fazer o mesmo. Quando uso uma ferramenta como a Splashtop, posso visualizar, operar ou usar o arquivo, mas não consigo baixá-lo. Posso configurá-lo para que apenas computadores locais possam acessá-lo.

Além disso, como estamos falando de segurança, a Splashtop oferece muitos outros recursos de segurança, como a autenticação de dispositivo, autenticação de dois fatores (2FA), autenticação única (SSO) e muito mais. Todos esses recursos de segurança adicionais são ferramentas que uma VPN não pode oferecer.

Você perguntou sobre as desvantagens da tecnologia de acesso remoto. A única desvantagem é que existe uma curva de aprendizado à medida que as pessoas adotam soluções de acesso remoto. Porém, como a Splashtop foi originalmente projetada para o mercado consumidor, o tempo necessário para dominar nossas soluções é mínimo. Com a palavra mínimo, quero dizer que em poucos minutos o usuário médio já pode começar a usar nossas soluções.

Michelle Burrows: Você pode falar mais sobre VPN vs. Splashtop?

Jerry Hsieh: Às vezes eu ouço as pessoas falando sobre diferença entre um investimento fixo em comparação com o modelo de assinatura que a Splashtop oferece quando comparamos preços de uma VPN e da Splashtop. Uma VPN é um investimento de longo prazo que algumas pessoas podem fazer apenas uma vez. Porém, elas esquecem que os gateways da VPN geralmente desaparecem e investir em um gateway de backup é caro. Além disso, uma VPN requer muita manutenção — para atualizações e correções de vulnerabilidade. A Splashtop assume o trabalho de manutenção e segurança. A Splashtop é livre de manutenção e está disponível vinte e quatro horas por dia, sete dias por semana.

Michelle Burrows: Quando você não está obcecado com questões de segurança, o que você faz para se divertir?

Jerry Hsieh: Como você provavelmente já percebeu, eu sempre estou na ativa. Quando tenho tempo livre, gosto de jogar golfe. Minha esposa pode não amar o meu emprego tanto assim, mas eu adoro ficar acordado até tarde estudando tendências de segurança e fazendo o trabalho que faço todos os dias.

Você pode se interessar em:

Perguntas e Respostas sobre riscos cibernéticos e produção de software

O papel da VPN e do RDP em ataques ransomware

Pensando em como oferecer acesso remoto aos seus funcionários de forma segura? Entre em contato com a Splashtop hoje mesmo.

Banner de avaliação gratuita no final desta página