Mas quase nenhum deles provou ser grande o suficiente, persistente ou influente o suficiente para afetar drasticamente o que está acontecendo no espaço de segurança da informação de produtos e dados. Além disso, a própria natureza dessa cooperação, independentemente das condições de mercado, é diretamente oposta ao conceito de livre concorrência. E, em geral, a busca conjunta por exploits e formas de combater os hackers é viciosa, pois se baseia nas ferramentas de hackear o produto - o que pode resultar em espionagem industrial banal, alicerçada em bons objetivos de segurança coletiva. E por que não assistir seu concorrente direto lutar contra um ataque de hacker? Um exemplo típico: "Estou sentado à beira do rio e o cadáver do meu inimigo está flutuando."
Mas esse "cadáver" envenena todo o "rio", porque nas cabeças dos clientes potenciais, inclusive nas cabeças daqueles que assinam orçamentos e a implementação de novas soluções, os nomes das empresas não perduram, mas o próprio conceito é persistente. Como resultado, ainda temos "nuvens são perigosas", "dados são roubados diariamente" e assim por diante.
E agora temos um mundo onde as informações, incluindo informações sobre o tema da segurança da informação, são valiosas, fechadas e extremamente relutantes em compartilhá-las. E por isso os hackers ganham, e com confiança.
Por que os hackers ganham?
Primeiro: a troca de informações. Ao contrário das empresas comerciais amontoadas em seu próprio canto, a comunidade hacker é muito sociável e bastante aberta. E os ladrões estão ativamente compartilhando informações entre si. Às vezes, é claro, não o principal, mas o próprio fato: a circulação de dados entre hackers de chapéu cinza e preto é muito mais ativa do que no nível da empresa. Os hackers têm fóruns, canais e comunidades inteiros. As empresas, na melhor das hipóteses, se reúnem para algumas conferências por ano, nas quais os palestrantes, clicando em slides na tela grande, falam sobre algo que está desatualizado há pelo menos seis meses. Agora, quando o mundo está paralisado, ele mudou completamente para a categoria de performances gravadas por 15-20 minutos, que você pode simplesmente assistir online sem qualquer interação.
Em segundo lugar, estamos sempre ficando para trás. É impossível prever todos os vetores de ataque e métodos de hacking. Estamos do lado do escudo, não da espada, então a única coisa que resta para nós é consertar as falhas de segurança e garantir que esse exploit, mecanismo, cenário ou o que quer que tenha sido usado nunca funcione assim novamente. Um hacker pode preparar seu ataque por semanas, executá-lo em um minuto, e você irá acumular suas consequências por meses. Ou, como no caso da execução especulativa de código em processadores, você não conseguirá superar o problema até o fim. E você terá sorte se o atacante for White Hat, que fornecerá todos os dados sobre como exatamente ele executou o ataque, e seus dados não irão a lugar nenhum. E se não?
As paredes caíram e nós acordamos em um novo mundo
Só o preguiçoso não conhece o conceito de “perímetro de segurança” e, temos certeza, quase todos que trabalharam em TI já o conhecem de uma forma ou de outra. Ou ele mesmo o construiu.
A essência do perímetro é que isso é uma coisa dos anos 80 barbudos. Acontece que uma vez na mesa de cerca de 40 CTOs de grandes empresas de tecnologia da época, o conceito de segurança da informação foi estabelecido de acordo com o princípio do perímetro, que eles assinaram ... Ou até inventaram eles mesmos. Ou espionaram os militares. Não é o ponto. E o ponto principal é que o perímetro não existe mais - o COVID-19 o destruiu pela raiz junto com o advento do conceito de trabalho remoto em massa.
Como os funcionários foram transferidos para o teletrabalho ou teletrabalho parcial anteriormente? Esse processo foi passo a passo, funcionou. Acesso - geralmente por meio de VPN, criptografia, espaços de trabalho separados para esses funcionários e, é claro, seu isolamento dos petiscos e partes mais fáceis da empresa ou do projeto. Bem, na maioria das vezes. Tanto funcionários que não tinham nenhuma importância em termos de acesso, ou especialistas treinados para tal interação foram transferidos para um local remoto. O que nós temos agora?
Túneis agora estão sendo erguidos para milhões de trabalhadores remotos deslocados em todo o mundo, mas quantos deles mantêm pelo menos os princípios básicos de higiene e segurança da informação em seus computadores domésticos? Quantas verificaram suas senhas e pelo menos se certificaram de que suas máquinas podem ser conectadas à rede corporativa?
E se antes tínhamos uma infraestrutura distribuída em máquinas virtuais, discos em nuvem e ambientes SaaS, o que já tornava o nível de segurança de site para site, para dizer o mínimo, desigual, a partir do qual o próprio conceito de "perímetro" estava explodindo as costuras, agora esse mesmo conceito pode ser enviado para a lata de lixo. Porque com tantos buracos potenciais e fatores humanos, nenhum perímetro é possível em princípio.
E as soluções pagas no campo da proteção de dispositivos, DevOps, SecOps e assim por diante, estão longe de ser uma panaceia. Porque todos eles, na verdade, se apoiam em projetos de código aberto, com todas as consequências decorrentes. Você já se perguntou por que as empresas que gastam centenas de milhões de dólares em tal software ainda estão sujeitas a ataques cibernéticos e hackeadas com sucesso por algum solitário ou grupo de hackers?
Vivemos em um mundo onde uma solução 100% eficaz simplesmente não pode ser comprada, porque ela não existe. E temos uma situação paradoxal quando um hacker solitário pode aterrorizar uma empresa específica ou, em geral, todo o setor. Simplesmente porque ele é mais inteligente, mais capaz e mais atencioso do que qualquer engenheiro contratado por essas empresas. Bem, ou porque ele apenas teve sorte de encontrar algo no código-fonte que nem mesmo os autores do código perceberam.
Uma situação tão paradoxal, quando a cauda não apenas balança - ela gira o cão em torno de seu eixo - só é possível em nossa esfera de TI nativa e rede :)
Estamos todos no mesmo barco
Em nossa opinião, o mais valioso para os hackers modernos são os endereços IP. São como máscaras que garantem seu anonimato e quanto mais disponíveis gratuitamente, melhor.
Mas todos vivemos há muito tempo em condições de escassez de endereços livres no espaço IPv4 e ainda não houve uma transição massiva para o IPv6. Portanto, cada invasor tem um pool limitado de endereços em termos de disponibilidade. E quanto mais - mais caros eles são para ele, tanto em termos de finanças quanto em termos de custos trabalhistas.
Criamos nosso produto com um pensamento simples: se você aumentar o custo do "jogo", ele simplesmente não será "jogado". Se para cada ataque ao alvo for necessário obter cada vez mais novos endereços IP, ou mesmo procurar por "limpos" que não tenham aparecido em outros "projetos" do hacker, então poderemos aumentar significativamente o preço de entrada e início do "jogo".
O próprio conceito de banir endereços IP e criar qualquer lista de bloqueio é imperfeito e não o salva de caras realmente engenhosos que são capazes de colocar uma empresa de joelhos. Mas é capaz de isolar a maior parte dos hackers que estão engajados em hackear por conta própria, não têm grandes recursos e valorizam seu tempo e dinheiro. Tal prática, em nossa opinião, é capaz de equilibrar ligeiramente as atuais “regras do jogo”, que visivelmente se voltaram para a comunidade hacker após o início da pandemia: afinal, o perímetro como conceito tem, de fato, caído. E não se sabe se algum dia será restaurado.
Além disso, em outras indústrias e esferas, essa coletivização - quando todos estão compartilhando informações abertamente - já está funcionando. Vale lembrar como o Reddit sob o slogan "Para a lua!" decidiu punir corretores de Wall Street de curto prazo. A onda fedorenta que surgiu após o bombeamento massivo do estoque da GameStop ainda está rolando pelo mundo hoje, confira as notícias.
O conceito de uma lista de banimentos formada e verificada coletivamente nos leva ao início do texto: à tese de que é necessário compartilhar informações críticas. Para um hacker, o endereço IP é crítico; este é seu ponto de entrada. Para a empresa, as informações sobre o endereço de onde foi realizado o ataque não têm valor e não ameaçam seus segredos e segredos de forma alguma. Temos uma situação ganha-ganha quando os lobos são alimentados e as ovelhas estão seguras; nenhum paranóico dentro da empresa irá censurá-lo por vazar dados estratégicos para o domínio público, mas, ao mesmo tempo, temos a capacidade de atingir dolorosamente os pontos importantes para os cibercriminosos.
Esta é a razão pela qual estamos trabalhando no CrowdSece convidamos todos os outros a se juntar a nós na formação de listas de banimento. Apenas para tornar a Internet e, em geral, nosso mundo, mais limpo e seguro com o mínimo de esforço.