Global Risks Report 2024: O que podemos aprender em Cibersegurança

O Relatório de Riscos Globais do ano passado alertou para um mundo que não se recuperaria facilmente dos últimos anos de recessão. No início de 2024, a 19ª edição do relatório apresenta um cenário de rápida aceleração da mudança tecnológica e com incertezas econômicas, já que o mundo é atormentado por uma dupla de perigosas crises: clima e conflito.

O relatório destaca as conclusões da pesquisa anual de percepção de riscos globais, que reúne a inteligência coletiva de quase 1.500 líderes globais nas áreas acadêmica, empresarial, governo, comunidade internacional e sociedade civil. Ele também aproveita insights de mais de 200 especialistas temáticos, incluindo os especialistas em risco que formam o Conselho Consultivo do Relatório de Riscos Globais, Conselho sobre Riscos Complexos Futuros e o Risco Principal de Comunidades Oficiais.

Para entender a metodologia do relatório: 

A Pesquisa de Percepção de Riscos Globais (GRPS) tem sustentado o Relatório de Riscos Globais há quase duas décadas, e é a principal fonte de dados originais sobre riscos globais do Fórum Económico Mundial. As respostas ao GRPS 2023-2024 foram recolhidas de 4 de setembro a 9 de outubro de 2023.

O GRPS 2023-2024 incluiu os seguintes componentes:

Cenário de risco: convidou os entrevistados a avaliar o impacto provável (gravidade) dos riscos globais ao longo de um horizonte de um, dois e 10 anos para ilustrar o desenvolvimento potencial de riscos globais individuais ao longo do tempo e identificar áreas de principal preocupação.

Consequências: pediram aos entrevistados que considerassem a gama de impactos potenciais do surgimento de um risco, para destacar as relações entre os riscos globais e o potencial de agravamento de crises.

Governança de risco: convidou os inquiridos a refletir sobre quais as abordagens que têm maior potencial para impulsionar ações de redução e preparação para o risco global.

Panorâma: pediu aos entrevistados que previssem a evolução dos principais aspectos subjacentes ao cenário de riscos globais.

E o que podemos aprender com o relatório em relação a Cyber Security? 

Dentre as principais conclusões do relatório, os riscos em destaque para 2024 são:  1° Mudanças Climáticas; 2° Inteligências Artificiais gerando desinformação; 3° Polarização Social e Política; 4° Crise no custo de vida e 5° Cyberattacks. 

Cenário de risco atual – Global Risks Report 2024

Já o impacto para 2 anos, apresenta estimativas sobre insegurança cibernética na 4° posição, atrás somente da polarização da sociedade, eventos climáticos extremos e desinformação. Porém, quando observamos as estimativas para 10 anos, percebemos que o tópico de insegurança cibernética fica na 8° posição. 

Riscos Globais Classificados por gravidade – Global Risks Report 2024

O que podemos aprender até aqui é que de fato haverá desafios ainda maiores para empresas protegerem seus dados, e é claro que os usuários finais já têm uma percepção cada vez mais clara sobre insegurança cibernética, o que nos leva a acreditar que cada vez mais o consumidor final vai considerar esse tópico em suas decisões de compra. 

Deve-se levar em consideração a dimensão da 4° e 8° posição de insegurança cibernética dentro do relatório, uma vez que estamos lidando com uma lista de mais de 34 itens diferentes.

Visão do relatório sobre Vulnerabilidades Cibernéticas (Cyber Vulnerabilities): 

A rápida integração de tecnologias avançadas está expondo um subconjunto mais vasto da população mundial a uma potencial exploração digital e física. As redes de crime organizado adotam cada vez mais modelos de negócio mistos, utilizando novas tecnologias para diversificar o financiamento ilícito e fragmentar a presença física do crime organizado.

Isto representará riscos significativos para indivíduos e empresas jurídicas – e tem o potencial de conduzir à violência que desafia o poder dos governos e ameaça o controle territorial dos Estados.

Novas ferramentas e capacidades abrirão novos mercados para redes criminosas, permitindo que o crime cibernético tenha fluxos de receitas cada vez mais de baixo risco e baixo custo para o crime organizado. Os ataques de phishing, por exemplo, podem agora ser traduzidos de forma fácil e precisa para línguas minoritárias utilizando IA generativa. 

Nos próximos anos, as defesas cibernéticas mais sofisticadas irão deslocar os alvos para indivíduos com menor letramento digital ou infraestruturas e sistemas menos seguros. Já predominante na América Latina, o cibercrime continuará a espalhar-se por partes da Ásia e da África Ocidental, à medida que a riqueza cresce e a conectividade à Internet coloca online grande parte da população global.

Percepção de Riscos por Região (Cyber Security e Cyber Insecurity) – Global Risks Report 2024

A figura acima descreve uma preocupação crescente em torno do risco do crime cibernético e da insegurança cibernética entre os líderes empresariais nas regiões em desenvolvimento. Está entre os 10 principais riscos nos próximos dois anos para mercados que já enfrentam níveis mais elevados de criminalidade, como os Camarões, o Mali, a Tailândia e os Emirados Árabes Unidos. A adoção destes modelos digitalmente combinados, aproveitando fluxos de receitas cibernéticas e físicas, foi considerada por alguns especialistas consultados como um vetor com potencial para levar a uma queda na violência, se estas atividades substituírem formas alternativas de receitas ilícitas, como o tráfico de drogas. 

Notavelmente, no entanto, a influência destrutiva do cibercrime coloca mais civis em risco do que quando concentrado entre actores criminosos na guerra entre gangues, além de estar associado a outras formas de violência física, como o tráfico de seres humanos. Os grupos do crime organizado também utilizarão cada vez mais tecnologias, permitindo a expansão geográfica das suas redes para fortalecer bases estratégicas da atividade econômica e política. 

Habilitadas pela tecnologia, as redes criminosas podem espalhar-se para explorar o aumento da procura, as lacunas regulamentares e de aplicação da lei, e as percepções públicas negativas da legitimidade policial e estatal, com o financiamento, os fornecedores, os clientes e a violência originados em mercados separados.

Conclusões que podemos tirar do relatório:

O Global Risks Report de 2024 oferece uma visão penetrante sobre os desafios iminentes que irão moldar o nosso mundo nos próximos anos. Entre as diversas preocupações destacadas, a insegurança cibernética emerge como um tema central, ocupando a 4ª posição nos riscos de curto prazo e a 8ª posição em uma perspectiva de uma década. Esta posição relativa sugere uma evolução dinâmica do cenário de riscos globais, onde a cibersegurança é inicialmente percebida como uma ameaça iminente, mas perde algum destaque quando projetada a longo prazo.

Os dados do relatório revelam que as mudanças climáticas, a desinformação e a polarização social e política estão entre as principais preocupações imediatas, enquanto a insegurança cibernética se destaca como um risco mais distante. Contudo, ao analisarmos mais profundamente, fica evidente que a cibersegurança permanece como uma questão persistente e complexa, sujeita a transformações rápidas e imprevisíveis.

A rápida integração de tecnologias avançadas, conforme abordado no relatório, amplia o espectro de vulnerabilidades cibernéticas, expondo uma parcela maior da população mundial à exploração digital e física. A ascensão de modelos de negócios mistos por parte de redes de crime organizado, combinando novas tecnologias para diversificar o financiamento ilícito, apresenta desafios significativos para governos, empresas e indivíduos.

É notável o aumento da preocupação em regiões em desenvolvimento, onde a cibersegurança figura entre os principais riscos nos próximos dois anos. A adoção de modelos digitalmente combinados nessas áreas, embora possa representar uma potencial redução na violência associada a atividades criminosas tradicionais, traz consigo riscos substanciais para a segurança cibernética de civis e organizações.

Diante desse panorama, fica claro que a cibersegurança não é apenas uma questão técnica, mas uma preocupação global que se entrelaça com aspectos econômicos, sociais e políticos. Empresas, governos e a sociedade como um todo devem reconhecer a urgência de fortalecer suas defesas cibernéticas e adotar estratégias robustas de governança de risco. A conscientização do consumidor sobre a insegurança cibernética, evidenciada pela sua inclusão nas preocupações globais, sugere uma mudança na dinâmica de mercado, onde a segurança digital torna-se um fator decisivo nas escolhas do consumidor.

Assim, o relatório não apenas alerta para os desafios iminentes na esfera da cibersegurança, mas também destaca a necessidade de uma abordagem global e colaborativa para enfrentar as ameaças digitais que continuam a evoluir rapidamente em um mundo cada vez mais interconectado e dependente de tecnologia.

Leia o relatório completo do Global RIsks Report 2024 – Acesse aqui 

Tendências em Cyber Security para 2024

2024 já começou e está na hora de analisarmos as tendências e previsões de segurança cibernética que os analistas e os líderes do setor têm em mente.

Com base no último artigo da Tech Target, vamos explorar 8 tendências em Cyber Security para o ano de 2024.  Vamos lá? 

No ano passado assistimos a uma enxurrada de ataques de ransomware, muitos deles evoluindo para esforços de extorsão duplos e triplo. A IA e o aprendizado de máquina também ocuparam o centro do palco com o lançamento da IA generativa – assim como o potencial dos invasores para usá-los maliciosamente.

A seguir estão nove previsões e tendências de segurança cibernética para 2024 que você deve conhecer, mesmo que nem todas se concretizem.

1. Aumento das vulnerabilidades de dia zero em ataques de extorsão


Os invasores poderiam usar com mais frequência vulnerabilidades de dia zero (zero day) para atingir várias organizações, disse Dick O’Brien, principal analista de inteligência da Symantec, parte da Broadcom, um fornecedor de tecnologia empresarial. Conforme evidenciado nos ataques do MoveIt Transfer, os grupos de malware podem usar uma única vulnerabilidade para atingir várias organizações que usam a ferramenta ou tecnologia afetada.

“Isso é bastante eficaz porque você obtém múltiplas vítimas para um único ataque ou campanha”, disse O’Brien. “O dano está feito antes que a consciência das TTPs [táticas, técnicas e procedimentos] se torne de conhecimento comum.”

No entanto, encontrar vulnerabilidades de dia zero não é fácil. O’Brien disse que os atores mal-intencionados precisam de muito dinheiro ou de habilidades especializadas para realizar esses ataques, o que pode limitar a sua difusão. Os grupos de malware podem optar por observar o sucesso de outros antes de conduzir as suas próprias campanhas.

2. A IA generativa impacta a segurança do e-mail

O lançamento da IA generativa dominou a indústria tecnológica em 2023, então nenhuma lista de tendências estaria completa sem analisar como poderia afetar as organizações do ponto de vista da ameaça. Embora os atacantes já utilizem a IA generativa para melhorar os e-mails de phishing e reduzir a probabilidade de erros ortográficos e gramaticais, irão integrar ainda mais a IA generativa nas suas campanhas de engenharia social, utilizando grandes modelos de linguagem para se passarem por decisores de alto nível e executivos.

“As pessoas são super ativas no LinkedIn ou no Twitter, onde produzem muitas informações e postagens. É fácil pegar todos esses dados e despejá-los em algo como o ChatGPT e pedir para escrever algo usando o estilo dessa pessoa específica”, disse Oliver Tavakoli, CTO na Vectra AI, um fornecedor de segurança cibernética. “O invasor pode enviar um e-mail alegando ser do CEO, CFO ou função semelhante para um funcionário. Receber um e-mail que parece vir de seu chefe certamente parece muito mais real do que um e-mail geral solicitando vales-presente da Amazon.”

Para combater este ataque de engenharia social, Tavakoli recomendou que as organizações realizem formação de sensibilização dos funcionários, determinem regularmente a sua postura geral de segurança e garantam que as suas medidas de segurança possam lidar com um funcionário que caia num ataque de phishing.

“Você não quer depender excessivamente de nenhum mecanismo de defesa específico”, disse ele.

3. Adoção generalizada de sistemas sem senha

Já se diz isso há muitos anos, mas 2024 pode finalmente ser o ano em que a tecnologia sem senha decola nas empresas.

“No próximo ano, realmente não usaremos senhas, com a biometria sendo a modalidade vencedora”, disse Blair Cohen, fundador e presidente da AuthenticID, um fornecedor de gerenciamento de identidade e acesso (IAM). “Finalmente vai acontecer.”

A biometria faz sentido como opção de autenticação comum, já que as pessoas usam impressões digitais e leitura facial em dispositivos de consumo há anos, disse ele. Ele também pode resistir melhor a ataques e fraudes do que SMS ou e-mail com senhas únicas ou outros métodos.

Qual padrão da indústria vencerá, no entanto, está em debate. O FIDO2 é um candidato, mas não o vencedor, disse Cohen. “Eu o aplaudo e acho que é ótimo para o uso diário do consumidor, mas não acho que o FIDO2 será a escolha de empresas, bancos de grande escala, etc.

Jack Poller, analista do Enterprise Strategy Group (ESG) da TechTarget discordou. O FIDO2 vai vencer no mercado de consumo, já que muitas organizações empresariais, como Google, Amazon e Apple, atualmente o apoiam, disse Poller, e porque é resistente ao phishing.

4. CSOs, CISOs e CEOs trabalham mais estreitamente juntos

A contínua incerteza econômica levou a orçamentos mais apertados. Em 2024, os CEOs provavelmente trabalharão mais estreitamente com CSOs e CISOs para determinar onde melhor gastar o orçamento em termos de segurança, disseram Chuck Randolph, CSO, e Marisa Randazzo, diretora executiva de gerenciamento de ameaças, do fornecedor de segurança Ontic. Isto exige que os CSOs e CISOs determinem onde existe o risco das suas organizações e como manter os dados e os funcionários seguros, tanto no escritório como em ambientes remoto, acrescentaram.

“Se sou um indivíduo de alto escalão, estou pensando na priorização de riscos, otimização de orçamento e investimento proativo em segurança, seja física ou digital”, disse Randolph. As organizações devem realizar uma avaliação de riscos e garantir que as partes interessadas tenham uma palavra a dizer no orçamento de segurança, aconselhou.

Randolph e Randazzo disseram que poderia haver uma convergência da segurança de TI com a segurança física ou corporativa, como a identificação e monitoramento de possíveis ameaças internas e funcionários insatisfeitos. Os CISOs podem oferecer informações sobre segurança de TI, acrescentaram, enquanto os CSOs consideram outras questões no local de trabalho.

5. Verificação de identidade para adoção mais ampla

Espere ver mais organizações adotando a verificação de identidade em 2024 para garantir que funcionários, parceiros e clientes sejam quem dizem ser durante a integração da conta, especialmente à medida que a IA se aperfeiçoa.

“Se eu nunca te conheci antes, mesmo que você esteja aparecendo no Zoom, como posso saber se é realmente você e não um impostor com acesso ao seu computador?” Disse Poller do ESG. “Do ponto de vista empresarial, como posso autenticá-lo corretamente em um documento governamental?”

As organizações usarão cada vez mais a verificação de identidade para integrar e proteger o acesso à conta ou redefinir solicitações. A tecnologia também pode comparar fotografias e informações de funcionários com documentos governamentais, bem como fornecer detecção de vivacidade para garantir que alguém não esteja usando uma imagem ou vídeo gerado por IA.

6. Maior adoção de ferramentas e tecnologias de segurança proativas

As organizações devem investir mais em ferramentas e tecnologia de segurança proativas em 2024 para melhor detectar vulnerabilidades e lacunas de segurança, disse Maxine Holt, diretora sênior de pesquisa e conteúdo da empresa de análise Omdia. Com segurança proativa, disse ela, as organizações podem aprender onde gastar melhor seu orçamento para seus casos de uso específicos.

Holt recomendou que as organizações pesquisassem tecnologias de segurança proativas para decidir quais poderiam ajudá-las mais. Ela disse para considerar o seguinte:

  • Gerenciamento de vulnerabilidade baseado em risco.
  • Gerenciamento de superfície de ataque, incluindo ASM de ativos cibernéticos e ASM de superfície externa.
  • Ferramentas de segurança para aplicativos, nuvem e dados.
  • Gerenciamento de caminhos de ataque e validação de controle de segurança, incluindo testes de penetração, red teaming e simulação de violação e ataque.

7. Mais regulamentações para dispositivos conectados e incorporados

A adoção da IoT continua forte, assim como a falta de medidas de segurança adequadas em dispositivos incorporados. Em 2024, poderemos assistir a uma maior investigação regulamentar, especialmente à medida que a ameaça da IA cresce e os agentes maliciosos procuram vetores de ataque adicionais.

“A perspectiva regulatória para dispositivos conectados continuará a evoluir à medida que governos e órgãos reguladores desenvolvem estruturas mais abrangentes para lidar com o aumento do uso e desenvolvimento de dispositivos conectados e o aumento da sofisticação dos invasores”, disse Veronica Lim, líder de segurança de produtos nos EUA na empresa de consultoria Deloitte.  “Veremos as organizações aderirem mais de perto aos padrões de segurança cibernética desde o design.”

Ainda não se sabe como as organizações irão lidar com o aumento das regulamentações. Lim explicou que as organizações já lutam com o gerenciamento de patches, o que abre oportunidades para os invasores explorarem. “Os dispositivos conectados são alvos frequentes de invasores porque geralmente contêm software desatualizado e vulnerável”, disse ela.

8. As necessidade de segurança de terceiros continuam

A violação de terceiros, como um fornecedor ou organização parceira, pode gerar resultados mais lucrativos para os invasores. Terceiros têm suas próprias estratégias e infraestrutura de segurança, que podem não corresponder às de seus clientes, abrindo novos vetores para invasores.

“Os hackers ficaram muito bons na identificação desses terceiros que os ajudam a superar o grande aparato de segurança de organizações maiores, como um banco”, disse Alex Cox, diretor de informações sobre ameaças da LastPass, um fornecedor de gerenciadores de senhas. “Um grande banco gasta muito dinheiro em segurança, mas os fornecedores que eles usam não. Se você tiver acesso a esse fornecedor, terá acesso a várias outras empresas.”

Também não há uma resposta fácil para organizações preocupadas com a segurança de terceiros. Cox disse que embora seja difícil impor um certo nível de segurança com terceiros, as organizações devem considerar a criação de uma lista de verificação de segurança que seus fornecedores devem seguir ou exigir avaliações de segurança de terceiros antes de fazer negócios com qualquer fornecedor.

Artigo base: https://www.techtarget.com/searchsecurity/feature/Cybersecurity-trends-to-watch

NameSpace: Simplificando a Gestão de Aplicações com Múltiplos Domínios

À medida que a tecnologia continua a evoluir, cada vez mais empresas estão buscando maneiras eficientes de lidar com a complexidade crescente das aplicações que abrangem diversos domínios. A gestão dessas aplicações, que operam em espaços de nomes diferentes, pode se tornar uma tarefa desafiadora. É aqui que entra o conceito de “Namespace” ou “NameSpace” – uma solução inovadora que visa simplificar a gestão de aplicações com múltiplos domínios, proporcionando uma abordagem mais organizada e integrada, e agora, disponível na GoCache.

Mas porque “NameSpaces”?

NameSpaces é um conceito técnico de “encapsulamento” de itens na programação, a partir disso esse conceito “migrou” para infraestrutura e ganhou tração via Kubernetes.

No Kubernetes chamamos de NameSpaces o conjunto de recursos gerenciáveis em um único grupo, nomeando um conjunto de contêineres.

E na prática, pra que serve o NameSpaces?

O Namespace desempenha um papel crucial quando se trata de simplificar a gestão de aplicações que operam em vários domínios. Ele oferece os seguintes benefícios:

Isolation and Organization: Ao separar os componentes de uma aplicação em espaços de nomes diferentes, é possível evitar conflitos de nomenclatura e organizar de forma mais eficaz os recursos relacionados.

Gestão Simplificada de Domínios: Para aplicações que abrangem diversos domínios, a utilização de Namespaces facilita a separação das funcionalidades, permitindo que diferentes partes do sistema operem de maneira independente, porém harmoniosa.

Manutenção Eficiente: Com componentes organizados em Namespaces distintos, a manutenção de diferentes partes da aplicação torna-se mais eficiente. Alterações em um Namespace têm menos probabilidade de afetar inadvertidamente outros domínios.

Casos de uso na GoCache

Configuração do WAF: Falsos positivos de WAF podem ocorrer, por exemplo, devido ao comportamento da aplicação que manda um POST com parâmetros ou funções que coincidem com uma assinatura de Injection ou XSS. Se um grupo de aplicações possui este mesmo padrão, o NameSpace será fundamental para uma gestão facilitada, a qual o cliente poderá criar uma única regra de exceção que funcionará para todo o grupo.

Configuração do Bot Mitigation: Não é incomum que uma integração ou rotina automatizada seja identificada e classificada como maliciosa pelo bot mitigation. Entendendo que um grupo de aplicações têm este padrão, é possível criar, via NameSpace, uma única regra de whitelist que funcione para todos os domínios.

Quer conhecer mais sobre o recurso? Não deixe de conversar com nossa equipe.

GoCache é destaque no Relatório ISG sobre Soluções e Serviços de Cibersegurança no Brasil 2023

Estamos felizes em compartilhar uma notícia incrível: a GoCache foi recentemente destacada no renomado relatório ISG Provider Lens™ Cybersecurity – Solutions and Services Brazil 2023 na categoria “Extended Detection and Response (XDR)”. Este reconhecimento é um testemunho do nosso compromisso contínuo com a excelência em cibersegurança e da qualidade dos nossos serviços.

O que é o ISG Provider Lens™?

O ISG Provider Lens™ é um dos principais relatórios de pesquisa de mercado que avalia e classifica os principais fornecedores de serviços de tecnologia e cibersegurança em várias categorias. Essa classificação é baseada em uma análise abrangente do mercado e das capacidades dos fornecedores.

Nosso Destaque em Extended Detection and Response (XDR)

Na categoria “Extended Detection and Response (XDR)”, a GoCache se destacou como um Contender. Isso significa que nossos serviços de cibersegurança, especialmente em relação à detecção e resposta avançada a ameaças, foram reconhecidos como altamente eficazes e valiosos para nossos clientes. 

No ano de 2022, também fomos classificados como Contender no relatório ISG e, dada a evolução contínua dos nossos produtos e serviços profissionais, subimos algumas posições. 

O reconhecimento no relatório ISG é uma validação do nosso compromisso em manter sua organização segura. Nossa equipe continuará empenhada em oferecer soluções de segurança modernas que ajudem a proteger a sua empresa contra ameaças cibernéticas. Temos certeza que num futuro breve iremos figurar dentro do quadrante de Product Challenger. 

Ausência de Profissionais no Mercado de Cyber Security

O avanço tecnológico e a crescente digitalização de empresas e serviços trouxeram consigo inúmeras vantagens e facilidades. No entanto, essa evolução também abriu portas para ameaças virtuais cada vez mais sofisticadas. Nesse cenário, a segurança cibernética tornou-se um pilar fundamental para garantir a proteção de dados e informações sensíveis. No entanto, o mercado de cyber security enfrenta atualmente um grande desafio: a escassez de profissionais qualificados para lidar com essa demanda crescente.

O Impacto da Pandemia na Demanda por Segurança Cibernética

A pandemia da COVID-19 trouxe consigo uma revolução no mundo do trabalho. Com a necessidade de distanciamento social e a adoção massiva do trabalho remoto, as empresas aceleraram sua transição para o ambiente digital. Esse cenário resultou em um aumento significativo nas atividades cibernéticas, tornando a segurança da informação uma prioridade ainda maior.

Cibercriminosos aproveitam da situação, lançando ataques cada vez mais sofisticados contra organizações vulneráveis. Diante desse cenário, a demanda por profissionais de segurança cibernética cresceu exponencialmente, mas a oferta não conseguiu acompanhar esse ritmo.

A Escassez de Profissionais Qualificados no Brasil

No Brasil, a ausência de profissionais qualificados em segurança cibernética é uma realidade preocupante. A área é altamente especializada, requerendo habilidades técnicas avançadas e atualizações constantes para lidar com as novas ameaças que surgem regularmente. No entanto, a falta de capacitação adequada e investimento na formação desses especialistas têm contribuído para a lacuna existente.

Além disso, o setor público e privado enfrentam dificuldades em oferecer salários competitivos para atrair e reter profissionais de alto nível. Isso faz com que muitos especialistas busquem oportunidades no exterior, onde podem receber em moedas mais valorizadas, como dólar ou euro.

A Busca por Oportunidades no Exterior

Diante das limitações do mercado brasileiro, muitos profissionais talentosos de cyber security estão buscando oportunidades além das fronteiras nacionais. Empresas estrangeiras, principalmente em países com economias desenvolvidas, estão cientes da carência global de especialistas em segurança cibernética e estão dispostas a investir para garantir sua proteção contra ameaças virtuais.

Essa busca por oportunidades no exterior é uma via de mão dupla, uma vez que os profissionais brasileiros têm a chance de aprimorar suas habilidades em ambientes mais exigentes e com maior investimento em tecnologia. Essa experiência internacional agrega conhecimento valioso que pode ser trazido de volta ao Brasil, ajudando a fortalecer a segurança cibernética no país. 

Enfrentando o Desafio e Construindo um Futuro mais Seguro

Para enfrentar a escassez de profissionais qualificados em segurança cibernética no Brasil, é necessário um esforço conjunto de diversos atores. O governo pode desempenhar um papel crucial, incentivando a formação de talentos nacionais por meio de programas de educação e bolsas de estudo.

Além disso, as empresas devem investir em treinamentos e capacitação contínua para seus colaboradores, a fim de criar uma base sólida de especialistas em segurança cibernética internamente. Isso reduziria a necessidade de buscar talentos no exterior e fortaleceria a expertise nacional.

Como a GoCache pode ajudar?

É importante mencionar que existem várias empresas que prestam serviços voltados para a segurança cibernética em diversas áreas. Aqui na GoCache, além de contar com uma plataforma completa de segurança em camada de aplicação, oferecemos serviços profissionais onde nossa equipe de especialistas atuará na configuração da GoCache, garantindo o máximo de assertividade das soluções, permitindo que apenas os acessos legítimos cheguem até a sua infraestrutura de hospedagem.

Se você deseja saber como a GoCache pode ajudar a reforçar a segurança cibernética de sua empresa, acesse nossa página para conhecer o GoCache Managed Security

Conheça o nosso serviço GoCache Managed Security e entenda como ele poderá lhe ajudar.

Nos últimos 10 anos, a GoCache construiu uma plataforma de CDN e Web Security que entrega conteúdo para milhões de pessoas que acessam diariamente alguns dos 40 mil websites e aplicações que utilizam nossa plataforma.

Ao longo dessa jornada, a GoCache tornou-se referência no mercado nacional, sendo reconhecida também internacionalmente ao figurar pelo segundo ano consecutivo no quadrante do ISG XDR (Extended Detection and Response).

Mesmo com uma plataforma extremamente robusta e uma postura ativa na entrega de sucesso, empresas que não possuem equipes especializadas em cyber security ou com times de tecnologia enxutos, acabam não extraindo todo o potencial que uma solução como a nossa pode entregar.

Essa dor não é exclusiva de empresas brasileiras, uma vez que estima-se um déficit de mais de 3 milhões de profissionais de cyber security no mercado global. Além da falta de mão de obra qualificada, vale ressaltar que também existe um problema cultural no qual diretores executivos não tratam o tema com a devida prioridade.

Infelizmente, as consequências de tudo isso são dolorosa: falsos positivos que não são tratados, whitelists desnecessários ou muito permissivos, e reação lenta diante de algum ataque são alguns dos problemas que acabam gerando ineficiência no dia a dia, além de colocar em risco a disponibilidade da operação e a reputação da empresa.

Ciente desses problemas e motivamos pela missão de descomplicar o dia a dia de quem gerencia performance e confiabilidade de aplicação web, lançamos o GoCache Managed Security, nosso serviço que tem como principais objetivos:

  • Garantir o máximo de assertividade das soluções da GoCache
  • Trazer visibilidade dos acessos maliciosos do dia a dia.
  • Identificar vulnerabilidades que podem ser exploradas por hackers.
  • Elevar a prática de cyber security das empresas.

Colocaremos nossa expertise em prática para que você possa dormir tranquilo e dedicar sua energia para fazer seu negócio crescer e prosperar.

Quer saber mais como a GoCache pode garantir a segurança das suas aplicações web? Entre em contato.

Proteja sua aplicação web com nosso Bot Mitigation

Estima-se hoje que quase 50% de todo tráfego da internet é composta por bots, como mostrado nesta pesquisa, e esse número vem aumentando ano após ano.

Bots podem comprometer a integridade do seu negócio, assim como o desempenho da sua aplicação, e este desafio é uma realidade que todas as empresas enfrentam, ainda que não saibam disso.

Para ajudar a enfrentar este desafio, temos o prazer de anunciar o lançamento do nosso mais novo recurso Bot Mitigation, que utiliza inteligência avançada e granularidade para detectar e mitigar atividades suspeitas de bots.

Além disso, esse recurso se integra perfeitamente à nossa ferramenta de observabilidade web, o Edge Insights, proporcionando um combo poderoso para proteger e otimizar sua aplicação.

Detectando e mitigando bots de forma inteligente

A nova ferramenta Bot Mitigation é alimentada por uma rede avançada de detecção de padrões, que identifica comportamentos suspeitos e atividades automatizadas. Ao utilizar esse recurso, você pode selecionar entre diferentes métodos de ação para mitigar bots indesejados: bloqueio, simulação ou desafio.

Essa flexibilidade permite que você adapte as estratégias de mitigação às necessidades específicas da sua aplicação e usuários. Tudo de forma simples e em poucos passos.

Criando exceções para conexões seguras

Compreendemos que nem todas as conexões são prejudiciais. Por isso, o Bot Mitigation também permite que você crie exceções personalizadas. Isso significa que você pode estabelecer quais conexões são consideradas seguras e não devem passar pelos filtros de mitigação. Dessa forma, você garante que usuários legítimos não sejam afetados pelas medidas de proteção e possam acessar sua aplicação sem obstáculos.

Integração com Edge Insights para criar e gerenciar regras eficazes

Ao combinar a solução do Bot Mitigation com o Edge Insights, nossa poderosa ferramenta de observabilidade web, você obtém uma solução abrangente para proteger e otimizar sua aplicação web.

O Edge Insights fornece informações detalhadas sobre o tráfego, desempenho e comportamento dos usuários, permitindo que você crie regras eficazes para suas estratégias de mitigação de bots. Com base nos insights obtidos, você pode ajustar e aprimorar continuamente suas políticas de segurança, garantindo uma proteção abrangente e personalizada.

Quer entender mais sobre o Bot Mitigation? Então assista nosso vídeo sobre o assunto.

Nosso painel WAF mudou!

No último ano a internet foi muito abalada com notícias sobre vazamentos de dados e ataques cibernéticos a empresas de todos os portes. Visando melhorar ainda mais a experiência de nossos clientes e expandir a visibilidade deles em questões de segurança de suas aplicações, estamos anunciando novas melhorias em nosso WAF (Web Application Firewall).

“O nosso objetivo é simplificar a usabilidade e aumentar a flexibilidade da ferramenta. Com isso em mente, decidimos reformular a experiência do gerenciamento de WAF, tornando-a mais fácil e customizável”. Gabriel Viana, Associate Product Manager

Veja como ficou nossa nova interface, e os detalhes dos pontos principais de melhoria:

1. Controle refinado sobre vulnerabilidades: Escolha os tipos de vulnerabilidades que deseja bloquear, adaptando o WAF às necessidades exclusivas do seu aplicativo web. Ative e desative grupos de regras específicas com apenas um clique.

2. Regras de exceções personalizadas: o usuário não precisará mais usar SmartRules para gerenciar falsos positivos, fazendo isso na própria página de gerenciamento do WAF de forma simplificada.

Crie regras específicas para excluir URLs, parâmetros ou ações da análise do WAF, proporcionando maior flexibilidade no tratamento de falsos positivos.

3. Mais transparência sobre a ferramenta: Clicando no ícone ‘?’, é possível visualizar quais regras contemplam aquele grupo específico.

Para clientes que tenham regras de SmartRules aplicados a comportamentos do WAF, iremos dar suporte nesse momento de migração para o novo sistema de gerenciamento de exceções. Caso esse seja o seu caso, não se preocupe! Você será notificado assim que suas regras forem migradas.

Dúvidas, sugestões e feedback, nos contate pelo email: produto@gocache.com.br.

Por que API Security também é Web Application Security?

No artigo anterior, falamos o quanto o estado atual de ferramentas para Web Application Security e Application Security não estão adaptados para trazer segurança para APIs. Hoje vamos falar porque uma boa estratégia de segurança para aplicações web deve passar por uma boa estratégia de segurança para APIs.

Podemos dizer que as APIs servem a 3 propósitos principais: compartilhamento de regras de negócio entre organizações, desacoplar o front-end do back-end e comunicação entre máquinas. O primeiro propósito pode ser visto desde o que se diz ser os primórdios das APIs no ano 2000, quando Salesforce e eBay disponibilizaram serviços para desenvolvedores incorporarem em suas aplicações por meio desta interface.

A partir de então, o uso da internet veio se intensificando, demandando aplicações mais complexas e interativas. O que não era bem atendido pelo padrão da época, em que as páginas eram geradas estaticamente pelo servidor e qualquer alteração de dados vinda do lado do servidor demandava a geração de uma nova página para ser visualizada. A introdução do AJAX deu início a uma arquitetura que veio para ficar, na qual o cliente que processa atualizações de conteúdo, a partir de requisições a endpoint que fornecem dados atualizados. Desde então vimos o surgimento de Single-Page Applications, frameworks reativos, aplicativos mobile e esses endpoints que alimentam o front-end também passaram a ser chamados de APIs. 

Já o terceiro propósito é mais recente, com a ascensão da Internet das Coisas e desenvolvimento da automação de infraestrutura. Os dois primeiros propósitos das APIs tocam diretamente o campo de aplicações web modernas. Hoje, é extremamente difícil você usar uma aplicação que não tenha pelo menos uma integração com uma empresa de meio de pagamentos ou de cartão de crédito. Como gerar e enviar uma nota fiscal ao governo sem pelo menos uma integração? E se você estivesse comprando em um e-commerce e a página fosse recarregada enquanto você estivesse validando um cupom? Sua visão sobre a experiência não seria nem um pouco afetada?

As APIs são fundamentais para a experiência com aplicações web, e não há um caminho alternativo emergente. O problema é que essa atenção para elas ainda não chegou ao campo de segurança. É comum ver times de desenvolvimento considerando como o suficiente apenas autenticação, SSL e cuidado com ataques comuns como injection. Ou então, equipes de segurança que recebem os pacotes antes do lançamento e fazem avaliações sobre o risco daquele código específico. Ou equipes de operações que consideram WAF e API Gateway e monitoramento das redes o suficiente. Por que essas abordagens não são o suficiente?

O desenvolvimento das APIs trouxe consigo novas práticas. Entre elas, a arquitetura de microsserviços. Como consequência, o risco de uma falha de segurança na interação entre serviços cresce exponencialmente à medida que novos serviços são adicionados. Um provável reflexo disso é o comportamento da Quebra de Controle de Acesso nas listas da OWASP. Na primeira divulgação, em 2004, essa vulnerabilidade ocupava a segunda posição. Após a evolução do conhecimento sobre o assunto e a incorporação disso em frameworks de aplicação, esse problema ocupava a quinta posição na lista de 2017. Agora, se olharmos para a primeira OWASP Top 10 para API, de 2019, a principal ameaça é um tipo de Quebra de Controle de Acesso. E na última publicação da principal lista da OWASP, em 2021, essa vulnerabilidade está no topo, enquanto Injection, que historicamente tem sido um dos principais temores de quem se preocupa com segurança de aplicações, caiu para a terceira posição.

Usando como exemplo o BOLA (Broken Object Level Authorization), que ocupa o topo da OWASP para APIs e é uma quebra de controle de acesso, sua exploração gera uma requisição com características iguais à de um usuário normal, dificultando sua detecção por um WAF (para mais detalhes, veja o artigo anterior). Uma estratégia de mitigação eficiente demanda informações contextuais da lógica da aplicação. Informações que precisam ser adquiridas com agilidade, uma vez que toda essa evolução na arquitetura das aplicações web contribuiu para um salto na velocidade de lançamentos de novas features.

Essa maior velocidade na implementação de código em produção é um fator que piora o cenário de vulnerabilidade em APIs/Aplicações Web. Uma pesquisa da ESG (Enterprise Strategy Group) apontou que 48% dos respondentes lançam código com vulnerabilidade com frequência. Entre os principais motivos, 54% responderam que foi para cumprir um deadline e 45%, porque as vulnerabilidades foram descobertas muito tarde para serem corrigidas a tempo. Imagine a potencial superfície de ataque em um ambiente com inúmeras APIs (algumas não catalogadas e “esquecidas” pelo time, inclusive), múltiplos microsserviços se comunicando, sendo que frequentemente alguns deles contêm vulnerabilidades.

Portanto, é fundamental que uma abordagem que resolva problemas específicos de segurança para APIs esteja incluída em uma abordagem de segurança para aplicações web. 

Diante disso, é dever da GoCache se alinhar às novas necessidades, assim, anunciamos que estamos desenvolvendo uma nova suite para proteção de APIs. 

Uma série de novidades serão anunciadas, e se você quiser saber em primeira mão e participar do beta, entre em contato com produto@gocache.com.br

Vamos construir o futuro da Segurança de Aplicações Web juntos?

Por Victor Queiroz Vilas Boas, Product Manager GoCache.

Por que Web Application Security não é suficiente para segurança em API’s?

Houve um tempo em que as aplicações web eram formadas por um grande bloco de código, homogêneo, em que o backend já entregava a página renderizada ao cliente. Esse grande bloco era hospedado em um grande servidor (ou alguns), dentro de um datacenter, no qual o perímetro de rede era ferrenhamente guardado, tal qual um castelo, mas onde tudo o que estivesse dentro do perímetro, era considerado seguro.

Ok! Isso não é assunto para arqueologia, já que boa parte das aplicações atuais ainda usam essa arquitetura. Mas o ponto importante aqui, é que as ferramentas de Web Application Security, como WAF e Application Security, como Application Security Testing (AST) surgiram dentro deste paradigma.

Como as páginas eram entregues prontas do servidor, a aplicação era um bloco homogêneo e estável, e o perímetro de rede era totalmente conhecido e controlável, a superfície de ataques era bastante reduzida e em questão de alguns ajustes, a proteção de um WAF era efetiva. Da mesma forma, testes com SAST e DAST reproduziam o comportamento da aplicação em produção, com menos distorções.

Mas de lá para cá, muita coisa vem acontecendo gradualmente: Single-Page Application, Mobile, integração entre empresas, cloud, frameworks de frontend reativos, arquitetura de microsserviços. E junto com tudo isso, emergiu um elemento fundamental para o funcionamento de tudo o que foi mencionado anteriormente: API ou Application Programing Interface.

A segurança de APIs é peculiar em relação à segurança de aplicações web a ponto de ter a sua própria lista de top 10 ameaças da OWASP. Apesar de ter grandes vulnerabilidades em comum com aplicações web, como injection, estão em destaque problemas de autenticação e autorização, como Broken Object Level Authorization e Broken Authentication.

Um exemplo destes tipos de vulnerabilidade aconteceu com a Uber em 2019. Ao criar uma conta, o browser do motorista enviava uma chamada com o parâmetro “userUuid”, e em troca recebia um JSON com detalhes da conta. O problema é que a API não validava que quem estava chamando era realmente o dono do “userUuid”, sendo que um atacante poderia enviar uma chamada com o “userUuid” de qualquer usuário, recebendo dentre outras informações sensíveis, o token de identificação, que poderia ser usado para roubar a conta. Felizmente isso foi descoberto antes de ser explorado, mas mostra a gravidade do problema.

E por que um WAF não protege contra um ataque como esse? A resposta é que esse tipo de vulnerabilidade depende intimamente do contexto específico da aplicação. No caso acima, a requisição é idêntica a uma requisição comum, de forma que difícil ela se encaixaria no padrão de alguma regra. Seria necessário detectar que a chamada na API não foi realizada em um fluxo normal, ou que o atacante não tem autorização sobre o “userUuid”, o que é muito específico à forma como a aplicação foi construída.

Algumas são as razões para a emergência dessas vulnerabilidades específicas. Como a renderização é feita do lado do cliente, as APIs ficam mais próximas às fontes de dados sensíveis. Além disso, com a emergência da arquitetura de microsserviços, a autenticação e a lógica da API são executadas em serviços diferentes, provavelmente geridos por equipes diferentes. Mesmo que as equipes adotem boas práticas de autorização, cada interação entre microsserviços corre o risco de expor uma falha. Como a complexidade se eleva exponencialmente em relação à quantidade de serviços e equipes, os pontos potenciais de falha são multiplicados. Por isso AST também perde eficiência neste contexto: o código do serviço pode estar perfeito, mas o problema está na interação com outros serviços.

Tendo em vista tudo o que foi mencionado, para a GoCache, é fundamental investir em novas soluções mais direcionadas aos problemas de vulnerabilidades de API. E é exatamente o que está acontecendo! Estamos preparando uma série de novidades em uma nova suite de produtos de API Protection.

Entre em contato com produto@gocache.com.br para participar do beta e ajudar a construir o futuro da Segurança de Aplicações Web. Afinal, API Security também é Web Application Security, e esse é o tema do próximo artigo desta série.

Por Victor Queiroz Vilas Boas, Product Manager GoCache.