Nos últimos anos, temos testemunhado cibercriminosos aprimorarem suas operações e introduzirem táticas mais sofisticadas nos esforços para comprometer organizações em todo o mundo. Tudo o que precisamos fazer é olhar para as manchetes recentes para saber que os esforços dos atacantes para expandir e infiltrar-se nas redes corporativas têm sido e continuam a ser predominantes. A partir de pesquisas que mostram que quase um terço dos grupos APT estavam ativos no primeiro semestre de 2023 devido ao crescimento contínuo do ransomware , todas as organizações, independentemente do tamanho ou setor, são agora um alvo.

Nenhuma organização pode combater o crime cibernético sozinha, mesmo com as tecnologias mais eficazes e profissionais de segurança qualificados. É necessária maior colaboração e transparência entre as organizações dos setores público e privado para combater eficazmente o crime cibernético, e cada empresa tem um papel a desempenhar.

Durante nossa recente Cúpula de Segurança da Fortinet , Hugh Carroll, Chefe de Assuntos Governamentais da Fortinet, conversou com Suzanne Spaulding, membro do Conselho Consultivo Estratégico da Fortinet (FSAC) e ex-subsecretária da Diretoria Nacional de Proteção e Programas (NPPD) do Departamento de Segurança Interna. e Dr. Carl Windsor, vice-presidente sênior de produtos e soluções da Fortinet, para discutir a importância da transparência na proteção de nossas redes e dados. Abaixo estão os destaques da conversa.

Maior transparência gera melhor segurança

Quando uma organização está sob ataque, há uma grande chance de que outras organizações do mesmo setor ou região geográfica estejam enfrentando ou irão sofrer o mesmo tipo de ataque. É por isso que aumentar a nossa partilha colectiva de informações sobre ameaças e vulnerabilidades permite o que Spaulding chama de “lutar na luz”, o que é vital para proteger as empresas e impedir potenciais violações. À medida que organizações diferentes descobrem novas informações sobre ameaças ou insights sobre vulnerabilidades, elas devem considerar como uma maior transparência tornará todos mais seguros . “Existem tantos adversários [tentando roubar] informações”, observou ela. “Quem conseguir descobrir como operar de forma mais eficaz num mundo transparente terá a vantagem.”

Windsor repetiu os pensamentos de Spaulding, observando: “A luz solar é o melhor desinfetante”. Quando as organizações adquirem o hábito de partilhar informações críticas o mais rapidamente possível, os profissionais de segurança têm uma oportunidade melhor de se protegerem eficazmente contra uma nova ameaça ou vulnerabilidade.“ Isso coloca-nos um passo à frente dos adversários”, concluiu Windsor.

A necessidade de normalizar a transparência

Spaulding e Carroll concordaram que a comunidade de segurança deve normalizar a transparência e a partilha de informações para que as organizações possam avançar colectivamente na sua luta contra os adversários. “Todo mundo está sendo atacado todos os dias. Precisamos eliminar o estigma associado a isso”, insistiu Spaulding. “E a mesma coisa deve acontecer agora com relação às divulgações de vulnerabilidades.”

Um artigo recente da Forbes reforçou este ponto, enfatizando: “Se uma empresa de segurança cibernética afirma ter zero vulnerabilidades, isso deveria ser um sinal de alerta. Se você encontrar um fornecedor que não alega vulnerabilidades, é quase certo que isso se deve à falta de divulgação, e não à falta de problemas.” Em última análise, isso pode representar um risco cibernético significativo para os clientes.

Agências governamentais dos EUA como CISA, NSA e FBI colaboram para disponibilizar informações críticas aos profissionais de segurança. Spaulding enfatizou a importância de os fornecedores serem mais abertos sobre as vulnerabilidades em seus produtos. “Todo software terá vulnerabilidades. Portanto, a verdadeira questão é: quando você [como cliente] descobrirá essas vulnerabilidades para poder tomar as medidas de mitigação apropriadas?” ela perguntou.

Quando questionado sobre quais considerações os clientes devem considerar em relação às melhores práticas de medidas de mitigação para incorporar em sua análise de soluções de segurança cibernética, Windsor recomendou que os líderes de segurança analisassem o site de uma organização e revisem suas vulnerabilidades publicadas para verificar rapidamente se a transparência está em seu DNA. “[Se você olhar nosso site, verá] avisos que publicamos. Nós as divulgamos independentemente de descobrirmos essas vulnerabilidades internamente ou não. Alguns fornecedores não publicam todas as suas vulnerabilidades, o que é problemático porque os usuários e clientes não sabem que precisam atualizar ou corrigir seus dispositivos.”

Adotando a segurança “Shift-Left”

Além de apelar a uma maior transparência e partilha de informações, Spaulding e Windsor discutiram a necessidade de os fornecedores adotarem cada vez mais uma abordagem de mudança para a esquerda em relação à segurança.

Windsor falou sobre a abordagem da Fortinet para melhorar seu ciclo de vida seguro de desenvolvimento de produtos, tornando as tecnologias da organização seguras desde o design e seguras por padrão. “O objetivo do que estamos tentando alcançar é mudar a segurança para a esquerda, para chegar ao ponto em que não haja vulnerabilidades no código de produção.” Windsor acrescentou: “Também estamos fazendo coisas como modelagem de ameaças para projetar vulnerabilidades do produto na primeira etapa”.

Mais insights da terceira cúpula anual de segurança da Fortinet

A Fortinet recebeu recentemente mais de 500 executivos, especialistas e líderes de pensamento no Silverado Resort em Napa, Califórnia, para a sua terceira cimeira anual de segurança para discutir as questões mais prementes da segurança cibernética. Saiba mais sobre o Fortinet Security Summit e leia informações adicionais do evento.