Por Fábio Vítor, Customer Engineer na Microsoft Portugal e Hélder Nascimento, Senior Consultant na Microsoft Portugal
Considerando os eventos de segurança mais mediáticos que ocorreram mais recentemente em Portugal, e devido ao contexto pandémico, assistimos a um crescimento nos projetos associados a Cibersegurança no mercado português.
De acordo com o nosso Relatório de Defesa Digital, à escala global, bloqueámos, entre julho de 2020 e junho de 2021, 9 mil milhões de ameaças a dispositivos, 32 mil milhões de ataques por e-mail e 31 mil milhões de ameaças. Para concretizar um pouco estes números, de acordo com os dados de registo de autenticação do Microsoft Azure Active Directory (Azure AD – o serviço de diretório de utilizadores na Cloud Microsoft), ocorrem 921 ataques de passwords por segundo, tendo a frequência dos mesmos quase duplicado nos últimos 12 meses. Isto justifica plenamente a expressão “Hackers don’t break in, they log in”.
Assim sendo, e de forma a poder fazer face a todas estas tentativas de intrusão, a Microsoft, acompanha de perto cerca de 40 estados-nação e mais de 140 grupos criminosos conhecidos, recolhendo diariamente 24 triliões de sinais. Isto possibilita a proteção em tempo real dos cerca de 650.000 clientes que a Microsoft serve através da sua cloud. Em função disso, em 2021, foi possível bloquear 32 biliões de ameaças por email, por exemplo.
Especificamente para Portugal, não temos acesso a estes dados, mas sabemos que o país acompanha as tendências globais do ponto de vista de volume, velocidade e sofisticação deste tipo de ataques. Todos testemunhámos diversos incidentes mediáticos no nosso país, numa escala, frequência e abrangência pouco comuns, e que trouxeram a temática da cibersegurança para a ordem do dia. Tornou-se um tema ao qual já não é possível ficar indiferente.
Com o contexto pandémico e a necessidade de acelerar os processos de digitalização, a tendência de adoção e migração para a cloud é seguramente de crescimento. Prova disso é que acelerou como consequência da pandemia: de acordo com a IDC, os serviços cloud cresceram 24,1% em 2020.
Atualmente, já muitas organizações em Portugal, tanto no setor público como no privado, assentam hoje o seu negócio em soluções cloud pública ou híbrida, tirando partido das vantagens financeiras e, sobretudo, do ritmo de inovação, que é cada vez um fator de diferenciação no mercado. No entanto, relativamente à adoção da cloud nem sempre são seguidas as boas práticas e, em alguns casos, existe demasiada pressão em migrar o mais rapidamente possível, deixando a segurança para segundo plano.
Devido a este cenário, as infraestruturas da organização poderão ficar expostas e mais facilmente serem comprometidas. Adicionalmente, a própria maturidade das organizações a nível de segurança tem impacto direto na correta adoção de serviços cloud. Existe uma responsabilidade partilhada entre o fornecedor de serviço cloud e o cliente, o que por vezes não é claro para as organizações. Esta diferença de expectativas pode ter como consequência a existência de lacunas nas configurações de segurança.
Adicionalmente, o próprio contexto de trabalho híbrido trouxe ameaças de segurança adicionais. Se antes, a segurança tinha fronteiras mais definidas, mais físicas e mais binárias, o utilizador e os seus dispositivos ou estavam fora (da rede interna, do edifício) ou estavam dentro – e o mesmo se passava com os dados – já, atualmente, as redes das nossas casas também fazem parte das redes das empresas, bem como muitos dos dispositivos pessoais dos utilizadores, partilhados entre os próprios e os seus familiares. Os paradigmas de segurança e as metodologias do passado tornam-se pouco eficazes nesta nova era de massificação da cloud e de trabalho híbrido, o que obriga a uma mudança de postura das organizações face à cibersegurança.
A Microsoft enquanto «provider» de soluções produtividade e segurança procura responder às necessidades dos clientes com uma oferta integrada, isto é, com a disponibilização destes serviços que permite às organizações disponibilizar ferramentas para aumentar a produtividade dos seus colaboradores, enquanto disponibiliza produtos de segurança integrados que procuram proteger os dados e aumentar a superfície de interação dos utilizadores (um dos principiais vetores de exploração de vulnerabilidades).
Esta abordagem combinada diminui o esforço de implementação bem como o seu custo, uma vez que tira partido da partilha de vários requisitos e do conhecimento dos objetivos do negócio para as fases de «deployment» das soluções.
Uma das grandes vantagens da utilização das chamadas «workloads» ou serviços em Cloud prende-se com o facto da capacidade de escalabilidade célere. Se a organização tiver um crescimento repentino do número de utilizadores por aquisição ou necessidades de disponibilização de aplicações com «picos» estimados, a Cloud dará essa resposta de forma mais ágil. Os custos aliados à manutenção ou instalação de atualizações programadas em que era exigido esforço das equipas é substancialmente menor, uma vez que a Cloud oferece esses serviços de atualização em modelos de “as-a-service” onde o cliente tira partido com menor esforço de implementação, manutenção e gestão continuada – o «core» da abordagem do Microsoft Azure.
Também a implementação das melhores práticas de segurança está inerente nos serviços Cloud da Microsoft, onde o cliente facilmente tem acesso a políticas já pré-definidas, fáceis e ágeis de implementar para proteger utilizadores e dados – disponibilizado pela suite de Microsoft Defender for Cloud – reduzindo o esforço de implementação.
Adicionalmente, a capacidade de deteção e proteção contra ameaçadas cresce com o apoio de engenheiros da Microsoft que suportam e alimentam estas mesmas plataformas. Um dos exemplos, o Microsoft Intelligent Security Graph, onde as organizações podem identificar atempadamente ameaças e responder, em tempo real, com serviços baseados em inteligência de cibersegurança global, fornecida à escala da cloud. As fontes de dados incluem 18 milhares de milhões de páginas web do Bing, 400 milhares de milhões de e-mails, mil milhões de atualizações de dispositivos Windows e 450 milhares de milhões de autenticações mensais.
Contudo, e porque a análise e visibilidade de dados também é muito importante, recentemente lançámos o Microsoft Purview, uma solução de gestão de dados unificada que permite gerir e proteger o património de dados das organizações, respondendo aos desafios da descentralização do local de trabalho. Esta nova ferramenta oferece recursos de gestão de identidade e acesso, proteção contra ameaças, segurança na cloud, gestão de postos de trabalho e gestão de privacidade, numa abordagem de segurança abrangente.
Devido aos recentes incidentes, mais mediáticos, temos assistido a um aumento da importância do investimento na cibersegurança no mercado português, mas sentimos que ainda há um grande caminho a percorrer. Este é um esforço que deve ser assumido e partilhado, em larga medida, tanto pelas organizações públicas como pelas privadas, para que possamos tentar minimizar o impacto que os ataques podem ter. Deve ser, também, essencialmente, um trabalho de prevenção – e não apenas mitigação já perante ameaças confirmadas – na delineação das estratégias de segurança com base nos modelos de avaliação, entre outros.
A cibersegurança deve ser tratada com uma visão de jornada, um caminho de avaliação permanente do risco, apoiada por processos e tecnologia que funciona como um suporte às iniciativas de transformação digital, e não um obstáculo à mesma. Devemos incluir princípios de cibersegurança na génese da cadeia de valor das soluções (security by design) de forma a definir processos que assentem nestes princípios. O «security by design» implica um investimento maior na fase de desenho, mas traduz-se numa redução significativa de investimento em fases mais avançadas do ciclo de vida das aplicações.