Torne-se um MVP de cibersegurança: a NFL e a CISA no enfrentamento dos desafios de cibersegurança

Tomás Maldonado, CISO da National Football League, e Jeff Greene, diretor executivo adjunto da divisão de cibersegurança da Cybersecurity and Infrastructure Security Agency (CISA), participaram de um bate-papo informal com o CEO da Bitwarden, Michael Crandell, no Open Source Security Summit para se aprofundar nas melhores práticas de segurança, nos erros comuns e na ampla variedade de recursos disponíveis para as organizações. Eles também discutiram como indivíduos e organizações podem superar cibercriminosos por meio de atualizações frequentes de software, conscientização sobre esquemas de engenharia social e uso de ferramentas de segurança, como autenticação multifator e gerenciadores de senhas.

Depois de passar anos como profissional de segurança em empresas financeiras de alto nível, Maldonado assumiu a função de CISO em uma empresa de fabricação de produtos químicos e tem experiência em empresas altamente regulamentadas. Maldonado brincou: “A NFL me colocou em um combine de cibersegurança.”

Na CISA, Greene e sua equipe são responsáveis pela cibersegurança e pela redução de ameaças cibernéticas e, em última análise, de ataques cibernéticos nos âmbitos federal, civil e executivo. Embora cada agência tenha seu próprio CISO, a CISA define políticas e tem autoridade para emitir diretrizes. Greene, que tem 15 anos de experiência em cibersegurança, foi advogado anteriormente. Antes de assumir sua função atual, trabalhou no setor privado e no National Institute of Standards and Technology (NIST).

Entender a natureza e o alcance das ameaças cibernéticas é crucial no cenário de cibersegurança em constante evolução. Os cibercriminosos estão sempre aprimorando suas táticas, o que torna indispensável que as equipes de segurança estejam um passo à frente. Novas vulnerabilidades e problemas recorrentes, como phishing e ransomware, continuam sendo desafios significativos à medida que novas tecnologias surgem.

As ameaças cibernéticas aparecem em várias formas, cada uma com riscos específicos. O malware, por exemplo, é um adversário formidável, com ataques cada vez mais sofisticados e furtivos. Essa categoria inclui vírus, worms, ransomware e cryptojacking, todos capazes de causar grandes danos a sistemas e dados.

Ataques de phishing são outra ameaça persistente que mira organizações de todos os portes. Esses ataques geralmente envolvem e-mails ou mensagens enganosas que levam os destinatários a revelar informações confidenciais. Educação, conscientização e medidas de segurança robustas que detectem e bloqueiem essas tentativas são fundamentais para combater o phishing.

O ransomware, um tipo de malware que criptografa dados e exige pagamento para liberá-los, é uma preocupação significativa. As organizações devem permanecer vigilantes e adotar protocolos de segurança abrangentes para prevenir esses ataques e mitigar seu impacto.

Preparar-se para esses diferentes tipos de ameaças cibernéticas é essencial para identificar possíveis vetores de ataque e organizar estratégias eficazes de mitigação. Ao entender essas ameaças e implementar medidas proativas de segurança, as organizações podem proteger melhor suas redes, sistemas e dados confidenciais contra ataques cibernéticos.

Há anos, a NFL e a CISA se reúnem de 12 a 18 meses antes do Super Bowl. Com o Super Bowl de 2025 marcado para acontecer em Nova Orleans, a NFL garantiu que as empresas que oferecerão serviços durante o Super Bowl entendam os serviços da CISA, como exercícios simulados, treinamentos, campanhas de conscientização, varredura de vulnerabilidades e testes de penetração.

A NFL e a CISA também colaboram para identificar e mitigar ameaças persistentes avançadas e ataques cibernéticos sofisticados e prolongados que têm como objetivo roubar informações confidenciais ou sabotar operações. A computação em nuvem apresenta desafios exclusivos de cibersegurança, tornando essencial proteger a infraestrutura em nuvem contra configurações incorretas e controles de acesso inadequados.

Por exemplo, uma loja de donuts perto do Super Bowl pode aproveitar ferramentas como uma varredura pública dos sites voltados ao público da loja para garantir que não haja vulnerabilidades abertas à exploração. A CISA também pode oferecer metas básicas de segurança que dão às organizações ideias para melhorar sua segurança.

A CISA tem consultores de cibersegurança em todos os estados que podem se envolver com empresas que enfrentam ameaças potenciais. Embora o tipo de ameaça que uma empresa de energia possa enfrentar provavelmente seja mais grave do que o de uma loja de donuts, até mesmo uma loja de donuts tende a lidar com grandes volumes de informações pessoais e pode se beneficiar de varreduras de vulnerabilidades. A CISA também está fortemente focada em ajudar empresas a prevenir e fazer a triagem de ataques de ransomware. Greene afirmou: “Se acreditarmos que uma empresa está sob ataque agora ou está sendo alvo, entraremos em contato diretamente e recomendaremos as medidas de defesa contra ataques cibernéticos nas quais ela deve se concentrar.”

Gerenciadores de senhas ajudam a proteger contra ransomware ao permitir que os usuários gerem senhas fortes e exclusivas para cada site que visitam. Isso reduz o risco de reutilização de senhas e impede que as pessoas recorram a senhas mais fracas simplesmente por serem fáceis de lembrar, diminuindo a probabilidade de roubo de credenciais.

Desafios de cibersegurança ao gerenciar dados confidenciais

Empresas que operam como uma “organização de organizações” enfrentam muitos desafios únicos de cibersegurança. A NFL supervisiona 32 clubes, cada um operando suas próprias linhas de negócio adicionais.

“As práticas, os protocolos e os programas de segurança que desenvolvemos estão alinhados às recomendações de cibersegurança do NIST. É claro que também garantimos o aproveitamento dos serviços oferecidos pela CISA. Os clubes individuais entendem como a liga pode ajudá-los e também como podem se beneficiar localmente dos serviços governamentais de cibersegurança.” - Tomás Maldonado

Clubes individuais costumam trabalhar em estreita colaboração com empresas e serviços locais, e repassam aos fornecedores de sua cadeia de suprimentos as melhores práticas de segurança que observam.

Prevenir ataques cibernéticos exige uma abordagem abrangente para mitigar riscos e proteger dados confidenciais. As empresas devem investir em soluções que protejam seus sistemas contra ameaças internas e externas.

Gerenciadores de senhas podem ajudar os usuários a gerar e armazenar senhas complexas com segurança. Incentivar senhas fortes e únicas e cultivar uma cultura de cibersegurança pode impedir que cibercriminosos obtenham acesso aos sistemas e munir os funcionários com as ferramentas e os recursos necessários para identificar e escalar possíveis ameaças. Implementar a autenticação multifator (2FA) adiciona uma camada extra de segurança ao exigir que os usuários forneçam duas formas de identificação antes de acessar os sistemas, reduzindo o risco de acesso não autorizado, mesmo que as senhas sejam comprometidas. Criptografar dados confidenciais garante que eles não possam ser lidos sem a chave de descriptografia, mesmo que sejam interceptados. Configurar alertas para atividades suspeitas ou maliciosas permite que as equipes de segurança respondam rapidamente a possíveis ameaças. Ao investir nessas soluções e adotar melhores práticas, as empresas podem responder de forma eficaz a ataques cibernéticos e proteger seus dados confidenciais contra comprometimento.

“Nos anos desde [SolarWinds], fizemos um progresso incrível na implantação de detecção e resposta em endpoints em mais de 60 agências federais. Agora, podemos analisar ameaças cibernéticas e conectar esses proverbiais pontos entre as agências. Conseguimos usar nossos recursos para detectar atividades maliciosas que escaparam das nossas tecnologias de detecção de endpoints porque, quando juntamos tudo, percebemos que algo não estava certo. Conseguimos impedir o que consideramos alguns ataques de próxima geração.” - Jeff Greene

Ao mudar o foco da segurança corporativa e das oportunidades e desafios existentes, Crandell destacou que, apesar das nossas tecnologias de segurança sofisticadas, o erro humano continua sendo uma das principais causas de violações. Ele perguntou a Maldonado e Greene sobre estratégias e práticas que podem ser adotadas para incentivar comportamentos melhores.

“Procuro promover conscientização e educação com minha equipe sobre os tipos de ameaças que enfrentamos como organização”, disse Maldonado. “Também me concentro em ameaças de segurança que as pessoas podem enfrentar em suas vidas pessoais. Embora as pessoas possam gostar de ver seus funcionários como o elo mais fraco, eu enxergo pela perspectiva de que nossa equipe é nosso maior ativo. Se tenho 15.000 pessoas na minha organização, potencialmente tenho 15.000 evangelistas de segurança.”

“Se eu conseguir alcançá-las e torná-las mais instruídas em cibersegurança, elas podem ser bons sinalizadores ou evangelistas de determinados controles de segurança … Em última análise, as pessoas têm boas intenções e querem fazer a coisa certa.” - Tomás Maldonado

Maldonado também observou que as pessoas ainda dependem muito de nomes de usuário e senhas. Ele disse que a NFL tentou migrar de senhas para frases-senha porque acredita que isso dificultará a quebra por adversários e, ao mesmo tempo, facilitará a memorização pelas pessoas.

Usuários do Bitwarden que buscam uma alternativa a senhas feitas de caracteres gerados aleatoriamente também podem se beneficiar de frases-senha. Frases-senha podem ser criadas usando o Gerador de frases-senha do Bitwarden ou o pop-up de criação de itens no cofre.

“Se você ensinar as pessoas a proteger suas informações pessoais, sejam dados de cartão de crédito ou de conta bancária, elas transferirão essas habilidades — quase automaticamente — para sua vida profissional”, disse Greene. “Mas tudo isso se concentra no problema de curto prazo, e há um problema fundamental de longo prazo … Não deveríamos viver em um ambiente em que um erro momentâneo possa levar um cibercriminoso a esvaziar uma conta bancária, roubar segredos de segurança nacional ou derrubar infraestrutura crítica. Isso acontece porque o software e a tecnologia de que dependemos são construídos de forma insegura.”

“No curto prazo, precisamos fazer tudo o que discutimos e, no longo prazo, precisamos mudar a forma como essa tecnologia é construída. Precisamos que ela seja sólida como uma rocha desde o início. Precisamos de segurança desde a concepção.” - Jeff Greene

Exemplos de segurança desde a concepção incluem:

• Usar autenticação multifator.

• Relatar vulnerabilidades conhecidas.

• Ter um sistema para detectar vulnerabilidades.

• Garantir que nenhum dispositivo ou sistema venha com nome de usuário e senha padrão.

As organizações devem alterar imediatamente nomes de usuário e senhas padrão para senhas ou frases-senha fortes e exclusivas, de preferência gerenciadas e protegidas por um gerenciador de senhas com criptografia de ponta a ponta, como o Bitwarden.

Greene também incentiva todos a conferir o site da CISA para obter mais informações sobre o compromisso oficial Secure by Design.

À medida que as ameaças cibernéticas continuam evoluindo e se tornando mais sofisticadas, o papel da IA e do machine learning na cibersegurança se torna cada vez mais importante. É fundamental que as empresas adotem tecnologias capazes de detectar e responder a ameaças cibernéticas em tempo real, reduzindo significativamente o risco de violações de dados e outros ataques cibernéticos. Com a detecção de ameaças em tempo real, algoritmos de IA e machine learning podem analisar rapidamente grandes volumes de dados, identificando padrões e anomalias que possam indicar uma ameaça cibernética. Ao analisar dados históricos, a IA pode prever futuras ameaças cibernéticas e ajudar as organizações a se prepararem para possíveis ataques.

“À medida que a IA se torna mais popular, os profissionais de segurança precisam compreender melhor os possíveis riscos de segurança apresentados pela IA generativa e como podemos implementar princípios de segurança desde a concepção para estabelecer uma base sólida para a segurança de dados”, disse Maldonado. Ele acredita que os princípios de segurança desde a concepção devem ser integrados logo no início, quando futuros desenvolvedores aprendem a programar. “Há um incentivo para que os desenvolvedores aprendam a programar muito rapidamente, para que possam lançar um produto no mercado o mais rápido possível”, disse Maldonado.

“Precisamos deixar de recompensar empresas que lançam produtos rapidamente e passar a recompensar empresas que priorizam de forma cuidadosa e incorporam a segurança desde o início. É possível que as empresas atinjam suas metas de mercado e, ao mesmo tempo, protejam os usuários contra o comprometimento de seus dados.” - Tomás Maldonado

Essa abordagem proativa permite que as equipes de segurança se mantenham à frente dos cibercriminosos e mitiguem riscos antes que eles se concretizem. Sistemas baseados em IA podem responder automaticamente às ameaças detectadas, neutralizando-as antes que causem danos significativos. Isso reduz a carga sobre as equipes de segurança e garante uma resposta rápida e eficaz a ataques cibernéticos. Ao aproveitar IA e machine learning, as organizações podem aprimorar sua postura de cibersegurança e proteger melhor seus dados contra ameaças emergentes.

“Todos nós temos o poder de melhorar a segurança das nossas vidas digitais e das nossas empresas. Por mais assustador que pareça, a maioria dos ataques cibernéticos não é sofisticada, e a maioria dos invasores é preguiçosa. Se você, como indivíduo ou pequena empresa, fizer o básico — aplicar atualizações, instalar ferramentas de segurança, como gerenciadores de senhas, e usar autenticação multifator —, estará à frente da maioria dos cibercriminosos.” - Jeff Greene

Pronto para se tornar um MVP da cibersegurança com gerenciamento de senhas? Comece com uma avaliação gratuita de 7 dias para empresas, ou cadastre-se para uma conta individual gratuita.