Defesas proativas, colaboração entre setores e resiliência são essenciais para combater ameaças cada vez mais sofisticadas.
Desde o aumento da sofisticação dos exploits de zero-day até o fortalecimento das alianças entre estados-nação e cibercriminosos, 2024 trouxe mais evidências de como o cenário de ameaças continua a evoluir rapidamente. O ano reforçou verdades difíceis sobre a persistência dos atacantes e os desafios sistêmicos da defesa. Olhamos para trás em alguns dos eventos que definiram 2024 e os insights táticos que as equipes de segurança podem aplicar para se manter à frente na batalha contínua em 2025.
Os pesquisadores de ameaças continuaram a observar um aumento ano a ano dos exploits de zero-day. Uma análise recente da Mandiant de 138 vulnerabilidades divulgadas em 2023 encontrou que a maioria (97) foi explorada como zero-days — um aumento em relação a 2022. Tom Kellermann, vice-presidente sênior de estratégia cibernética da Contrast Security, espera que esse número aumente em 2024.
Esse crescimento é resultado direto das tensões geopolíticas, afirma Kellermann. Ator de estados-nação, particularmente a China, está explorando esse tipo de vulnerabilidade a taxas sem precedentes.
“Os chineses, especificamente, têm feito uma pesquisa tremenda para explorar e descobrir zero-days”, diz Kellermann. “Acho que todos estão um pouco em desvantagem ao lidar com isso, porque as defesas tradicionais de cibersegurança não conseguem impedir esses ataques.”
O aumento desses tipos de ataques inclui uma nova tendência em 2024: colaboração ou coordenação entre estados-nação e quadrilhas de cibercrime, diz Stephan Jou, diretor sênior de análise de segurança da OpenText Cybersecurity.
“Nesse modelo, um ataque com características de estado-nação é lançado ao mesmo tempo, ou logo após, um ataque ao mesmo alvo por um ator de ameaça independente com fins lucrativos. A Rússia, por exemplo, tem sido vista colaborando com gangues de malware como serviço, incluindo Killnet, LokiBot, Gumblar, Pony Loader e Amadey. A China entrou em relações semelhantes com as quadrilhas de cibercrime Storm-0558 e Red Relay, geralmente para apoiar sua agenda geopolítica no Mar do Sul da China.”
Chester Wisniewski, CTO global de campo da Sophos, diz que atacantes patrocinados pela China desenvolveram exploits de zero-day em linha de montagem, compartilhados por meio de leis de divulgação mandatadas pelo estado. Os atacantes inicialmente usavam zero-days em ataques direcionados, depois os escalavam para exploração generalizada a fim de cobrir seus rastros. O gerenciamento proativo de patches e a colaboração entre fornecedores e organizações para mitigar ameaças são fundamentais, afirma.
“O verdadeiro problema é o acúmulo de coisas que não estão sendo corrigidas,” diz Wisniewski. “Continuamos lançando mais equipamentos na Internet. E está ficando cada vez mais poluído, e ninguém é responsável por cuidar disso.”
Jou concorda e diz que a lição aqui é que a defesa contra até mesmo ataques sofisticados volta aos mesmos princípios básicos: gerenciamento de patches, proteção de endpoints, segurança de e-mails, treinamento de conscientização e planejamento de backup e recuperação de desastres.
“Ao garantir que essas melhores práticas essenciais, mas sem glamour, estejam em vigor, as equipes de segurança podem roubar dos atacantes muitas das suas táticas favoritas para abusar de redes e empresas,” diz ele.
O Planejamento de Resiliência Precisa de Mais Foco
Os ataques de ransomware em 2024 destacaram a fragilidade das cadeias de suprimentos e da continuidade dos negócios. Os operadores de ransomware agora estão mirando em prestadores de serviços e redes de cadeias de suprimentos, diz Wisniewski. Um ciberataque à Ahold Delhaize, empresa controladora de grandes cadeias de supermercados dos EUA, como Stop & Shop, Hannaford, Food Lion e Giant Food, interrompeu serviços em sua rede em novembro, afetando mais de 2.000 lojas. Por vários dias, os clientes enfrentaram problemas com entregas de supermercado online, sites fora do ar e serviços limitados nas farmácias.
Melhorar as estratégias de continuidade dos negócios, incluindo ferramentas modernas de segmentação, pode ajudar a minimizar interrupções operacionais durante incidentes, afirma Wisniewski.
“Quando uma parte de uma cadeia de suprimentos falha, isso impacta milhares de empresas,” diz ele. “Isso amplifica a pressão econômica e operacional para atender às exigências dos atacantes. Você não pode planejar nunca falhar, mas pode planejar falhar com graça.”
Outro incidente de continuidade de negócios que dominou as manchetes deste ano foi a falha da CrowdStrike. Em julho, a empresa liberou uma atualização de software defeituosa que afetou aproximadamente 8,5 milhões de dispositivos que rodavam o sistema operacional Windows. O erro causou falhas generalizadas no sistema, resultando em múltiplas interrupções, especialmente na indústria de viagens. A Delta Air Lines foi forçada a cancelar milhares de voos devido às interrupções no sistema.
O evento dominou os ciclos de notícias por vários dias. Após isso, os analistas apontaram a necessidade crítica de melhor aderência aos processos e visibilidade. Mas Dror Liwer, cofundador da Coro, afirma que isso também destaca a necessidade de líderes de segurança se comunicarem efetivamente com diversos stakeholders — seja equipes técnicas, executivos de negócios ou partes externas — ao gerenciar as consequências de um incidente em larga escala.
Infraestrutura Crítica é um Alvo Crescente
Os ataques à infraestrutura crítica atingiram novos níveis em 2024. Em setembro, a Cybersecurity and Infrastructure Security Agency (CISA) emitiu um aviso de que os sistemas de água administrados pelo governo estavam em risco de ataques por estados-nação, depois que autoridades relataram um problema de cibersegurança em uma instalação em Arkansas City, Kansas, que foi forçada a operar manualmente enquanto a situação era resolvida.
Barry Mainz, CEO da Forescout, diz que os ciberataques estão evoluindo para atingir serviços críticos, como autoridades municipais de água e sistemas de aterrissagem de aeroportos. Este ano deixou claro que os atacantes estão mudando seu foco de instalações bem protegidas para sistemas mais vulneráveis, como abastecimento de água e redes elétricas, afirma ele.
“Se você dar um zoom e olhar onde estão as vulnerabilidades, os maus atores estão dizendo: ‘Bem, está muito mais difícil agora, já que as pessoas estão gastando dinheiro para proteger certas funções de TI. Vamos descer um pouco na cadeia alimentar'”, diz Mainz.
Um dos principais desafios para garantir a segurança da infraestrutura crítica é a complexidade inerente dos ambientes operacionais. Muitos sistemas industriais operam com equipamentos legados que nunca foram projetados com a cibersegurança em mente. Além disso, frequentemente falta visibilidade sobre os dispositivos conectados dentro desses ambientes, o que pode tornar a detecção de ameaças extremamente difícil.
“A lição aqui é que precisamos investir em uma estratégia de cibersegurança não apenas para sistemas de TI, mas também para sistemas de [tecnologia operacional],” afirma Mainz. “E também precisamos pensar de forma estrutural sobre como gerenciamos esses sistemas, porque as pessoas que realmente gerenciam esses sistemas OT não são profissionais de TI.”
Uma abordagem mais eficaz, diz ele, envolve adotar ferramentas avançadas de monitoramento e detecção de ameaças, além de fomentar a colaboração entre equipes de TI e OT. Ao quebrar silos e melhorar a comunicação, as organizações podem abordar melhor os requisitos de segurança únicos da infraestrutura crítica. Mainz apontou a importância de parcerias entre o governo e o setor privado para reforçar as defesas.
As Telecomunicações Não Podem Ser Confiáveis
Encerramos 2024 com a notícia de que o grupo de ciberespionagem Salt Typhoon, supostamente vinculado ao governo chinês, conseguiu infiltrar redes de telecomunicações em vários países. Nos Estados Unidos, oficiais do FBI afirmam que pelo menos oito grandes empresas de telecomunicações, incluindo AT&T, Verizon e Lumen Technologies, foram comprometidas. O grupo obteve acesso a dados sensíveis, como registros de chamadas, mensagens de texto não criptografadas e, em alguns casos, áudio de chamadas ao vivo. O FBI recomendou que os americanos usassem aplicativos de mensagens criptografadas, como Signal e WhatsApp, para garantir que suas comunicações permaneçam protegidas.
Os problemas contínuos envolvendo atacantes patrocinados por estados-nação e o uso de telecomunicações são uma das maiores preocupações de Kellermann para 2025. Ele também aponta para a aquisição da Sprint pela T-Mobile em 2020, o que ele considera preocupante porque “a Sprint costumava ser a rede de backbone classificada do governo dos Estados Unidos.” Isso significa que, se houver vulnerabilidades de segurança na infraestrutura da T-Mobile, elas poderiam comprometer comunicações ou sistemas governamentais sensíveis que faziam parte da rede legada da Sprint.
“Acho que as pessoas estão ignorando isso e não estão prestando atenção completa,” afirma Kellermann.