A violação da Farmers Insurance, que afetou 1,1 milhão de pessoas, mostra por que as seguradoras devem abandonar a segurança focada na prevenção e implementar estratégias de detecção rápida.
1,1 milhão. Esse é o número de pessoas afetadas pela violação da Farmers Insurance realizada pelo grupo ShinyHunters. Isso deve servir como um alerta para todo o setor de seguros, pois mostra o quanto o terreno mudou sob nossos pés.
Durante décadas, as estratégias de segurança se concentraram em manter os invasores afastados com firewalls, agentes de endpoint e patches intermináveis. Mas esse modelo não corresponde mais à realidade. Hoje, os invasores não precisam invadir. Eles simplesmente fazem login.
O fim do perímetro
O que torna a violação da Farmers tão impressionante é o quão comum ela foi. Os invasores não precisaram desenvolver novos ataques de dia zero ou usar força bruta para passar por defesas reforçadas. Em vez disso, eles exploraram credenciais válidas, provavelmente roubadas ou obtidas por phishing de funcionários, e as usaram para se mover pelo SaaS e pela nuvem como se pertencessem a eles.
Quando um invasor obtém o nome de usuário e a senha corretos ou engana um usuário para que conceda um token de autenticação malicioso, o perímetro entra em colapso. Para o sistema, os hackers são usuários “confiáveis”. E é exatamente assim que os invasores preferem. Não é a primeira vez que vemos essas táticas, e não será a última.
Essa mudança altera tudo para as seguradoras. Se o seu modelo de ameaças ainda é dominado por assinaturas de malware e sistemas de prevenção de intrusão, você está se preparando para a guerra de ontem. A linha de frente mudou para identidade, SaaS, IA e nuvem.
Por que a prevenção está fadada ao fracasso
As seguradoras entendem os riscos melhor do que ninguém. Você não cria um modelo de subscrição com base na suposição de que todos os acidentes podem ser evitados. Você assume que haverá perdas e planeja como mitigá-las e se recuperar. A segurança cibernética exige o mesmo realismo.
Medidas preventivas não são inúteis. Elas continuam sendo essenciais para a higiene. Mas não podem ser o centro da estratégia. Comprometimento de credenciais, phishing, aplicativos maliciosos de terceiros e ameaças internas sempre vão passar. Ataques são inevitáveis. O que importa não é se os invasores entram, mas com que rapidez eles são detectados quando isso acontece.
Por que a velocidade é o diferencial
Há uma grande diferença entre um invasor que fica dentro do sistema por cinco minutos e outro que fica por cinco dias. No primeiro cenário, o raio de ação é limitado. No segundo, o invasor se mistura, aproveita a natureza da nuvem e do SaaS para extrair dados, aumenta seus privilégios, se move lateralmente e exfiltra terabytes de informações confidenciais.
É aí que muitas organizações, incluindo as do setor de seguros, enfrentam dificuldades. Os centros de operações de segurança são rotineiramente inundados com alertas, muitos deles falsos positivos. Distinguir o sinal do ruído é lento, manual e depende muito de analistas que já estão sobrecarregados. Esse atraso transforma invasões em violações.
A velocidade, portanto, é o verdadeiro diferencial. Não a prevenção perfeita. Não firewalls maiores. Velocidade de detecção, velocidade de triagem e velocidade de resposta. É a sobrevivência do mais rápido.
O que observar
A questão prática é: o que exatamente devemos monitorar? Os invasores que usam credenciais roubadas não despertam alarmes óbvios. Mas seu comportamento sim.
Atividade incomum na conta: um processador de sinistros acessando repentinamente os sistemas às 3 da manhã de um local estrangeiro.
Acesso a dados em grande escala: uma única conta baixando milhares de arquivos de segurados em um curto espaço de tempo.
Abuso de privilégios: um usuário comum criando repentinamente contas de administrador ou alterando regras de acesso.
Anomalias entre plataformas: um login de um provedor de identidade (Okta, Entra, Ping) que não corresponde à atividade em plataformas SaaS como Salesforce ou Microsoft 365.
Esses sinais nem sempre significam comprometimento. Mas são os tipos de indicadores fracos que, se correlacionados e investigados rapidamente, permitem que os defensores detectem invasões enquanto ainda são contêveis.
Lições para seguradoras
A violação da Farmers é mais um lembrete de que o setor de seguros, em virtude dos dados confidenciais que possui e da confiança que representa, é um alvo de alto valor. Os invasores buscam escala, não exploits técnicos esotéricos. E não há conjunto de dados mais rico do que milhões de apólices de clientes, históricos de sinistros e identificadores pessoais.
Para as seguradoras, as lições são claras:
- Presuma que houve violação. Assim como presume-se a perda ao subscrever, presuma que ocorrerão invasões. Crie modelos de segurança baseados na resiliência, não na perfeição.
- Invista em visibilidade. Você não pode responder ao que não pode ver. Certifique-se de ter registros abrangentes, correlacionados entre nuvem, SaaS, infraestrutura de IA e sistemas de identidade.
- Concentre-se na velocidade. Avalie a detecção e a resposta não em dias ou semanas, mas em minutos. Quanto mais rápido uma atividade incomum for sinalizada e investigada, menos cara será a violação.
- Priorize a identidade. As credenciais do usuário são o novo perímetro. Autenticação multifatorial, acesso com privilégios mínimos e monitoramento contínuo do comportamento da conta são agora os fundamentos básicos.
- Teste sua resposta. Exercícios simulados, simulações de equipe vermelha e treinamentos entre equipes não são luxos. Eles são a única maneira de garantir que sua organização esteja pronta para agir quando (não se) ocorrer uma invasão.
Uma nova mentalidade
Após uma violação como a da Farmers, o instinto geralmente é adicionar mais ferramentas de prevenção. Mas a história mostra que os invasores simplesmente encontrarão outra porta, geralmente deixada entreaberta por erro humano.
O verdadeiro diferencial é se preparar para o momento em que alguém inevitavelmente entrar. Não construir uma cerca mais alta. As seguradoras que adotarem essa mentalidade, assumindo a violação, priorizando a visibilidade e investindo em velocidade, serão as mais bem posicionadas para proteger seus clientes, sua reputação e seus resultados financeiros.
A experiência da Farmers deve ser um ponto de inflexão. A prevenção não é mais suficiente. A detecção e a resposta rápida separam um incidente menor de um desastre de primeira página.
Escrito por Ariel Parnes, cofundador e COO da Mitiga.
