As medidas essenciais a serem tomadas quando sua empresa é atingida por um ataque cibernético — e por que você NUNCA deve se desconectar
Como Ginni Rometty, ex-CEO da IBM, disse certa vez, o crime cibernético é a maior ameaça para todas as empresas do mundo. E o empresário bilionário Warren Buffett foi ainda mais longe, acrescentando que os ataques cibernéticos são o problema número um que a humanidade enfrenta — pior até do que as armas nucleares.
Para cada avanço que a IA e a cibernética proporcionam às organizações e à sociedade em geral, elas oferecem a mesma “vantagem” aos fraudadores — criminosos que estão se tornando cada vez mais sofisticados em seus crimes. E quando se trata de riscos cibernéticos em ambientes virtuais, como máquinas virtuais (VMs), essas ameaças geralmente estão profundamente enterradas em sistemas que a maioria das organizações ignora.
Em uma entrevista recente à Insurance Business, Jack Brooks, chefe da Hackbusters e diretor virtual de segurança da informação da BOXX Insurance, foi inequívoco sobre o desafio: as empresas estão se concentrando nas camadas erradas de sua infraestrutura, deixando componentes fundamentais vulneráveis a violações silenciosas e catastróficas.
“Há várias maneiras pelas quais [as VMs] podem ser comprometidas”, explicou Brooks. “Onde uma VM ou máquina virtual é diferente de um servidor normal… Você também precisa de um sistema operacional VM subjacente, como o VMware.”
Muitas organizações presumem que suas medidas de segurança são suficientes porque suas máquinas virtuais parecem normais à primeira vista. Essa suposição pode custar caro. Como Brooks esclareceu, há dois locais diferentes onde um invasor pode comprometer uma VM. Se o invasor tem como alvo uma máquina virtual específica, os sinais de alerta podem ser familiares — você verá coisas como arquivos sendo modificados ou criptografados e uma alta utilização de recursos nesses servidores.
Mas o comprometimento mais sério — aquele que tem como alvo o sistema operacional host — é muito mais discreto.
“O que observamos quando o host da máquina virtual ou o sistema operacional é comprometido”, acrescentou Brooks, “é que grande parte dessa alta utilização, ou seus indicadores típicos, ficam mascarados”. Como o sistema operacional host não é usado diretamente ou monitorado de perto pela maioria das equipes, os alertas padrão não são acionados e as anomalias passam despercebidas.
Essa falta de visibilidade se torna ainda mais perigosa quando combinada com falhas básicas de manutenção.
“Vimos casos em que o sistema operacional host foi comprometido porque não foram aplicados patches”, acrescentou Brooks.
Os sistemas operacionais host de VM frequentemente permanecem sem patches devido a uma combinação de barreiras operacionais, organizacionais e psicológicas. A aplicação de patches normalmente requer uma reinicialização, o que significa tirar todas as VMs hospedadas do ar — uma compensação disruptiva e muitas vezes inaceitável para ambientes sensíveis ao tempo de atividade.
A ambiguidade da propriedade também desempenha um papel importante. Como explicou Brooks, nem sempre é claro quem é responsável por essas atualizações: TI, equipe de aplicativos, provedor de nuvem ou um MSP. Isso leva a suposições e inação. Sem uma estratégia centralizada de gerenciamento de patches, as atualizações são frequentemente deixadas para processos manuais, aumentando a chance de serem adiadas ou esquecidas.
O medo é outro fator. As atualizações podem criar situações em que os sistemas param de funcionar corretamente, disse Brooks à IB – descrevendo uma mentalidade comum de “se não está quebrado, não conserte”. Em muitos casos, as equipes contam com instantâneos de VM como rede de segurança, mas isso pode gerar complacência. E como os sistemas operacionais host normalmente exigem pouca interação diária, eles muitas vezes ficam fora de vista e fora da lista de prioridades.
E todas essas possibilidades ameaçadoras infelizmente se materializaram recentemente para um quarteto de irmãs CEOs proprietárias de uma organização canadense de bem-estar, quando seu sistema de VM foi hackeado por uma ameaça externa.
Hatice Demir, chefe de TI e irmã do meio com inclinação para a tecnologia, era conhecida por ser meticulosa. Ela se certificava de que os backups existissem em dois lugares, executava verificações regulares do sistema e treinava sua equipe para ficar atenta. A equipe de Hatice nunca perdeu uma atualização do Windows em suas máquinas físicas, mas deixou de aplicar patches no sistema operacional da máquina virtual. Esse é um ponto cego comum que permitiu aos hackers explorar silenciosamente a máquina virtual sem patch.
A equipe de Hatice percebeu uma atividade estranha e tentou conter a violação por conta própria, mas os invasores se mostraram teimosos e esquivos. Quando ficou claro que não poderiam resolver a ameaça sozinhas, as irmãs entraram em contato com a BOXX Insurance e Brooks, diretor virtual de segurança de seguros da BOXX, fez o resto. Os Hackbusters entraram em ação. Eles protegeram a rede, expulsaram os invasores e iniciaram a recuperação. Em 36 horas, eles colocaram 80% das operações da empresa de bem-estar de volta online.
E a resposta das irmãs foi exatamente o que Brooks recomendaria. Como Brooks disse à IB, para lidar com quaisquer riscos de VM, as organizações devem:
- Manter um inventário atualizado de todas as VMs e sistemas operacionais host, com atribuições de propriedade claras.
- Executar varreduras de vulnerabilidade que incluam sistemas host.
- Usar soluções de patch centralizadas e automatizadas com alertas de escalonamento.
- Criar janelas de patch dedicadas e impor aprovações de exceções em nível sênior.
- Estabelecer mecanismos de governança que rastreiem os patches e sinalizem quaisquer lacunas.
Para as organizações que pensam que estão imunes a ataques, Brooks oferece um aviso severo. “Não importa o quanto você ache que seus sistemas são seguros, tome precauções extras — isso pode evitar muita dor e sofrimento.”
Essa complexidade técnica e a crescente sofisticação dos ataques levaram a uma evolução paralela no seguro cibernético. De acordo com Brooks, as apólices devem ser estruturadas para fornecer proteção ampla e flexível.
“Trata-se realmente de garantir que sua apólice cibernética seja abrangente… sem muitas sublimitações. Se for uma apólice independente, é provável que seja mais abrangente do que uma apólice cibernética adicional a algum outro seguro. Essas tendem a ser muito mais limitadas.”
Mas, além de ter a documentação correta, as organizações precisam ter acesso a suporte real no meio de um incidente. É fundamental ter pessoas para quem você possa ligar, que não apenas recebam sua reclamação, mas estejam lá para ajudá-lo durante todo o processo. Muitas pequenas e médias empresas ensaiam cenários simulados de violação, mas “os cenários reais são muito diferentes”, explicou Brooks.
“Você pode passar todo o tempo do mundo em um simulador de voo, mas até você realmente assumir o controle de um avião real, é muito diferente.”
Para Brooks, é aí que a BOXX Insurance agrega valor.
“Ter alguém que possa fornecer orientação, conselhos, que já passou por literalmente centenas desse tipo de situação é extremamente útil.”
Essa realidade ressalta por que os cantos mais discretos da infraestrutura de TI — como os sistemas operacionais de hosts de VM — merecem o mesmo nível de vigilância que os pontos finais mais visíveis. A mensagem de Brooks é clara: não espere até que um ataque exponha o ponto cego. Monitore profundamente. Prepare-se amplamente. E, em caso de dúvida, peça ajuda.
