Na primeira parte desta entrevista, falámos com o nosso consultor Diogo Sousa, Offensive CyberSecurity Specialist num projeto na área Financeira, sobre red team, segurança ofensiva e o trabalho de quem testa sistemas, processos e pessoas antes que alguém com más intenções o faça. Nesta segunda parte, a conversa avança para uma dimensão mais estratégica: o impacto direto da cibersegurança no negócio.
No fim do dia, a segurança não é apenas uma questão técnica, mas sim de continuidade operacional, confiança, proteção de dados e capacidade de resistir quando algo corre mal. Entre projetos, uso de IA, certificações e o futuro dos perfis em segurança informática, esta conversa mostra-nos como o trabalho de uma red team pode ajudar as empresas a perceber melhor os seus riscos e a preparar-se para ameaças cada vez mais difíceis de antecipar.
Como é que a tua equipa contribui para o sucesso do cliente?
A minha equipa contribui para o sucesso do cliente ao reduzir a probabilidade e o impacto de qualquer incidente relacionado com segurança. O objetivo é simples: evitar que um ataque aconteça e, caso aconteça, garantir que o impacto no negócio é o menor possível.
Um bom exemplo é um projeto em que estamos a trabalhar atualmente, chamado AD Segregation. O objetivo é reduzir o impacto caso exista um compromisso de segurança. Imaginemos que alguém entra na nossa infraestrutura e compromete por completo um dos nossos domínios. Nesse cenário, temos de garantir que o negócio continua a funcionar e que as restantes áreas não ficam também comprometidas.
Para isso, é necessário organizar os domínios de acordo com as diferentes business lines, de forma a garantir que, se uma delas for afetada, as outras conseguem continuar operacionais. É aqui que entra novamente o equilíbrio entre capacidade operacional e segurança.
Naturalmente, a equipa operacional tende a querer reduzir a complexidade do sistema, porque isso facilita a gestão do dia a dia. Mas, ao reduzir demasiado essa complexidade, podemos comprometer o objetivo inicial do projeto: garantir que, se houver um problema de segurança numa área, o resto do negócio continua a funcionar.
Diria que este foi o primeiro projeto que me expôs ao negócio de forma mais transversal, porque estamos a abordar as quatro business lines ao mesmo tempo. Num pentest, por exemplo, normalmente olhamos apenas para uma aplicação, um sistema ou um perímetro específico. Aqui, a visão é muito mais abrangente.
Por fazer parte da red team, também acabo por ter uma posição privilegiada. Temos alguma flexibilidade na forma como definimos as nossas operações e isso permite-nos aprender mais sobre o negócio. Se quisermos compreender melhor uma business line específica, podemos atacar essa business line e aprender mais sobre ela.
Red Team: por dentro da segurança ofensiva
Porque é que achas que é tão importante para o cliente a segurança?
A segurança é fundamental porque, se não for garantida, o negócio pode simplesmente deixar de funcionar.
Tive um exemplo muito claro há relativamente pouco tempo, há cerca de um ano e meio ou dois anos. Uma empresa com quase um século de existência, com lucros na ordem das centenas de milhões, foi vítima de um ciberataque e acabou por ir à falência. Isto mostra bem o impacto real que um incidente de segurança pode ter.
No caso de uma empresa do setor financeiro, com presença em vários países e diferentes business lines, este risco torna-se ainda mais crítico. Estamos a falar de anos e anos de construção de negócio, de confiança, de posicionamento no mercado e de vantagem competitiva. Se depois os sistemas ficam expostos, acontece um ataque e tudo cai, o impacto pode ser enorme.
Podemos ter um modelo de negócio fenomenal e campanhas de marketing capazes de atrair os melhores clientes, mas se houver um ataque informático e a operação ficar comprometida, vai tudo à vida.
Fazem um trabalho de sensibilização das novas contratações sobre estes temas?
Sim, temos campanhas de awareness. Mas, apesar de serem importantes, continua a ser complicado “vender” esta área da segurança. Normalmente, as coisas são explicadas com base em números. Se eu tiver uma empresa e conseguir aumentar o número de clientes, isso é fácil de demonstrar: tens 10 clientes, eu digo-te que vais passar a ter 20, ou seja, vais duplicar o número de clientes. Apresento um PowerPoint, explico que vais ganhar X euros e, por isso, vou cobrar Y.
Na segurança informática é diferente. Temos de vender aquilo que não vai acontecer. No fundo, estamos a dizer: “este é o dinheiro que não vais perder”
Como é que a cloud mudou o offensive security?
Estava a pensar sobre isso no outro dia. A cloud mudou o offensive security sobretudo pela dependência que hoje existe de poucos fornecedores. Grande parte do software e dos serviços cloud vem de empresas como a Microsoft e a Amazon.
Podemos ter informação guardada na Microsoft, na cloud, mas essa informação continua a ser nossa. Estamos apenas a usar aquele sistema para os nossos próprios use cases. Depois existem serviços que estão na cloud e vêm diretamente da Microsoft, e outros que também estão na cloud, mas são desenvolvidos por outras entidades.
O problema desta dependência é que perdemos alguma visibilidade sobre o que é, ou não, um comportamento expectável. Torna-se mais difícil distinguir tráfego legítimo de tráfego malicioso.
Por exemplo, temos uma entidade como a Microsoft a receber milhões de pedidos vindos de nós. Se eu colocar ali um pedido malicioso da red team, vai ser muito difícil distingui-lo dos restantes pedidos legítimos. E também será quase impossível bloquear esse tipo de ataque, porque, se eu bloquear os acessos à Microsoft, os acessos legítimos também deixam de chegar lá.
Ou seja, como não posso simplesmente bloquear, fico com um potencial problema de segurança muito difícil de resolver. E esse problema vem, em grande parte, da nossa dependência de fornecedores como a Microsoft e a Amazon.
A IA está a ajudar ou a complicar o vosso trabalho?
Eu amo. É engraçado porque eu nunca usei muito, mas esta semana apaixonei-me.
Costumava usá-la mais para desenvolvimento de código, sobretudo para criar scripts simples. Não costumo usar só para conversar, porque concorda demasiado comigo. Mas, para código e automação, tem sido muito útil.
Esta semana, a minha equipa de red team estava a automatizar alguns processos. Sempre que temos uma campanha nova, temos de levantar infraestrutura nova. Se eu usei um domínio, por exemplo abc.com, para fazer uma operação, no fim esse domínio fica associado a mim e à atividade da red team. Por isso, tenho de comprar um novo domínio e repetir todos os passos necessários.
Apesar de ser algo relativamente fácil, consome tempo e não há necessidade de perder esse tempo se conseguirmos automatizar o processo.
O problema da automação é que, para a fazer bem, temos de compreender as ferramentas que permitem automatizar. Isso implica pesquisa e tempo. Normalmente, compensa, porque fazemos a pesquisa uma vez e a automação funciona no futuro. Mas, com a IA, nem essa pesquisa tive de fazer da mesma forma.
Tínhamos um problema para resolver, dividimo-lo em 10 componentes, fui à IA, apresentei o problema e expliquei que precisava de resolver A, B e C. Pedi um script com determinados requisitos, depois outro script com outros requisitos, e assim sucessivamente. Em três dias, fizemos o trabalho que, de outra forma, poderia ter demorado três meses. É impressionante.
Se for usada da forma certa e com pedidos bem construídos, a IA aumenta a nossa produtividade de forma exponencial. É fenomenal.
Qual é que é a tua opinião sobre as trends em que as pessoas publicam imagens delas alteradas com IA? Achas que tem riscos?
Não acho que faça muito sentido, mas também não diria que é o fim do mundo.
A pessoa comum, que não é tão tech savvy, já vende ou expõe a sua informação constantemente, todos os dias. Este é apenas mais um exemplo disso. Idealmente, não o deviam fazer, a não ser que não se importem de estar a expor o seu perfil a grandes conglomerados que vão usar essa informação em benefício próprio. Mas não é por isso que alguém vai ser automaticamente hackeado, espero eu.
Ainda assim, idealmente, as pessoas não o deveriam fazer e teria especial cuidado com a publicação de fotografias de filhos nas redes sociais, porque aí existe uma vertente mais sombria.
Se hoje tivesses de começar do zero, o que aprenderias primeiro?
Primeiro, não ia para a faculdade. A faculdade deu-me boas bases e ajudou-me muito, mas, sabendo o que sei hoje, não faria esse caminho. O curso em si não é algo que use diariamente. Há conhecimento que trouxe da faculdade e que vou carregar para o resto da vida, mas, em termos de percentagem daquilo que aprendi e daquilo que uso hoje, não sei se justifica os três anos.
Em comparação, posso tirar uma certificação em três meses. Se, durante três anos, tirasse uma certificação a cada três meses, provavelmente sairia muito mais bem preparado para esta área.
O custo também teria de ser considerado. Uma licenciatura acaba por ficar quase ao mesmo preço de uma certificação, mas se tivesse acesso aos fundos necessários para estudar através de certificações, era isso que faria.
O que separa um hacker ético de um atacante malicioso, além da autorização?
A intenção. Eu posso ter autorização e, ainda assim, já ter a intenção de vender informação. Aliás, assumindo que esse é o meu objetivo, a autorização até pode facilitar o trabalho.
Se eu tiver autorização para fazer testes, posso fazer o ruído que quiser. Qualquer red flag que apareça, as pessoas vêm falar comigo e eu digo: “Sim, eu tenho autorização, está aqui.” E, muitas vezes, isso faz com que a situação seja ignorada.
No limite, posso até começar a exfiltrar dados e dizer que estou apenas a testar se o sistema deteta bem esse tipo de atividade. Entretanto, a informação já chegou ao meu lado.
O mercado está preparado para o nível atual de ameaças?
Não, e é difícil estar. Temos pessoas que começam muito cedo e fazem isto a vida toda. E depois temos países que quase criam pessoas especificamente para isto. O objetivo é terem profissionais com competências em informática capazes de encontrar problemas e explorá-los em benefício do Estado.
Há exemplos a aparecer a toda a hora. A China comprometeu uma empresa muito grande há pouco tempo e já estava nos sistemas dessa empresa há, no mínimo, seis meses. Mas tanto podia estar lá há seis meses como há quatro anos. Foi detetada apenas ao fim daquele período de tempo e ninguém sabe exatamente o que fez enquanto esteve lá dentro.
É quase uma lógica militar. A Rússia, por exemplo, faz muitas operações de OT na Ucrânia e OT é uma área difícil de estudar, porque não há tanta informação disponível.
É muito difícil combater este tipo de ameaça, porque estas entidades têm acesso a recursos, informação e tempo que nós não temos. A diferença entre nós e eles é que, se descobrirem um problema crítico numa tecnologia, não vão partilhar essa informação.
Por exemplo, a NSA (National Security Agency), nos Estados Unidos, teve acesso a sistemas Windows em todo o mundo durante não sei quanto tempo e só soubemos disso porque alguém fez leak dessa informação e a Microsoft corrigiu o problema. Se calhar até já sabiam antes, mas não podiam fazer nada por pressão do governo americano.
É sempre difícil competir neste contexto. Mesmo que estivéssemos em pé de igualdade, não conseguimos preparar-nos para aquilo que não sabemos que existe.
Achas que a Europa está atrás do resto do mundo neste aspeto?
Está, porque não valorizamos tanto esta área.
O facto de valorizarmos muito a regulamentação também acaba por jogar contra nós. Por exemplo, no caso da IA, como damos tanta importância à privacidade dos cidadãos, a tecnologia não consegue avançar com a mesma velocidade.
O mesmo acontece quando comparamos a Europa com a China. Um país que põe as pessoas a trabalhar 16 horas por dia vai, naturalmente, evoluir mais depressa do que um país que valoriza o equilíbrio entre trabalho e vida pessoal. No fundo, é uma questão de escolhas.
Que tipo de perfis vão ser mais procurados nos próximos anos?
Os perfis mais procurados vão estar ligados a cloud e à capacidade de usar IA, mas sem depender totalmente dela.
A IA facilita muito o nosso trabalho, mas as pessoas não se podem apoiar completamente nela. Já começam a aparecer casos em que, quando se pergunta a alguém como resolveria um problema, a resposta é: “vou perguntar a uma LLM e seguir os passos”. Ou então fazem algo e pedem à IA para filtrar aquilo que querem.
Essa dependência não é positiva. As pessoas têm de continuar a pensar por si próprias e a ter espírito crítico. Acho que essa vai ser uma das qualidades mais importantes no futuro: saber usar IA, mas não ser dependente dela. A palavra-chave é mesmo essa: saber usar a IA.
Também acho que containers vão continuar a ser muito importantes.
Ao mesmo tempo, sinto que algumas pessoas estão a cair no erro de estudar segurança informática “só porque sim”, sem compreenderem bem a tecnologia por trás. A segurança informática é um ramo da tecnologia. Historicamente, as pessoas não começavam pela segurança. Começavam por aprender tecnologias, percebiam que havia erros na forma como eram implementadas, depois aprendiam que esses erros podiam ser explorados e, por fim, percebiam como os corrigir.
A segurança começou muito à base da segurança de aplicações web, e muitas das pessoas que se tornaram hackers começaram como developers. Aprendiam a usar uma tecnologia, compreendiam-na, depois aprendiam a parti-la e sugeriam formas de resolver o problema.
Acho que isso se está a perder. Houve pessoas que fizeram esse trabalho por nós: aprenderam a tecnologia, descobriram como abusar dela e ensinaram esse processo. Hoje, há quem aprenda apenas essa parte, sem compreender verdadeiramente a tecnologia.
Acontece muito alguém saber que um sistema X é vulnerável, mas não compreender de onde vem essa vulnerabilidade. E isso é um problema, porque não conseguimos resolver uma coisa que não compreendemos.
Por isso, a dependência do conhecimento ofensivo, ou ficar preso apenas ao conhecimento de como explorar ou abusar de uma tecnologia, acaba por trabalhar contra nós. Mas é difícil de identificar, porque quem se foca apenas nisso pode evoluir muito mais depressa no início. Ao fim de um ano, essa pessoa consegue dizer que sabe abusar da tecnologia A, B ou C. Já outra pessoa pode conhecer apenas a tecnologia A, e nem sequer por completo, porque esteve realmente a estudar como essa tecnologia funciona. Mas, a longo prazo, é essa segunda pessoa que chega a sítios mais interessantes.
Dás muito valor às certificações, quais valem o investimento?
Elas vão alterando.
Há muitos anos, o certificado mais reconhecido era o Certified Ethical Hacker. Qualquer pessoa tinha de ter esse certificado, mas hoje em dia já não serve para grande coisa, porque caiu em desuso. Esse é o grande problema das certificações: as entidades têm de estar conscientes de que precisam de se adaptar ao tempo em que vivem.
As grandes entidades, como a Offensive Security (OffSec), que é uma das que tem os certificados mais valorizados, parecem-me estar atentas a isso. Ainda assim, noto que alguns certificados importantes estão a cair em desuso. Por exemplo, o OSEP (OffSec Experienced Penetration Tester) teve a última atualização em 2019. Tendo em conta que o conteúdo do OSEP é muito sensível ao contexto tecnológico atual, estar desatualizado há tanto tempo faz com que perca grande parte do valor. Carrega o nome, mas isso não é uma estratégia sustentável.
Se tivesse de recomendar uma certificação agora, não recomendaria necessariamente a mesma que recomendaria há cinco anos. As pessoas têm de fazer pesquisa, compreender o contexto do certificado, perceber em que parte da área se encaixa e ver se é uma certificação usada com frequência. Porque, se não for, não tem grande valor, mesmo que tenha nome.
Por exemplo, o OSCP (Offensive Security Certified Professional) é provavelmente o certificado mais valorizado hoje em dia. Qualquer job post nesta área tende a ter esse certificado como requisito. É quase o holy grail das certificações. Mas não sei se é, necessariamente, o melhor.
Há outros certificados mais baratos que podem ensinar tanto ou mais. Um exemplo é a TCM Security, do The Cyber Mentor. Foi criada por alguém que era contabilista, mudou de área, começou a criar conteúdo no YouTube para ensinar outras pessoas e acabou por criar a sua própria entidade de certificações.
É uma opção muito mais barata do que a Offensive Security e traz quase o mesmo conhecimento. Não tem o mesmo nome, claro, mas se eu tivesse de aprender agora, provavelmente começaria por aí. Ia aprender quase o mesmo, talvez até mais, e ficaria mais bem preparado para o exame seguinte, como o OSCP. Além disso, seria muito mais barato e reduzia o risco de falhar num exame mais caro.
Por isso, começaria por esse tipo de conteúdo antes de avançar para certificações mais reconhecidas e caras.
Achaste a área de Cibersegurança interessante?
Explora aqui todos os projetos que temos disponíveis!
