Reunindo inteligência sobre ameaças para fortalecer a segurança

Oi Hackers - é sua melhor amiga Amy Tom,

Imagine isso - você acorda, faz seu café, está se sentindo ótimo. Você abre seu laptop e o BAM - está bloqueado e há uma mensagem de hacker assustadora que diz para você ligar para um número para acessar seus arquivos. É como um vídeo cafona de treinamento de segurança, MAS IRL? E está acontecendo TODOS OS DIAS? Mas, além disso, quando você liga para a linha, está falando com a pessoa de suporte de uma organização de hackers.

Neste episódio, Nour me surpreende quando falamos sobre a logística das organizações de hackers. Nunca pensei no fato de os cibercriminosos terem organizações completas, o que significa que eles têm administradores, contadores, atendimento ao cliente etc.

Nour e eu também conversamos sobre inteligência de ameaças e coleta de dados para tomar decisões de segurança informadas. Na era do Big Data e da coleta excessiva de informações, eu queria entender o que precisávamos procurar. Mas vou deixar você explorar isso por conta própria no episódio 😉

Levantem-se e ouçam, Hackers! Nour Fateen, gerente de engenharia de vendas da Recorded Future, fala com Amy sobre inteligência de ameaças. Eles conversam sobre o processo de coleta de dados do ciclo de vida de inteligência de ameaças, análise e uso para proteger sua organização.

Neste episódio do Podcast HackerNoon:

• Como Nour entrou na cibersegurança? (02:00)
• Por onde as pessoas começam quando desejam configurar sua pilha de segurança? (07:06)
• Que tipo de dados preciso coletar para entender o estado de segurança da minha organização? (12:08)
• Como as pessoas com formação técnica podem aprender sobre segurança cibernética? (18:02)
• Espere, ransomware é uma ocorrência diária? (25:00)
• As grandes organizações criam um orçamento de ransomware? (31:50)

Este episódio é patrocinado pela Sonatype - a plataforma de segurança da cadeia de suprimentos de software que reduz o risco de código aberto e minimiza a exposição. Visite sonatype.com para mais informações.

Encontre Nour online:

• Conecte-se com Nour no LinkedIn: https://www.linkedin.com/in/nour-fateen-04024776?originalSubdomain=uk

Saiba mais no HackerNoon:

• Leia histórias de cibersegurança no HackerNoon: https://hackernoon.com/tagged/cybersecurity
• Leia sobre ameaças cibernéticas no HackerNoon: https://hackernoon.com/tagged/cyber-threats
• Leia sobre esta história escrita por um aluno, Aleksei Grokhotov, no HackerNoon sobre Threat Intelligence: https://hackernoon.com/what-is-threat-intelligence-used-for

Transcrição do podcast

Gerado por máquina, desculpe os erros

[00:00:01] Amy: codifique de forma mais inteligente, corrigida mais rapidamente e seja mais segura com Sonatype, a plataforma de segurança da cadeia de suprimentos de software na qual mais de 15 milhões de desenvolvedores confiam. A Sonatype ajuda os desenvolvedores a adotar a qualidade do código e as bibliotecas de código aberto com confiança para que possam alcançar. Loops de feedback 10 vezes mais rápidos. Sim. Loops de feedback 10 vezes mais rápidos.

Então visite Sonatype.com para saber mais sobre o episódio.

E aí hackers. Bem-vindo de volta a outro episódio do hacker noon pod. Pareço mais autoritário para você porque estou fazendo podcasting e esta é a primeira vez que faço isso. E ouvi dizer que isso faz você soar mais atraente ou mais como um apresentador. Então, você sabe, deixe-me saber como está indo, mas estou de pé hoje.

Rapazes. É uma vibração diferente. Mas hoje no podcast trago sobre fadiga mais recente, quem é o. Gerente de engenharia de vendas na Recorded Future. E vamos falar hoje um pouco mais sobre inteligência de ameaças e segurança cibernética, porque ele tem uma vasta experiência em segurança cibernética e ajuda. As empresas entendem seu cenário de ameaças e protegem melhor sua organização, seus dispositivos e seus dados.

Então, Nour, bem-vindo ao podcast. Como você está?

[00:01:44] Nour: Obrigado por me receber. Estou bem. É engraçado. Você mencionou ficar de pé. Eu, meus colegas, tentei me colocar em mesas de pé e eu apenas tento fazer, eles podem começar a doer, então eu sentei de volta. Então eu não acho isso.

[00:01:57] Amy: Sim. OK. Quero dizer, eu também ouvi essas coisas onde as pessoas pegam essas pequenas esteiras para quando estão em reuniões e outras coisas, e então elas gostam de caminhar enquanto elas, eu não acho que posso Faz.

[00:02:11] Nour: Uh, eu não tenho uma musa ou paciência para isso. Então, olha, sou tudo ressonância magnética, certo?

[00:02:16] Amy: Sim. Tenho o corpo de uma mulher de 80 anos. Eu fico tipo, não posso ficar de pé o dia todo, mas por uma hora estou preparado para ficar de pé e apresentar. Então vai ser. Incrível. OK. Então me conte mais sobre você. Como você chegou onde está

[00:02:35] Nour: hoje?

Sim, então, uh, eu, meu nome é Nora. Cheguei onde estou. Eu, eu saí da universidade. Eu não sabia necessariamente que queria entrar na segurança cibernética. Na verdade, comecei minha carreira na Cisco, uh, e isso era mais networking. Portanto, roteamento e comutação e soluções sem fio e de colaboração e coisas assim. E então a segurança cibernética se tornou algo que a Cisco tornou interessante.

Uh, muitas pessoas não querem que façamos isso. E então, naturalmente, achei interessante porque sempre gostei de algo que foi mais subestimado. Então, na verdade, entrei em segurança cibernética enquanto estava na Cisco. Eu comecei a amá-lo. E então, quando quis sair da Cisco, pensei, ok, bem, por que não dar um passo adiante?

Entrei no futuro gravado em 2017. E estou aqui desde então. Então, uh, foi mais ou menos assim que eu consegui. Sim. Sim.

[00:03:23] Amy: Então, pelo que entendi em sua função de engenharia de vendas, você é um gerente agora, mas deve ter passado muito tempo conversando com pessoas que fazem segurança em alto nível, como CSOs ou CTOs e coisas assim.

Portanto, com seu trabalho como gerente de engenharia de vendas, imagino que você teria que gastar muito tempo conversando. Os CTOs e CSOs e coisas assim, ou pessoas que fazem segurança fora do nosso nível realmente alto.

[00:03:50] Nour: Sim, com certeza. Quer dizer, você aprende que todo mundo está tentando entender a segurança cibernética no mesmo ritmo e muito confuso, uma grande lacuna de conhecimento.

E acho que a segurança cibernética é uma daquelas indústrias que as pessoas meio que não querem. Que eles estão sobrecarregados, mas estão. E há muito ego e muito, e você deve considerar isso como um mecanismo de vendas. Sim. Você não quer fazer a pessoa sentir que há muito para ela fazer isso.

Pode ser esmagador. E essa é a maior coisa que descobri em segurança cibernética é que há muito por aí. Não assuma que a pessoa com quem você está falando. Seus assuntos estão em ordem porque talvez eles não o façam e eles podem ser muito tímidos para trazer isso à tona porque nosso instinto humano natural é fazer parecer que temos tudo sob controle quando não temos, então isso é isso tipo o que eu aprendi.

Falar com profissionais de segurança em diferentes empresas é que você simplesmente não tem ideia do que eles estão pensando e se eles têm as coisas sob controle ou não. Depende totalmente da organização. Alguns são muito bons. Alguns precisam de muito trabalho,

[00:04:49] Amy: então, sim. Uau. OK. Eu sou a Simone. Estou sorrindo porque estou pensando.

Chegando à segurança cibernética, mas de uma perspectiva comercial e de vendas e quando você é um CDO ou um CSO e é responsável pela segurança de toda a organização. E é essa coisa que tem tantas camadas diferentes que você não quer admitir que não sabe qual é o seu

[00:05:14] Nour: exatamente. E para quem você admite isso?

Os fornecedores que estão tentando vender algo para você, obviamente não. Uh, eles podem tirar vantagem desse efeito. Então, em quem você precisa confiar? Talvez sua comunidade, talvez você não

[00:05:29] Amy: e em quem você pode confiar também? Porque é segurança no final do dia. Então

[00:05:34] Nour: exatamente. Então, quem você alcança em sua comunidade?

Talvez você não tenha uma comunidade muito boa e talvez seja novo na função de CSO ou não conheça muitas pessoas. Hum, você não tem amigos que são ex-policiais e, sabe, ex-profissionais de agências de inteligência, talvez você simplesmente não tenha esses contatos. Então o que você vai fazer?

[00:05:50] Amy: Certo. Então, como podemos, como empresários, entender melhor com o que estamos trabalhando?

OK. A questão.

[00:05:58] Nour: Hum, eu diria, acho que temos muita sorte agora que há muitas informações sobre. Então, por exemplo, se você quer fazer alguma coisa na vida, você tem muita sorte no sentido de que talvez esteja a uma pesquisa no Google de descobrir isso, certo? Não tem mais desculpa para não saber o que está acontecendo no mundo, porque temos todo o acesso às informações que, sabe, no meu celular, posso aprender o que eu quiser aprender naquele dia.

Então eu diria para dedicar muito tempo, seja lendo ou ouvindo. A riqueza de informações que está lá fora. Portanto, existem alguns podcasts excelentes por aí. Por exemplo, existe um chamado cyber daily, que é excelente. Por exemplo, ou podcasts como este, você sabe, ouça pessoas que trabalham na indústria e leia de diferentes fontes.

Então, por exemplo, ZD net, um computador bleeping, o registrado. Quero dizer, são como excelentes publicações que saem com bons artigos dignos de nota todos os dias. Então, agora, quando você, quando eu, quando olho para o meu aplicativo de notícias do Google, é tudo apenas, você sabe, boas atualizações de segurança cibernética. E então eu pego a manchete e entendo o que está acontecendo.

Talvez eu possa clicar e descobrir mais, mas há muito por aí. Realmente não há desculpa para não se atualizar com o que está acontecendo agora. Você está apenas a uma pesquisa do Google. Sério.

[00:07:10] Amy: Mas o problema é que Barry é opressor. Então imagine, quero dizer, esperançosamente pequenas empresas ou empresas, grandes empresas, especialmente, mas as pequenas empresas têm pelo menos algum tipo de controle sobre sua segurança, pelo menos para começar.

Mas imagine ser um pequeno empresário no cenário atual. Hum, tendo que configurar toda a sua postura de segurança, como por onde você começa? Hum, e com todos os diferentes fornecedores e produtos de segurança que estão disponíveis no mercado hoje, considerando que você não deseja superlotar sua rede e, uh, deixar todos esses diferentes fornecedores entrarem em seu ambiente.

Então gostou, por onde começamos? É, precisamos de criptografia? Precisamos de segurança de rede? Estamos olhando para a segurança do endpoint? Precisamos apenas de dados? Curti

[00:07:57] Nour: o que? Boa pergunta. OK. Então, vamos pensar sobre os fundamentos absolutos. OK. Então, digamos que se você for comprar uma casa, você precisa do básico absoluto. Você precisa de uma fechadura na porta, você precisa de fechaduras nas janelas.

Você precisa de algum tipo de cerca, talvez um sistema de alarme. Esses são fundamentos absolutos. O equivalente em segurança cibernética é a segmentação básica de rede, agente de endpoint de link de firewall. Uh, algum tipo de antivírus básico pode ser a capacidade de realizar varreduras de vulnerabilidade, talvez IDs barra IPS, um bom proxy, um bom gateway.

Então, quero dizer, essas coisas você ficaria surpreso com quantos clientes não querem se concentrar no básico, mas querem algo realmente extremo. E isso é como pedir, sabe, uma equipe da SWAT para monitorar sua casa 24 horas por dia, 7 dias por semana, mas você nem tem a porta da frente. À noite, quando você sair. Portanto, você precisa se concentrar no básico antes mesmo de se formar no, o mais alto, o calibre de, de, de segurança cibernética, armamento e mecanismos de defesa que temos por aí.

Então, o básico básico é a segmentação adequada, uh, controle de acesso, quem pode ir aonde, uh, a que horas, firewall básico e IPS, vulnerável a varreduras do agente de endpoint. E, uh, um bom proxy. eu diria aqueles

[00:09:08] Amy: são absolutamente básicos. Sim. Então, tudo bem. Então, depois de passarmos por isso, certo, como garantir que temos apenas a rede básica, segmentação, criptografia etc., de que tipo de informação precisamos à medida que crescemos?

E à medida que aumentamos nossa segurança e nossa inteligência de segurança. Sim. Isto é

[00:09:28] Nour: quando as coisas ficam interessantes. Então, agora que você se formou no básico, pode começar a se reunir. Informação ou inteligência de outros lugares. Então você pode coletar inteligência de uma fonte, certo? E então você pode implementar essa inteligência em algum lugar.

Então, por exemplo, você está olhando para uma longa lista de endereços IP em seu firewall e não tem certeza de qual deles bloquear, qual deles prestar atenção em qual investigar, você precisa de algum tipo de opinião externa sobre esses . Você pode coletar informações e, em seguida, as informações chegam até você, frescas, oportunas, precisas.

É um, é confiável, é transparente. É rastreável. E então você pode começar a dizer, ok, bem, obrigado, fonte inteligente. Agora sei que talvez esse endereço IP e aquele endereço IP sejam aqueles em que preciso me concentrar porque são servidores de controle de comando, por exemplo. Então agora eu sei entre milhares que, de outra forma, teria apenas que pesquisar no Google por conta própria.

E isso é realmente o que alguns profissionais de segurança fazem. Agora não preciso fazer isso. Posso apenas olhar e posso defender quais são realmente. Então é aí que as coisas começam a ficar realmente avançadas, muito interessantes. Assim como um país pode reunir inteligência e agir em nome do país, com base nessa inteligência, as empresas podem fazer o mesmo.

Então você pode coletar inteligência, você pode, uh, consumir essa inteligência e então você pode entender, ok, bem, talvez eu precise fortalecer esta área da minha rede ou. Uh, essas são as ameaças que eu estava perdendo todos os dias, mas na verdade eram muito importantes para mim ou na verdade eu estava perdendo meu tempo com spreads.

Isso não era importante. Portanto, é muito, muito útil e, na verdade, bastante revolucionário poder trazer inteligência e aplicá-la localmente em seu ambiente. E parece avançado, mas se você pensar no mundo cotidiano, nós fazemos isso o tempo todo. Coletamos informações o tempo todo.

Tomamos decisões inteligentes todos os dias. Você sabe, por exemplo, eu moro em Londres, o clima é extremamente imprevisível. Eu verifico o tempo todos os dias antes de sair de casa. Para saber se vai chover ou não, acabei de consumir inteligência. E então eu fiz um smart. Por que não fazemos isso em segurança cibernética.

Nunca procuramos fora uma fonte de inteligência. Nós sempre olhamos dentro da rede tentando descobrir as coisas, mas talvez haja uma boa opinião em outro lugar que possamos obter. É assim que eu descreveria

[00:11:41] Amy: isso. OK. E, mas na era dos dados e da coleta de dados, haveria muitos ângulos para analisar.

O que estou procurando?

[00:11:51] Nour: Essa é uma pergunta muito boa. Então você precisa primeiro descobrir quais são suas prioridades. OK. Assim é a minha prioridade. Para ajudar meus pobres analistas de SOC. Quem está tendo que passar ticket após ticket, após ticket todos os dias não é minha prioridade. Se for, posso aplicar a inteligência a essa pessoa e posso torná-la sob medida para ela.

É o fato de que talvez eu esteja vendo muitos sites falsos sendo gerados com meu logotipo? Por exemplo, se você é um Nike ou se você é um. Ou Amazon todos os dias, alguém está tentando criar uma página falsa com seu logotipo nela. E isso pode ser problemático para você. E isso cria muita fraude e talvez esteja enganando muitos de seus clientes.

Então talvez essa seja uma prioridade. Ok, bem, isso é focado na marca, então vamos aplicá-lo à marca. Portanto, você precisa saber quais são suas prioridades como empresa. Pense sobre o que é absolutamente. Cenário apocalíptico que pode ocorrer para o seu negócio e, em seguida, aplique o a e, em seguida, aplique uma prioridade a isso. Então, posso ir a um cliente e ele pode dizer, tudo bem, bem, nossa marca é nossa prioridade número um e precisamos impedir que as pessoas tentem fazer login nessas páginas falsas.

Essa é uma prioridade, e é isso que faria ou quebraria o negócio. Então, agora podemos conectar inteligência a isso, mas a algumas empresas das quais você nunca ouviu falar quando elas nem se envolvem. E usuários, isso não é um problema porque ninguém está logando neles. Talvez a prioridade deles seja trabalhar com outros fornecedores.

Obtemos nosso aço de um fornecedor na Índia e precisamos garantir que suas redes sejam seguras porque, se forem violadas, poderão entrar em nossa rede. Portanto, há prioridades diferentes para pessoas diferentes. Então você realmente tem que saber o que é. Isso é uma prioridade para você primeiro, e então você pode aplicar a inteligência de acordo, se isso fizer sentido.

[00:13:28] Amy: Sim, não, definitivamente. E agora deixe-me perguntar-lhe isto. Que tipo de pessoa são as pessoas que sabem como fazer essas coisas?

[00:13:37] Nour: Hum, eu diria. O bom da inteligência é que ela deve ser consumida com muita facilidade. Portanto, se você é um profissional de segurança de qualquer nível, deve ser capaz de ingerir e consumir a inteligência fornecida a você.

E se não conseguir, é sinal de que está recebendo informações ruins, certo? Porque não deveria exigir ninguém especial para a ação. Então, por exemplo, você e eu entendemos. Que servidor de comando e controle é ruim né. Ou o endereço IP de controle do comandante da empresa é ruim. Então, se nós vemos isso. Tudo o que precisamos é a prova.

E então podemos acioná-lo de acordo comigo. Mas se eu apenas dissesse, Ei, Amy, você sabe, este endereço IP estava, estava ruim há uma semana, e não tenho certeza do que o malware apontou, e não tenho certeza do que ele fez. Isso não é muito acionável. Isso então exige que eu seja um especialista para investigar. Isso não é muito bom. Então, para responder à sua pergunta, em teoria, você poderia ser qualquer tipo de profissional de segurança e ser capaz de consumir inteligência.

Isso é um sinal de que seu provedor de inteligência está fazendo seu trabalho, porque, se não estiver, estará dificultando ainda mais as coisas para você. Então eu espero que eu tenha respondido sim,

[00:14:43] Amy: definitivamente. Hum, e a razão pela qual eu meio que perguntei isso também, é que acho que em muitas pequenas empresas, estou começando a sentir insegurança.

A segurança meio que cai como o gerente de TI, certo? Tipo, e então você faz um, você acha que tem que ser um profissional de segurança para entender e analisar essas informações e também não esperar? Esse foi o único. Sim,

[00:15:10] Nour: Acho que sim. Vamos retroceder no final dos anos 90, início de dois mil, talvez até o final de dois mil anos, entrando em 2010, o cyber tornou-se uma prioridade.

OK. Você tem um monte de pessoal e seu. E você os contrata para executar a rede e apenas o roteamento, a comutação e a conexão sem fio do dia-a-dia. E então, um dia, a empresa decide que a segurança cibernética é uma prioridade e você não tem tempo para sair e contratar alguém especificamente. Então você pegou um de seus garotos ou garotas, ou talvez dois deles.

E você disse, tudo bem, você também, você é o responsável pela segurança. É segurança ou desculpe, segurança de rede. Agora esses dois têm que descobrir porque não têm certeza de que não vêm de um histórico de segurança. Eles não sabem por onde começar. Portanto, essas pessoas tiveram que desenvolver habilidades ao longo do tempo e descobrir como o resto de nós.

Portanto, para responder à sua pergunta, sim, acho que você precisa de algum conhecimento específico de segurança, porque a segurança das redes não é o mesmo que apenas o administrador da rede. Eles não são a mesma coisa em ambos os mundos. Confie em mim. Eu costumava estar na Cisco. Você tinha os administradores de rede que eram muito bons e excelentes rotas inteligentes o que eles faziam.

E eles são muito bons em segmentar redes. E eles são muito bons em criar redes e construir e arquitetar redes gigantes inteiras para empresas. Não é o mesmo que proteger uma rede. Existem duas escolas muito diferentes de idéias de pensamento. Agora que penso nisso, você gostaria de mesclar esses dois mundos para que o arquiteto da rede também saiba como protegê-la.

Esse é um mundo ideal. E acho que, como profissão, precisamos convergir para o mesmo ponto em que não seja, oh, eu sou, sou um firewall. Oh, desculpe. Eu sou um, eu sou um especialista sem fio. Eu só sei sem fio, mas sei como proteger o sem fio. Deve haver a mesma pessoa. Talvez eu esteja errado, mas acho que resolveria o maior problema que temos em segurança cibernética agora, que é a falta de talento.

E se você pegasse todos esses profissionais de rede e os ensinasse sobre segurança, você teria uma força de trabalho muito poderosa que simplesmente não temos em segurança cibernética no momento. Certo.

[00:17:12] Amy: E como alguém que passou por isso e aprendeu os processos e. Você sabe, segurança. Como você sugeriria que esses administradores de rede aprendessem além do podcasting?

[00:17:24] Nour: Essa é uma boa pergunta. Falei em, hum, como, uh, uh, segurança cibernética para, uh, para a comunidade minoritária aqui no Reino Unido. Então eles organizaram um evento onde era, hum, era, uh, ser negro em segurança cibernética. Então foi promover. Hum, uh, de origens minoritárias para estar em segurança cibernética e escolhê-lo como um histórico.

E eu recebi exatamente a mesma pergunta e disse, e ainda digo isso o tempo todo, que você está a um curso online de se tornar um profissional de segurança cibernética. E é isso. Você é um bom curso de segurança cibernética por ser uma maneira de entender o ser, desculpe, deixe-me dizer isso de novo. Você está a um curso de segurança cibernética de ser capaz de entender.

Princípios de segurança. E se você sabe como funciona o networking, já fez cerca de 50% do trabalho e pronto. Então comp Tia security plus, uh, CIS SP hum, o que é outro muito, muito bom. O que estou pensando? CISP e tem outro. Esses cursos são online e você pode estudá-los gratuitamente.

Está tudo no YouTube ou talvez em algum curso que você possa seguir online. Então, você está a um curso online de entender a segurança cibernética. E eu realmente quero dizer isso porque treinei engenheiros de vendas de segurança e tenho que treiná-los em segurança cibernética. E eu sei, e eu vi isso como um fato. Você é tão acessível se você quiser entendê-lo e aprendê-lo.

E eu realmente quero dizer.

[00:18:40] Amy: Sim, definitivamente. Tudo bem, legal. Então, a outra pergunta que tenho para você é que, à medida que sua carreira progrediu em segurança cibernética, tipo, digamos, no passado, tipo não seis, sete anos ou algo assim, hum, não importa quanto tempo tenha passado, como você digamos que suas conversas com seus clientes sobre segurança estão mudando no sentido de, tipo, com o que as pessoas estão se importando?

[00:19:04] Nour: Rudy? Boa pergunta. OK. Então eu diria. Em primeiro lugar, as pessoas estão obtendo a maturidade média da pessoa com quem você fala na indústria. Muito, muito melhor. Então, e por maturidade, quero dizer, suas prioridades estão bem colocadas e eles realmente têm uma visão geral da segurança cibernética? Isso é o que queremos dizer com maturidade, certo?

Hum, uma maturidade baixa. Não sei o que, qual é a maneira correta de dizer isso, é que alguém que talvez seja novo em segurança cibernética está frustrado. A inteligência realmente não tem as peças juntas em sua cabeça. E, em seguida, um cliente ou cliente em potencial muito maduro é alguém que realmente entende que tem um relacionamento totalmente desenvolvido.

Funcionando. Eles têm todas as melhores ferramentas, as ferramentas mais avançadas, coisas assim. Então, voltando a responder à sua pergunta, o que eu vi? Isso mudou. Hum, os clientes se tornaram muito mais maduros e estão começando a ter uma visão geral da inteligência. Não é mais o nicho de um nicho de um nicho.

Está se tornando uma escolha um pouco mais óbvia e. Em qualquer função de segurança cibernética, você precisa de uma boa inteligência, o que é bom porque leva muito tempo para educar as pessoas. Hum, você está vendo muitas pessoas focadas ainda nos eventos mais extremos que podem ocorrer na segurança cibernética. Então, eu sempre uso este exemplo sendo visado por um grupo patrocinado por um estado-nação por um governo como a Rússia ou a China sendo visado por eles é como um raio.

OK. Isso não acontece com muita frequência. E quando dá é muito pouco, dá pra fazer. Ok, porque é apenas forçado e sai de você, e não é tão explosivo quanto um raio, mas é inevitável. E entao

[00:20:40] Amy: provavelmente quando chega é tarde demais,

[00:20:43] Nour: é tarde demais. Exatamente. Exatamente. Portanto, há tantas outras coisas que podem acontecer com você nas 24 horas do dia que são muito mais prováveis do que ser atingido pela luz.

Certo. E assim na segurança cibernética, se você planejar. Pois, apenas para se proteger contra grupos aptos, você está basicamente impedindo seu planejamento para o mais raro cenário inevitável de alto risco. Quando há tantas outras coisas contra as quais você poderia ter se protegido naquele mesmo dia, como ransomware oportunista, como phishing, como configuração incorreta no seu.

Como alguém usando suas credenciais corporativas para se inscrever em algo que não é corporativo, como Mike Flowers online ou criando uma conta no Spotify. Todas essas coisas podem ter muito mais impacto em uma organização, mas não são tão importantes quanto um ataque APD. Então, de volta à sua pergunta. E a razão pela qual mencionei isso é que penso que, como comunidade de segurança cibernética, precisamos perceber que há muito mais riscos cotidianos que merecem muito mais atenção do que apenas ataques apt.

[00:21:48] Amy: Ransomware especificamente é um risco diário, um

[00:21:52] Nour: cem por cento porque é oportunista, né? Assim como se eu fosse para as ruas e começasse a roubar iPhones em Londres, tem isso mesmo, tem esse truque que todo mundo faz. Então é muito comum. Você está parado na rua e um ciclista simplesmente aparece e pega o telefone da sua mão.

Muito comum em Londres. OK. Hum, isso é muito comum, mas também é muito oportunista. O cara no, nisso. Não está direcionando o uso especificamente. Eles estão apenas procurando por um telefone

[00:22:19] Amy: lá fora. Eles estão apenas lançando um amplo

[00:22:20] Nour: net porque lançar uma renda líquida ampla em algum lugar é a rede mais ampla disponível no momento.

É tão oportunista e às vezes os clientes dizem que ransomware afeta minha indústria. Isso é um não, não é uma pergunta, porque não importa qual deles visa o seu setor, porque mesmo que houvesse um verdadeiro. Provavelmente é apenas aleatório e provavelmente por coincidência. Os operadores de ransomware são oportunistas por natureza.

Eles são financeiramente motivados. Eles não se importam se é Amy ou se é novo, ou se é minha avó, contanto que essa pessoa possa pagar, é com isso que eles se importam. Então eles não se importam se é no maior fabricante de pastores do mundo. Ou se é Airbus ou se é Microsoft, eles não se importam. Desde que essa pessoa pague.

Isso é o que eles estão procurando. Então é isso que eu sinto que ainda não vi quando falo com os clientes é que ainda existe essa suposição de que o ransomware é direcionado e eles podem prever isso concentrando-se em doações específicas e onde as famílias. E eu simplesmente não acho que seja esse o caso.

Sim.

[00:23:20] Amy: Bem, nesta conversa, como você diferenciaria entre malware e ransomware?

[00:23:26] Nour: É um termo abrangente, ransomware como um tipo de malware. Portanto, o malware possui qualquer software que tenha como alvo malicioso o seu computador. E o ransomware é apenas um subconjunto disso. Então eu diria

[00:23:39] Amy: como especificamente o comp, como atores maliciosos que entram em uma organização, resgate de rede, algum dado ou qualquer outra coisa, peça que paguem para liberá-lo.

E isso é uma ocorrência diária. Espere. OK. Então, como se nosso povo fosse criminoso, apenas dizendo, Ei pessoal. Então, como se tivéssemos alguns de seus dados agora.

[00:24:02] Nour: Com certeza. Amy, é simples assim. Honestamente, isso pode acontecer. É tão oportunista. Se você deixar uma porta aberta, eles vão descontar para aquela porta e depois encontrar. É como deixar uma das portas de sua casa aberta.

E se alguém passar de carro, vai entrar por aquela porta, ou se você usar, se eles enviarem um e-mail de phishing e alguém cair nessa isca de clique, é uma entrada perfeita. Portanto, eles não se importam com quem clica nesse link. Estava procurando por alguém que acabou.

[00:24:29] Amy: Eu entendo isso. E eu entendi, acho que realmente entendo como a frequência em algum lugar, mas nunca deixei de pensar no que acontece do outro lado.

Tipo, esses criminosos cibernéticos também. Teremos que gostar de empresas de e-mail e dizer: Ei, temos seus dados.

[00:24:47] Nour: Você também costuma fazer imagens, então olhe, vamos conversar sobre isso. Portanto, sua área de trabalho mudará para uma imagem e haverá, sim. Então, a imagem da área de trabalho depende do ransomware

[00:24:59] Amy: Fundição, mas geralmente o tipo de bloqueio remoto ou algo assim.

Exatamente.

[00:25:04] Nour: E então a área de trabalho. Papel de parede que você tem, diremos: Ei, seus arquivos foram criptografados. Você precisa entrar em contato com este endereço de e-mail ou nos contatar no telegrama ou, ou qualquer pessoa ou canal que eles escolherem com um identificador exclusivo para que possamos identificá-lo. Portanto, é tão profissional quanto estender a mão.

Eu não sei sua, uh, sua, sua, sua empresa de conta de telefone, certo? Eles estão mirando em tantas pessoas que nem sabem quem você é. Eles são como, oh sim, você é Amy. OK fixe. Você nos deve $ 50. Oh, oh, você é a Nike. Sim. Você nos deve US$ 3 milhões. Portanto, este é um empreendimento. Eles administram como um negócio e têm suporte ao cliente.

Eles têm help desks. Eles têm pessoas que você pode contatar, é administrado como um negócio profissional e é oportunista. Então isso acontece a cada. Único dia garantido.

[00:25:57] Amy: Interessante. OK. Acho isso fascinante. Eu nunca pensei sobre como a logística,

[00:26:07] Nour: porque pense no dinheiro envolvido sempre que essas altas, altas superfícies. Então, essas pessoas estão administrando um negócio adequado. E assim, e há muito dinheiro envolvido. Então, ei, você quer ter certeza de que você. Atendem psicologicamente suas vítimas para que se sintam como uma espécie de síndrome de Estocolmo e pagam porque você está sendo tão legal com isso.

E você quer que seja acessível? Então, se eles quiserem entrar em contato com você e dizer, ok, talvez eu não tenha conseguido fazer o pagamento, como faço isso? Como faço para acessar este link? Você quer em Bitcoin? Você quer acabar? Você sabe, você precisa ser capaz de se comunicar. Então o legítimo exatamente. Você usou a palavra certa, que é logística.

O que as pessoas não entendem ou lamentam, pode não ser tão conhecido. Sim.

[00:26:45] Amy: Sim. Como você acha que eles decidem quanto vão resgatar

[00:26:50] Nour: para? Tão bom. Essa é uma pergunta muito boa. eu, eu não sei. Em primeiro lugar, vimos os resgates aumentarem constantemente, então nossos operadores estão ficando muito mais ousados com as rodadas que estão ganhando.

Lembro-me de uma época em que $ 1 milhão era muito. Agora estamos vendo 5, 6, 7, 10 milhões. Exatamente. Então, e acho, acho que eles sabem quem é seu alvo. Então, eles não vão pedir a você ou a mim tipo $ 10 milhões, mas eles vão pedir uma empresa

[00:27:17] Amy: para isso. Certo. Mas como na extremidade inferior, que tipo de.

Maior. Estamos falando tipo, as pessoas realmente vão resgatar por 50

[00:27:25] Nour: dinheiro? Não não não não não. Você quer fazer valer a pena porque eles têm um ótimo serviço que podem usar. Eles querem pagar pelo tempo do desenvolvedor. Eles querem pagar pela infraestrutura. Talvez as VPNs ou proxies que eles estão usando.

Há muitos custos operacionais por trás disso. Hum, então eles querem cobrir esses custos e querem ganhar a vida. Então, se você pensar sobre isso, você e eu, nossos salários ou as pessoas que estão ouvindo isso, pense em você. É isso que essa pessoa está tentando ganhar com o resgate. E eles querem fazer 10 vezes porque talvez precisem coletar de tantas pessoas.

Então, digamos que estou na extremidade inferior. Se você visar uma empresa de médio porte, aposto que o resgate será de pelo menos um milhão, certo? 800, pelo menos, pelo menos empresas maiores se foram. Quero dizer, sobe para 17 agora. Então. Sim. Sim.

[00:28:14] Amy: Ok. Imagine, porém, espere, imagine que você está em uma entrevista de emprego e eles dizem, me conte sobre seus cargos anteriores e você tem que dizer, eu, eu trabalhei no help desk de uma organização criminosa.

Sim.

[00:28:30] Nour: Agora você virou uma nova página e percebeu que isso é muito improvável, muito improvável. Mas isso seria, eu diria, eu não diria, pense nisso. Quanto eu disse em torno de alguns estava no alto, como 20 milhões,

[00:28:45] Amy: certo? Sim. 1720.

[00:28:47] Nour: Tudo bem. Ainda não foi uma gota no oceano para grandes empresas.

Os orçamentos de segurança cibernética não são tão grandes quanto deveriam ser. Portanto, você não está disposto a gastar os dois milhões necessários todos os anos, mas basicamente está se abrindo em até 10 vezes mais em pagamentos de ransomware e multas regulatórias do governo local. Mas agora, por exemplo, acho que no Reino Unido, ou w Não quero entender errado.

Portanto, alguns governos agora aplicam uma lei em que, se você sofrer uma violação de segurança cibernética, terá que pagar uma multa. Então você pagou o resgate e precisa pagar uma multa ao governo por ter sido violado porque não tinha segurança cibernética adequada. Então é um resfriado. Portanto, é isso que nós, como indústria, precisamos entender: você pode pensar que todas essas soluções de segurança cibernética são caras, mas pense em quanto terá que pagar.

Eventualmente, se você tiver que pagar ratos de ransomware, mais a multa para o governo, é óbvio. Certo. Então, por que correr esse risco quando existem tantos outros riscos que você não está correndo, certo? Sim.

[00:29:48] Amy: Você acha que uma grande empresa é como, você sabe, Nike ou algo que experimentou ransomware frequentemente tem orçamento reservado.

Para pagá-lo pelo resgate.

[00:30:00] Nour: Hum, acho que eles têm orçamentos reservados para qualquer tipo de mitigação de risco, então eles devem ter, hum, contingentes no mercado. Veja, qual é a palavra que estou procurando? Hum, você sabe, quebre este copo se

[00:30:13] Amy: você vai,

[00:30:16] Nour: ah, tenho certeza. Há. Hum, e há dinheiro reservado para recuperação de desastres. Essa é a palavra que eu estava procurando para recuperação de desastres.

Tenho certeza de que há fundos para isso. E então o ransomware apenas comerá a recuperação de desastres.

[00:30:28] Amy: E então haverá pessoas em algum momento sentando em uma sala de reuniões e então dizendo, pessoal, pagamos apenas seis, um milhão de dólares em torno de alguns este ano e ótimo trabalho, pessoal.

[00:30:40] Nour: Por enquanto, até que os pagamentos de ransomware aumentem muito.

eu ganho muito mais

[00:30:44] Amy: caro. Sim. Oh meu Deus. Isso é selvagem. Minha mente não sai

[00:30:49] Nour: e, e, e agora pense nisso. Sabemos apenas sobre as vítimas de ransomware que realmente saíram e divulgaram sua violação, ou o próprio ransomware operado revelou que existem tantos ransomwares.

E nem mesmo divulgaram porque o governo local não os obriga, ou simplesmente não querem fazer isso pelo dano à reputação que isso pode causar. Certo. Então, estamos apenas trabalhando com o que está disponível publicamente, mas há tantos outros ataques de ransomware que provavelmente não estão, não foram divulgados publicamente que você nunca saberia.

[00:31:19] Amy: Sim, exatamente. Voltamos ao ponto inicial. Como se eu fosse o CTO. Eu não quero que ninguém saiba. eu não sei o que eu sou

[00:31:24] Nour: fazendo. Exatamente. Você não quer. Exatamente. Exatamente. Então lá vai você. Sim.

[00:31:29] Amy: Uau. OK. Sim. Portanto, há tantas camadas diferentes de segurança e tantas coisas diferentes. É tão difícil envolver sua mente em tudo.

Acho que o trabalho de CTO CSO deve ser muito difícil.

[00:31:42] Nour: Não é, é um trabalho intenso, mas é. Como qualquer coisa na vida, você tem que resumir. Desculpe. Você tem que apenas, você sabe, realmente destilar até seus fundamentos. E quando você faz isso, percebe que a cibersegurança tem tudo a ver com. Sim. OK. Ter ferramentas avançadas é muito importante, mas realmente acho que os fundamentos são o núcleo absoluto da segurança cibernética.

Assim como um castelo ou uma casa. Você sabe, há tantas coisas que são tão básicas que podem impedir muitas das coisas que podem ocorrer.

[00:32:11] Amy: Sim, definitivamente. OK. Incrível. Então, tudo bem. Pergunta final embora. Nós tocamos nisso um pouco ao longo. Qual seria a sua recomendação para um empresário que tenha.

Ai meu Deus, não sei o que estou fazendo com a minha segurança.

[00:32:26] Nour: Uh, então eles estão começando do zero, começando do zero, ou são, e assim, vamos

[00:32:31] Amy: faça todo esse podcast de novo. Hum,

não. Qual é o seu conselho final para alguém que está apenas começando

[00:32:43] Nour: segurança? Com nosso programa de segurança? Eu diria, eu diria, encontre outro gangorra e fale com eles e pergunte o que. porque isso é isso também é apenas um truque na vida. Você sabe, se você for fazer algo novo, encontre alguém que tenha feito isso.

É como obter as respostas do teste antes de fazer o exame. Portanto, procure um colega e quem você acha que é a referência que deseja alcançar e pergunte a eles: o que você está fazendo? E deixe-os explicar a você a importância dos fundamentos. Boa segurança cibernética. Hum, uh, pessoal da equipe, uh, boas ferramentas, ferramentas avançadas que você precisa, uh, a importância da maturidade e se educar, deixe-os confiar que um colega explicou para você o que é realmente importante para que você não vá aprender coisas da maneira mais difícil, você pode aprender com alguém que já passou por esse caminho.

Sim,

[00:33:34] Amy: definitivamente. Ótimo conselho. Incrível. OK. Muito obrigado por se juntar ao podcast. Mais recente, se quisermos encontrá-lo online e no que você está trabalhando, onde podemos

[00:33:44] Nour: olha? Sim, absolutamente. Então, antes de tudo, muito obrigado por me receber. Hum, você pode me encontrar no LinkedIn mover, equipe completa. Hum, você também pode conferir o futuro gravado, que é a empresa para a qual trabalho.

Somos um provedor de inteligência. Hum, o provedor de inteligência, devo dizer. Então, uh, bem, você pode conferir um registro, um future.com. É uma fonte muito legal de, de, um, apenas de inteligência de segurança cibernética. Em geral, temos um diário cibernético, que é um boletim informativo diário que enviamos gratuitamente, uh, que na verdade era um lugar muito bom para se atualizar com o que está acontecendo na segurança cibernética.

Hum, e, uh, sim, é assim que você pode encontrar.

[00:34:19] Amy: Tudo bem. Incrível. Vou colocar esses links nas notas do programa. Se vocês quiserem dar uma olhada e se quiserem encontrar o hacker noon, obviamente podem nos encontrar no hacker noon em todos os canais sociais, bem como no hacker noon.com e, por enquanto, levantem-se, apresentem sua reunião, faça o que quiser.

Eu estou aqui. Eu te ajudo. Eu sinto sua energia em pé e estamos todos prontos para esmagá-la até a próxima vez. Dia estranho. E vejo vocês na internet no podcast da tarde.