São Paulo — InkDesign News — Pesquisas recentes sobre segurança cibernética destacam que a escalada no custo para exploração de vulnerabilidades é um fator decisivo na defesa contra ataques sofisticados, especialmente no combate a vulnerabilidades zero-day em plataformas móveis.
Vetor de ataque
Explorações em software, especialmente aquelas envolvendo vulnerabilidades zero-day, mantêm-se como vetor predominante para ataques direcionados a empresas e dispositivos móveis. No mercado underground, o preço para um exploit zero-day funcional do Android subiu de cerca de US$ 100 mil para mais de US$ 2,5 milhões na última década. Esse aumento está relacionado ao investimento em camadas de defesa mais robustas, que demandam conhecimento especializado e técnicas avançadas para burlar proteções multifacetadas, como o defense-in-depth implementado pela Google no Android.
Vulnerabilidades triviais de curto prazo, como falhas de um dia (one-day), continuam sendo exploradas com custos baixos ou até gratuitos, evidenciando a necessidade de um monitoramento constante e aplicação ágil de patches para impedir exploração facilitada.
Impacto e resposta
Empresas que investem apenas em conformidade com normas regulatórias, como HIPAA no setor de saúde, muitas vezes enfrentam violações mesmo após cumprir requisitos de segurança, pois tais compliance não elevam o custo econômico da exploração para os atacantes. Sistemas legados com pouca atenção em segurança tendem a se tornar alvos mais baratos conforme seu escopo expande, ampliando a superfície de ataque.
Para mitigar esse cenário, a adoção de arquiteturas de zero-trust, sistemas canários para detecção precoce, segmentação de redes e playbooks de resposta a incidentes são fundamentais para limitar o alcance e impacto de invasões inevitáveis.
Análise e recomendações
Especialistas recomendam que as organizações avaliem sua “custo para exploração” iniciando por programas de bug bounty, para estabelecer benchmarks mínimos. É crucial mapear toda a superfície de ataque, incluindo ativos aparentemente esquecidos, dispositivos dos colaboradores e ambientes em nuvem não monitorados. Além disso, implementar segurança desde o início do ciclo de desenvolvimento (shift left) reduz drasticamente os custos para corrigir vulnerabilidades, tornando a exploração menos atrativa para o atacante.
“Se você realmente quer proteger sua rede, você tem que conhecer sua rede, incluindo todos os dispositivos e tecnologias presentes.
(“If you really want to protect your network you have to know your network, including all the devices and technology in it.”)— Rob Joyce, ex-chefe de Tailored Access Operations da NSA
Outro ponto importante é trabalhar para eliminar classes inteiras de vulnerabilidades, obrigando os atacantes a investir tempo e recursos para descobertas inovadoras, elevando ainda mais o custo para ataque.
“Não é preciso tornar seu sistema inquebrável – apenas tornar economicamente irracional tentar explorá-lo.”
(“You don’t need to make your system unhackable – you just need to make it economically irrational to try.”)— Autor anônimo, Dark Reading
Medir e aumentar o custo econômico da exploração serve como métrica eficaz de retorno sobre investimento em segurança, superando abordagens tradicionais baseadas apenas na quantidade de vulnerabilidades corrigidas.
No futuro, espera-se que equipes de segurança acompanhem essa métrica continuamente, com bônus de CISOs atrelados à capacidade de aumentar o custo para exploração e transformar a segurança em um fator econômico de dissuasão, deslocando o foco da prevenção perfeita para a inviabilidade econômica do ataque.
Links relacionados: Cibersegurança, Ameaças
Fonte: (Dark Reading – Segurança Cibernética)
