O dilema da Microsoft
Reduzir o risco de ferramentas essenciais
O computador pessoal e a internet não seriam o que são hoje sem a Microsoft. Durante quase cinquenta anos, a Microsoft impulsionou a computação, ao mesmo tempo que capacitou as pessoas e as empresas que utilizam os seus produtos. De estudantes a jogadores, de pequenas empresas a corporações multinacionais, de organizações sem fins lucrativos a agências governamentais, os clientes da Microsoft passaram a confiar nos produtos e serviços da empresa para produtividade, comunicação, colaboração, entretenimento e transformação de negócios.
Ao possibilitar todas estas mudanças, a Microsoft tornou-se a segunda empresa mais valiosa do mundo. Mas, infelizmente, este sucesso também transformou a Microsoft e os seus produtos em um grande alvo para ataques cibernéticos.
Como informamos recentemente no relatório anual de tendências de phishing, os invasores fingem ser centenas de organizações diferentes, mas se fazem passar principalmente por entidades em que confiamos e nas quais contamos para atingir nossos objetivos. A Microsoft é a marca mais falsificada no mundo por causa de seus produtos e da confiança que conquistou de todos nós.
Embora a Microsoft seja o alvo principal, também atua como defensora contra ataques, fornecendo não apenas aplicativos de software e sistemas operacionais, mas também ferramentas de segurança cibernética. Na verdade, 30% das receitas do Microsoft 365 podem ser atribuídas à segurança cibernética.
O problema é que as ferramentas da Microsoft não são particularmente eficazes no combate às ameaças por si só.
Então, onde a Microsoft se enquadra no nosso pensamento sobre segurança cibernética? Muitos profissionais de segurança com quem converso fazem perguntas desafiadoras, como; “Será que a Microsoft é o Cavalo de Troia que permite que os cibercriminosos invadam e ataquem as nossas redes? Ou é Troia, um ambiente aparentemente bem guardado que, no entanto, é atacado com sucesso?” E, “Quem pode responsabilizar a Microsoft por falhas de segurança quando ela está tão profundamente enredada nos orçamentos?”
Não há dúvida de que os ambientes da Microsoft são frequentemente atacados, e que as consequências desses ataques podem ser graves. Em julho deste ano, hackers chineses conseguiram acessar os sistemas de e-mail baseados na Microsoft de agências governamentais dos EUA, possivelmente incluindo o escritório do Embaixador dos EUA na China. Esta foi uma quebra de confiança incomensurável. E esta não foi a primeira vez que algo assim aconteceu.
Em agosto deste ano, a Microsoft lançou atualizações de software para solucionar mais de 70 falhas de segurança no sistema operacional Windows e produtos relacionados, incluindo diversas vulnerabilidades zero-day exploradas atualmente. Qualquer pessoa que já tenha escrito código sabe que o software é vulnerável porque é desenvolvido por humanos. Mas este grande volume de atualizações do Patch Tuesday levanta a questão: será que mais deve ser feito para proteger o Windows e outros produtos da Microsoft, dada a enorme escala de adoção e a vulnerabilidade inerente que isso representa?
Você também pode se perguntar: será que as vulnerabilidades nos produtos da Microsoft podem ser resolvidas de forma eficaz por mais produtos da Microsoft? Se os agentes cibernéticos conseguem atacar com sucesso os produtos da Microsoft, por que deveríamos ter confiança de que correções e atualizações da mesma empresa evitarão futuras violações?
Repensando sua estratégia de segurança da Microsoft
A maioria das organizações diz: dependemos demais do software da Microsoft para nosso trabalho diário para abandoná-lo. Não vamos parar de usar o Microsoft Word, Excel, PowerPoint, Exchange ou SharePoint, por exemplo, só porque consideramos os produtos de segurança da Microsoft insuficientes.
Ainda assim, a maioria de nós precisa de melhores formas de proteger as nossas ferramentas e ambientes baseados na Microsoft contra ataques, porque os ataques não deixarão de ocorrer.
O primeiro passo para fortalecer a proteção é parar de depender principalmente, ou exclusivamente, dos produtos Microsoft para segurança. A Microsoft publicou um modelo de responsabilidade compartilhada que ilustra as áreas de responsabilidade entre a Microsoft e seus clientes de acordo com o tipo de implantação de sua pilha. Como profissionais de segurança, sabemos que uma abordagem em camadas é fundamental para eliminar lacunas na proteção. Mas os desafios de segurança da Microsoft sugerem que a abordagem em camadas deve envolver não apenas múltiplas ferramentas, mas também vários fornecedores. A chave, claro, é encontrar a combinação certa de fornecedores sem acrescentar complexidade de gestão.
Ao considerar fornecedores, precisamos encontrar empresas que possamos responsabilizar. Isso quer dizer ter o poder de influenciar um roteiro de produto ou encontrar uma alternativa onde o custo da mudança não seja muito alto, nem a adição seja duplicada. A Microsoft é uma grande empresa que fornece vários produtos essenciais. Quando uma correção ou ferramenta de segurança não consegue impedir um ataque, torna-se difícil responsabilizar a Microsoft. Não podemos ameaçar removê-los e parar de usar o Excel até que resolvam o problema, mas podemos transferir a responsabilidade para outro fornecedor.
Os fornecedores certos provavelmente serão especialistas em segurança cibernética, empresas que se dedicam a resolver seus problemas de segurança e serão muito mais fáceis de interagir em um nível mais alto e responsabilizar. Podemos trabalhar com seus engenheiros para encontrar soluções para ameaças em evolução, exigir a atenção dos líderes da empresa quando necessário e substituir produtos se tudo mais falhar, sem perder também ferramentas essenciais de produtividade.
Enquanto milhões de indivíduos e empresas confiarem em aplicativos e sistemas operacionais da Microsoft, esses produtos continuarão a ser os principais alvos de ataques cibernéticos. Para se defenderem melhor contra ataques, as organizações precisam de mudar a sua dependência da Microsoft e estabelecer parcerias com empresas de segurança dedicadas para resolver o dilema da Microsoft: podemos nos beneficiar dos produtos essenciais da empresa sem nos deixarmos vulneráveis?
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Microsoft e Microsoft 365 são marcas comerciais do grupo de empresas Microsoft.
Autoria
Oren Falkowitz — @orenfalkowitz
Diretor de segurança, Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
Por que as ferramentas da Microsoft são o principal alvo de ataques cibernéticos
Por que confiar apenas nas ferramentas em camadas da Microsoft é insuficiente
Como fortalecer a proteção fazendo parceria com fornecedores de segurança que você pode responsabilizar