Esta postagem faz parte de uma série em curso no blog que analisa as "Certezas" (previsões que muito provavelmente acontecerão) e "Tiros no escuro" (previsões com menos probabilidade de acontecer) sobre segurança cibernética para 2017.  

Este ano vimos alguns notáveis eventos de segurança cibernética no setor de serviços financeiros, incluindo roubos de alguns bancos membros do SWIFT (Society for Worldwide Interbank Financial Telecommunication) e de caixas eletrônicos infectados com malware na Ásia. Ao olhar para 2017, prevejo que veremos as seguintes ameaças à segurança cibernética no setor de serviços financeiros.

Certezas

  • Crescente adoção de nuvem pública – O setor de serviços financeiros é a última fronteira da computação em nuvem pública. Depois de anos dizendo que isso nunca aconteceria devido às preocupações com a segurança da informação, o setor tem lentamente aderido ao uso da nuvem pública. O Amazon Web Services (AWS) e o Microsoft Azure já divulgaram várias instituições financeiras como seus clientes. Muitas organizações têm testado, avaliado e conduzido provas de conceito em 2016 com um olhar crítico sobre as práticas de segurança cibernética adequadas. Um número significativo dessas instituições finalmente adotará a nuvem pública para a computação de cargas de trabalho em 2017. Inicialmente, isto pode incluir aplicativos que lidam com dados menos sigilosos. Embora ainda existam núcleos de resistência no setor de serviços financeiros, definitivamente eles estão ficando menores. O apelo da agilidade, escalabilidade e custo-benefício oferecidos pela computação em nuvem pública é irresistível, especialmente quando a segurança pode ser arquitetada dentro da solução em vez de periférica.
  • Uso comum da autenticação de múltiplos fatores (MFA) – Como vimos nas recentes transações fraudulentas em vários bancos membros do SWIFT, credenciais de login e senhas legítimas foram de alguma forma roubadas e usadas para iniciar transferências de dinheiro. Essa técnica de autenticação básica é propensa ao comprometimento e permite ataques de acesso não autorizado a conta (ATO – account take over). As instituições financeiras finalmente irão notar e adotar técnicas de MFA mais robustas, pelo menos internamente, para aplicativos essenciais e dados confidenciais, e certamente para contas privilegiadas, como de raiz e administrador. Embora nem todas as técnicas de MFA sejam criadas da mesma forma, qualquer uma será um novo obstáculo que o adversário cibernético não poderá suplantar facilmente. As técnicas de MFA se baseiam na apresentação de pelo menos duas das seguintes evidências:
    • Algo que você sabe (por exemplo, login/senha, PIN)
    • Algo que você possui (por exemplo, senha de uso único, telefone celular)
    • Algo só seu (por exemplo, impressão digital, varredura de retina)

Tiros no escuro

  • Ampla implantação de redes de confiança zero – a Forrester Research apresentou o modelo Confiança Zero (ZT) em 2009, porém até o final de 2016, as implantações ainda não eram amplamente vistas. Conceitualmente, o valor da segurança da informação de restringir o tráfego apenas para fluxos conhecidos e legítimos entre várias partes da rede é difícil de refutar. Qualquer atividade maliciosa será restringida pelo gateway de segmentação mais próximo.  Entretanto, os desafios do modelo ZT incluem: dificuldade em identificar totalmente os padrões de tráfego legítimo (tanto inicialmente como perpetuamente); necessidade de cooperação entre várias disciplinas (por exemplo, TI, segurança, negócios); e o potencial para interrupções dos negócios, especialmente em ambientes contaminados e obsoletos. Apesar disso, instituições financeiras pensarão melhor sobre a ideia de ZT para suas redes e farão grandes avanços em 2017. Isso começará com nichos de segmentação da rede que limitem o tráfego de saída/entrada em partes mais sensíveis de cada ambiente. Esses esforços irão limitar a exposição e restringir a movimentação lateral após um comprometimento. No final, será uma questão de quão longe uma instituição financeira irá no caminho de ZT dentro de sua própria rede.
  • Blockchain abre outro vetor de ataque – Ainda há muita agitação em torno da tecnologia blockchain no setor financeiro. A blockchain é certamente maior que o bitcoin e é uma tecnologia de livro-razão distribuído que está sendo usada para processamento de pagamentos, acordos comerciais, carteiras virtuais, etc. Além das startups, as instituições financeiras tradicionais estão trabalhando ativamente para entender essa tecnologia e o seu potencial impacto em suas organizações. Alguns dos benefícios incluem uma maior celeridade, bem como custos reduzidos para pagamentos transnacionais, negociação de valores mobiliários e liquidação, como resultado da eliminação de intermediários. Outros benefícios incluem maior transparência e registros de auditoria para os responsáveis pela conformidade, auditores e reguladores. Mesmo com a melhor das intensões em mente, os primeiros adeptos dessa tecnologia no setor financeiro criarão outro vetor de ataque, apesar dos mecanismos inerentes de criptografia e imutabilidade. As vulnerabilidades das primeiras implantações da tecnologia blockchain serão descobertas por agentes maliciosos, que as explorarão para comprometer a segurança e a confidencialidade das transações financeiras em 2017. Isso fornece uma ponte para a próxima previsão.
  • Melhores resultados da cooperação entre organizações concorrentes – As startups de tecnologia financeira continuam a desafiar as instituições financeiras para que compartilhem os recursos financeiros de seus clientes. As tecnologias financeiras oferecem menor custo e abordagens inovadoras para um segmento da população que possui conta bancária e faz investimentos. Entretanto, muitas vezes elas não têm reconhecimento de marca, acesso a uma grande base de clientes e experiência com questões de regulamentação. Por outro ladro, as instituições financeiras tradicionais claramente apresentam essas qualidades, mas geralmente não têm agilidade nem capacidade para inovar. Instituições financeiras tradicionais estão tentando adotar a computação em nuvem para eliminar alguns entraves e algumas até já lançaram suas próprias unidades de tecnologia financeira (autônomas). Outras têm feito esforços de colaboração com empresas de tecnologia financeira como um meio para unir as principais competências dos dois subsetores. Essa abordagem pode muito bem ser o melhor caminho para soluções inovadoras em 2017, que sejam de âmbito setorial em termos de escalabilidade, arquitetura empresarial, segurança cibernética, etc. Em última análise, isto oferecerá produtos ou serviços financeiros com menor custo e experiências melhores para o cliente, porém com segurança, solidez e conformidade regulamentar totalmente integradas.

Quais são as suas previsões sobre segurança cibernética para o setor financeiro? Compartilhe sua opinião nos comentários e fique atento à próxima postagem desta série, onde compartilharemos as previsões para a EMEA.


Invasores do setor financeiro exploram as fraquezas da tecnologia blockchain

Traps: Advanced Endpoint Protection

O Traps evita violações de segurança, em vez de detecção de violação e resposta a incidentes depois que ativos importantes já foram comprometidos.

  • 15469

Principais Recomendações Para Prevenir Ransomware

O ransomware evoluiu de uma interferência de baixo grau para um negócio criminoso sofisticado e multimilionário que agora tem como alvo tanto indivíduos quanto empresas.

  • 308

O Valor da Plataforma de Segurança de Última Geração: Análise do Mundo Real

A combinação de ambientes de TI complexos e modernos e um cenário de ameaças em rápida evolução fez com que muitas empresas fossem desafiadas a controlar custos e, ao mesmo tempo, proteger efetivamente os sistemas dos quais suas operações dependem.

  • 314

VM-Series Para Amazon Web Services

O VM-Series para AWS permite que você proteja seus aplicativos e dados no AWS com firewall de última geração e recursos de prevenção de ameaças.

  • 283

Redução de Riscos em Nível de Conselho Diretivo

A disseminação das violações de dados colocou definitivamente o tema da segurança cibernética na agenda do Conselho de Diretivo.

  • 277

Novas regras aguardadas no cenário de ameaças

Como observado em nosso relatório, o modelo de negócios de ransomware requer que um invasor realize com êxito cinco tarefas...

  • 255