Principais notícias sobre cibersegurança de novembro de 2024

A cibersegurança não chegou às manchetes apenas este mês. Isso gerou debates, levantou alarmes e exigiu ação.  

Especialistas de todo o setor analisaram como lidar com as ameaças mais urgentes da atualidade. Acima de tudo, o Zero Trust provou ser uma estratégia indispensável em todos os setores e em qualquer escala.  

As notícias deste mês apresentam insights de especialistas em segurança cibernética sobre:

• Por que confiar apenas na boa vontade não protegerá a infraestrutura crítica

• Os riscos de interromper sua estratégia de segurança cibernética na identidade

• O impacto devastador dos ataques de terceiros na área da saúde

• Como o novo programa de parceria da Illumio torna a jornada do Zero Trust muito mais fácil

A promessa Secure by Design da CISA é insuficiente — e como corrigi-la

In his recent Dark Reading article, The Power of the Purse: How to Ensure Security by Design, Gary Barlet, Illumio's public sector CTO, discussed CISA’s new Secure by Design pledge which pushes software companies to prioritize security from the ground up.  

Grandes nomes como Google, Microsoft, AWS e Lenovo estão a bordo, e a promessa estabelece algumas metas ambiciosas. Um destaque é implementar a autenticação multifatorial (MFA) em todos os setores em um ano.  

Mas é aqui que Gary discorda da promessa: ela é totalmente voluntária. Não há mecanismo de fiscalização.  

Ele diz sem rodeios: “Como uma promessa voluntária protegerá a infraestrutura crítica quando as violações estão em alta?”  

Last year, data breaches shot up by 72%, with the average breach costing a whopping $4.88 million. Clearly, the stakes are too high for an honor system.

Gary argumenta que confiar nas empresas para fazer a coisa certa não é suficiente. “Precisamos ordenar isso e punir aqueles que falham”, diz ele.  

He uses the European Union’s (EU) hardline stance on standardized charging ports for electronics as an example. Even giants like Apple had to comply. The same goes for California’s Zero Emissions Vehicle rules. Regulations forced the auto industry to innovate.

Seu ponto de vista? Regras fortes geram resultados.

Gary sugere que a CISA siga uma página desses manuais e torne suas metas obrigatórias. Isso significaria auditorias regulares, verificações de conformidade e medidas de responsabilidade para empresas que falham.  

Medidas voluntárias não vão funcionar. Como adverte Gary, “os riscos são altos demais para uma abordagem de 'caixa de sugestões' para a cibersegurança”. E isso faz você se perguntar: quando as regulamentações de segurança cibernética atenderão à urgência do problema?

A cibersegurança não termina com a identidade

For Raghu Nandakumara, senior director of industry solutions marketing at Illumio, the cyber industry needs a wake-up call about identity security. He shared his insight into the topic in his new Help Net Security article, The changing face of identity security.  

De acordo com Raghu, precisamos dissipar o mito de que a cibersegurança se limita às identidades dos usuários. " É perigoso esquecer todas as outras identidades que compõem a rede comum, ", como dispositivos, aplicativos e contas de serviço frequentemente negligenciadas, explicou ele.

These service accounts, often holding elevated privileges, are a goldmine for attackers. In increasingly popular Kerberoasting and Golden Ticket attacks, threat actors exploit weak points in service accounts to wreak havoc across networks.

So, what’s the fix? Raghu focuses on a Zero Trust strategy that’s grounded in microsegmentation. He explains that Zero Trust isn’t just about verifying users. It’s about controlling every "who, where, and how" across the network.  

And with microsegmentation, you’re not just monitoring traffic. You’re locking it down. As he puts it, microsegmentation "ensures that only verified entities — whether users, devices, or applications — can access critical resources." Think of it as building secure pathways that stop attackers in their tracks.

Para Raghu, uma estratégia de segurança inteligente começa com o conhecimento de seus maiores riscos. Concentre-se em seus ativos essenciais, descubra onde você está mais vulnerável e implemente controles baseados em identidade onde eles causarão o maior impacto.

Uma estratégia de segurança não deve terminar com a identidade. Como explica Raghu, não se limite a proteger suas portas — tranque a casa inteira. Zero Trust, além de segurança de identidade inteligente e microssegmentação, significam uma rede mais forte e segura.

Ataques cibernéticos do NHS no Reino Unido: expondo os pontos cegos de segurança da área de saúde

No início deste ano, o NHS do Reino Unido sofreu grandes ataques cibernéticos, incluindo aqueles que derrubaram o NHS Scotland em maio e os hospitais de Londres em junho. O que é curioso — e preocupante — sobre esses ataques é que eles não foram ataques diretos. Eles vieram por meio de fornecedores terceirizados.  

Think Digital Partners reporter Christine Horton interviewed Trevor Dearing, industry solutions marketing director at Illumio, on the topic in her article, How the NHS can reduce the risk from the endless loop of supply chain attacks.  

" Uma empresa é tão segura quanto seu fornecedor terceirizado mais fraco, observou " Trevor.

E com o NHS contando com milhares de provedores externos, esse é um risco enorme.

Even worse, most of the NHS is running on outdated, clunky IT systems. Around 77% of the UK healthcare sector is stuck in the tech dark ages, using legacy systems that are practically gift-wrapped for cybercriminals.  

Esses sistemas não são apenas difíceis de corrigir. Eles não foram construídos com a segurança moderna em mente. Neste ponto, atualizá-los não é opcional; é sobrevivência.

É por isso que a abordagem do NHS à segurança da cadeia de suprimentos precisa de uma revisão séria. Um relatório de julho de 2023 revelou que mais de um quarto dos NHS Trusts não testaram a segurança cibernética de seus fornecedores no ano passado. Isso não é apenas um ponto cego — é um alvo fácil para os atacantes.  

Trevor said that regular audits and simulations should be a security baseline in the healthcare industry, especially with such a sprawling, complex supply chain.

Mas a linha de base não deve ser suficiente. As violações são inevitáveis. As organizações de saúde devem criar a segurança Zero Trust.

Com base em uma abordagem de “nunca confie, sempre verifique”, uma estratégia de segurança Zero Trust baseada na microssegmentação isola os sistemas e impede que as violações se espalhem pela rede. Isso permite que as organizações contenham as violações antes que elas saiam do controle.  

For Trevor, cyber resilience is the ability to lock down infected areas while keeping critical services running. In today’s healthcare threat landscape, breach containment isn’t just a backup plan. It’s the only path forward.

Illumio anuncia seu novo Programa de Parceiros Enlighten

Illumio just took its partner program to the next level with a revamped Enlighten Partner Program. SDxCentral spotlighted the launch in the article, Illumio Expands Partner Program to Enhance Zero Trust Segmentation Support.

Over the past year, Illumio continuously reached out to its partners to understand what they need to invest in and grow their business. Based on their learnings, they’ve evolved the partner program to offer updated training and enablement, hands-on tools, and a new pricing structure to help partners sell, deploy, and manage Illumio’s microsegmentation solutions.  

Why does this matter? According to Gartner, the microsegmentation market is growing exponentially. Segmentation is the best answer to building resilience against today’s constant, sophisticated cyberattacks.

Como explicou Todd Palmer, vice-presidente sênior de vendas globais de parceiros da Illumio, no artigo: “As organizações entendem a necessidade e querem prosseguir, mas a complexidade percebida geralmente atrapalha. Isso cria uma enorme oportunidade para nossos parceiros.”

Leaders from companies like World Wide Technology (WWT) and MIEL said they see their partnership with Illumio as a big opportunity to grow their own businesses while solving some of the most crucial cybersecurity pain points for customers.

At the core of the program is Illumio’s Zero Trust Segmentation platform which uses AI-driven insights to contain breaches, quickly respond to attacks, and build cyber resilience. Illumio’s partners now have the curriculum, tools, resources, and pricing models to meet the needs of their customers.    

Entre em contato conosco hoje para saber como a Illumio pode ajudar você a conter a disseminação de violações e ataques de ransomware.