Durante a maior parte da minha carreira como CISO, a indústria cibernética parecia operar com base em uma suposição simples e praticamente incontestada. Se você investisse o suficiente em prevenção, incidentes graves poderiam ser evitados.
Fortes controles de perímetro, defesas em camadas, patches regulares e ferramentas de detecção cada vez mais sofisticadas foram vistas como a resposta. Quando as violações ocorreram, foram tratadas como falhas de execução, e não como prova de que o próprio modelo era falho.
Diretor de Estratégia da Halcyon.
Essa mentalidade fazia sentido em um ambiente de ameaças diferente. Os ataques foram mais lineares e muitas vezes oportunistas. Segurança as equipes tiveram tempo para analisar alertas, escalar preocupações e intervir antes que os invasores alcançassem sistemas críticos. Os conselhos esperavam certeza e a prevenção oferecia uma narrativa fácil de compreender e tranquilizadora para financiar.
O que mudou não foi apenas o volume dos ataques, mas a sua velocidade e adaptabilidade. Ransomware em particular, expôs quão frágil é realmente o modelo de prevenção em primeiro lugar.
Mesmo assim, muitas organizações continuam a apostar na ideia de que ferramentas melhores acabarão por colmatar a lacuna. Na minha experiência, essa crença permanece porque é menos confortável admitir que um compromisso cibernético já não é uma questão de se, mas de quando.
Os backups tornaram-se a rede de segurança que permitiu que essa crença sobrevivesse por mais tempo do que deveria. No papel, a lógica é sólida. Se algo der errado, restaure a partir do backup e siga em frente. Na realidade, os incidentes de ransomware mostram consistentemente como esta abordagem é frágil sob pressão.
Sensibilidade temporal
O que realmente dá errado raramente é uma única falha técnica. Podem existir backups, mas geralmente estão incompletos, desatualizados ou não testados em cenários da vida real. Mais importante ainda, a restauração de dados é apenas uma pequena parte da recuperação.
Os sistemas precisam ser reconstruídos, redes Eles são segmentados, as credenciais são alternadas e a confiança é restaurada de que o invasor não tem mais acesso. Muitas organizações descobrem tarde demais que seus backups reintroduzem os mesmos pontos fracos que foram explorados inicialmente.
O tempo é o fator mais subestimado no nível executivo. Existe uma suposição persistente de que a recuperação é medida em horas porque é isso que os painéis sugerem. Em incidentes reais, o relógio funciona de maneira muito diferente. Cada decisão é avaliada em relação ao risco de piorar as coisas.
As equipes hesitam, com razão, porque colocar os sistemas online novamente muito rapidamente pode desencadear reinfecção ou mais perda de dados. Essa hesitação estende os prazos de recuperação muito além do que a liderança espera.
Acredito que IA mudou fundamentalmente a dinâmica do lado atacante e é aqui que a pressão sobre a recuperação se torna aguda. Os invasores não estão mais limitados pelo ritmo humano.
A automação permite que eles se movam lateralmente, aumentem privilégios e extraiam dados quase imediatamente após o acesso inicial. As equipes defensivas podem detectar atividades rapidamente, mas detecção não é igual a controle quando os processos de recuperação permanecem lentos, manuais e fragmentados.
A indústria passou anos otimizando o alerta precoce. Muito menos atenção foi dada ao que acontece a seguir. Os ataques conduzidos por IA comprimem a janela entre o comprometimento e o impacto de forma tão dramática que a capacidade de recuperação rápida se torna mais importante do que a capacidade de prevenir perfeitamente.
Resiliência definida por uma recuperação eficiente e confiável
Uma boa postura de resiliência hoje parece muito diferente daquilo que muitas organizações ainda planeiam. Ele pressupõe que alguns ataques serão bem-sucedidos e se concentra em limitar o raio de explosão e o tempo de inatividade. Ele prioriza ambientes de recuperação limpos e isolados, confiáveis sob pressão.
Requer processos de recuperação que sejam ensaiados regularmente, não documentados uma única vez e deixados intocados. Mais importante ainda, exige que os conselhos de administração entendam a resiliência como um negócios capacidade, não uma reflexão técnica posterior. Os objectivos de recuperação têm de ser realistas e significativos.
Restaurar um servidor não é o mesmo que restaurar operações. As organizações que recuperam mais rapidamente são aquelas onde os papéis são claros, as decisões são pré-autorizadas e a liderança tem praticado a operação em condições de crise.
A incompatibilidade mais perigosa que vejo hoje é entre os ataques conduzidos pela IA e a tomada de decisões humanas. Os invasores operam continuamente, adaptando-se em tempo real, sem fadiga ou atrito organizacional. Os defensores contam com comitês, aprovações e caminhos de escalada que retardam tudo no pior momento possível.
Quando acontecem incidentes, a incerteza se espalha rapidamente e, sem preparação, essa incerteza se transforma em paralisia.
Se há uma conclusão que tirei ao observar a evolução do ransomware, é esta. A resiliência não é mais definida pela forma como você mantém os invasores afastados. É definido pela rapidez e confiança com que você pode se recuperar quando eles entrarem.
As organizações que reconhecem esta mudança e investem em conformidade permanecerão operacionais. Aqueles que se apegam à prevenção como estratégia principal continuarão a surpreender-se quando a recuperação demorar muito mais tempo do que se esperava.
Apresentamos o melhor curso online de segurança cibernética.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes do setor de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não são necessariamente da TechRadarPro ou Future plc. Se você estiver interessado em contribuir saiba mais aqui: https://www.techradar.com/news/submit-your-story-to-techradar-pro