Healthcare is a sector that is continuously generating a large amount of data. To put it in numbers, every year our National Health System manages 234 million medical consultations in primary care, 83 million hospital consultations, 23 million emergencies and 4 million hospital admissions… data and more data that should be stored, processed and analysed with two main objectives: on the one hand, to build the medical history of each patient to provide a better service and on the other, to facilitate public health decisions of great importance, adding (and of course, anonymising) all the data. In these times of pandemic that we are unfortunately still living through, this need has become very clear.

Health data have several particularities and there are therefore certain challenges specific to them that need to be solved. Firstly, they are generated continuously (people go to the doctor every day) and come from many different sources, from hospitals to the users themselves, who are increasingly connected and have advanced devices that allow them to provide a lot of relevant information. As a result, one of the main challenges is to implement scalable solutions to manage this BigData, which is why Cloud Computing seems to be the only viable option.

Another major challenge is that health data can have many recipients: researchers, doctors, patients… and not everyone needs the same data presented in the same way. They must also always be available to healthcare professionals, who may need to make use of them at any time of the 365 days of the year. The aim is to achieve personalised and predictive medicine, which is impossible to achieve without the management and processing of all the data provided by cloud technology.

Another problem to be solved is the interoperability of systems. If a person suffers a medical emergency outside their area of residence, it is essential to make their medical data available to the person attending them wherever they are. Cloud technology makes it easier for patient data to be integrated into common platforms accessible to any healthcare professional.

Given the particular sensitivity of healthcare data, security is crucial. There may be doubts about whether to use the public cloud or a private cloud, because of the security concerns that may exist with respect to the public cloud. However, nowadays the big players in the public cloud market have such secure solutions that security should not really be an issue.

The current situation is that despite all the advantages of the cloud, its adoption is still far from common in the healthcare sector. According to the report by the consultancy firm Quint Current state and future of the cloud in the healthcare sector, the main barriers holding back the adoption of Cloud Computing in this sector are regulatory compliance, cultural limitations of the business, hidden costs and the amortisation of on-premises infrastructure. These last two barriers are particularly significant in the healthcare sector compared to other sectors.

In conclusion, healthcare organisations face significant change in the coming years. According to the aforementioned Quint report, 43% of healthcare organisations plan to increase their IaaS and PaaS budgets by more than 20% in the next twelve months, while 14% will increase their SaaS budgets in that period, a lower percentage given that SaaS is already widespread in the healthcare sector, accounting for more than 25% of all IT spending for almost a third of organisations. Over the next few years, therefore, healthcare organisations will move from using the cloud basically just to store data to using the technology to analyse data, reduce costs and improve patient care. The cloud is not a passing trend, not in this sector either, but is here to stay and to transform business processes, despite the very special characteristics of healthcare data that have so far slowed cloud adoption in this

O que vem a ser esse modelo, como o mercado vêm enxergando o tema e o que esperar do futuro?

Em um passado não muito distante, a segurança da informação era orientada quase que exclusivamente por um modelo de segurança de rede baseado em perímetro, ou a popular, segurança perimetral. Esse modelo assumia que qualquer usuário dentro do limite da rede de uma empresa era considerado «confiável» e quem estivesse fora desse perímetro, “não confiável”.

As equipes de segurança se concentravam em aprimorar a experiência do usuário final com controles básicos para gerenciamento de acesso e identidade, provisionamento de usuário dentre outros. Com o tempo, esses controles tornaram-se insuficientes, especialmente com o advento de leis de conformidade que todas as organizações independentes de seu porte já devem se preocupar.

Durante muitos anos, essa ideia de confiança serviu e muito bem como argumento para decisão de quais aplicativos ou recursos as pessoas poderiam acessar, mas isso “caiu por terra” e é onde adentro um pouco sobre o tema de modelo confiança zero (ou zero trust).

Mas o que é de fato esse modelo de segurança confiança zero?

Trata-se de um modelo de segurança com capacidade de proteger empresas e proporcioná-las progresso mediante desafios e implicações significativas impostas pela transformação digital.

Esse modelo tem como base um rígido processo de verificação de identidade, onde a estrutura estabelece que apenas usuários e dispositivos autenticados e autorizados podem acessar determinados dados e aplicações.  Ele tira proveito de um conjunto de ações, processos e soluções integradas de segurança que permite às empresas identificar e classificar todos os usuários e dispositivos que buscam acesso à rede, avaliar seu status de conformidade com as políticas de segurança próprias, atribuí-los automaticamente a zonas de controle e monitorá-los continuamente.

Ao longo dos últimos anos, em diversas publicações de tendências tecnológicas, esse conceito de “confiança” aparece fortemente. O contexto pode alterar um pouco, ora centrado na confiança na utilização dos dados, na confiança na segurança dos sistemas, ora na necessidade de confiar que as organizações estão agindo corretamente, mas sempre está lá, como uma das principais tendências desse mercado de segurança da informação.

Cloud, mobilidade, Lei Geral de Proteção de Dados (LGPD) e confiança zero: qual a relação entre eles?

A pandemia colocou em evidência o acesso remoto seguro para colaboradores que passaram a trabalhar de seus lares, expondo às falhas da VPN tradicional assim como a complexidade de operá-las, experiencia não tão boa para os usuários, além é claro, de ser parte integrante do modelo legado de perímetro exposto anteriormente. Como uma referência significativa, de acordo com Gartner, até 2023, 60% das empresas eliminarão gradualmente VPNs de acesso remoto em favor do acesso à rede de confiança zero.

A migração para nuvem já era um movimento que estava acontecendo naturalmente, entretanto, teve seu processo acelerado por conta do exposto acima. Pegando carona com a ida de seus funcionários para casa, as empresas providenciaram ou escalaram ferramentas que assegurassem a produtividade mesmo fora do ambiente organizacional tradicional, sem que fosse preciso seus empregados carregarem todo o escritório consigo, fazendo todo sentido apostar da adesão do modelo de confiança zero para melhoria da experiência deles.

Outro fator que têm impulsionado bastante a adoção do modelo de confiança zero no Brasil é a LGPD (ou GDPR, lei semelhante aplicável na Europa). Em vigor desde 2020, ela visa garantir maior proteção aos dados pessoais na internet implicando às empresas darem garantias de segurança a seus funcionários, clientes e usuários. As organizações vêm se deparando com diferentes opções, sendo o modelo de confiança zero uma alternativa muito atrativa devido principalmente ao modelo se basear em um processo contínuo e eficaz para evitar riscos capazes de levar ao vazamento de dados e ao descumprimento de requisitos que garantem a adequação à LGPD.

E o que esperar do futuro desse modelo?

A segurança cibernética é um tema prioritário para os negócios digitalizados e os métodos de defesa utilizados anteriormente não suportam mais o que encontramos na realidade. Dessa forma, transportar o conceito de confiança zero para o negócio se torna essencial para um crescimento sustentável de uma corporação. 

Espera-se que a estratégia confiança zero continue a ser a prioridade de segurança. Estudos indicam inclusive que as organizações já preveem elevar seus investimentos para contarem com esse modelo dentro de casa e acreditam que superar desafios com seus funcionários será a chave para elevar o investimento com o tema.

Estamos construindo um novo padrão corporativo, pautado pela virtualização, experiência, dinamismo e maleabilidade. Para antecipar as necessidades de mudança do mundo moderno, o espaço de trabalho digital, a nuvem e uma abordagem de segurança de confiança zero serão pilares que permitirão que as empresas tenham sucesso neste novo contexto.

Microsoft desabilita macros e MSIX para evitar distribuição de malware

A Microsoft se mobilizou ativamente contra os múltiplos ataques de malware que usam algumas de suas tecnologias como vetor de entrada. Especificamente, os produtos afetados são o pacote Office e os instaladores de aplicativos MSIX que permitem aos desenvolvedores distribuir aplicativos para diferentes plataformas. No caso do Office, a empresa desativará macros Visual Basic for Applications (VBA) por padrão em todos os seus produtos, incluindo Word, Excel, PowerPoint, Access e Visio, para documentos baixados da web, embora possam ser habilitados voluntariamente pelo usuário. De acordo com a própria publicação da Microsoft, permitir que macros em um arquivo do Office permita que os atores de ameaças ofereçam cargas de ameaças maliciosas, implantem malware, comprometam contas, extraem informações e até mesmo obtenham acesso remoto a sistemas de destino. Essa medida vem apenas um mês depois que o fabricante do Windows desativou as macros excel 4.0 (XLM) por padrão, outra função que é amplamente abusada para distribuir malware. Em relação aos instaladores do aplicativo MSIX, a Microsoft anunciou que desativará temporariamente o driver de protocolo MSIX ms-appinstaller no Windows depois de ter evidências da exploração ativa da  vulnerabilidade CVE-2021-43890, que permite a instalação de aplicativos não autorizados e seria usado para fornecer malwares como Emotet, TrickBot e Bazaloader. Esse movimento significa que, até que a Microsoft corrija completamente o erro, o App Installer não será capaz de instalar um aplicativo diretamente de um servidor web, então os usuários primeiro precisarão baixar o aplicativo em seu dispositivo e, em seguida, instalar o pacote com o instalador do aplicativo.

Possível extração de informações devido à vulnerabilidade no ARGO CD

Pesquisadores do Apiiro revelaram uma vulnerabilidade no Argo CD, uma ferramenta amplamente utilizada para a implantação de aplicativos em Kubernetes, que poderia ser explorada por invasores a fim de obter informações confidenciais de diferentes organizações, especialmente senhas e Chaves de API. A vulnerabilidade foi catalogada com o identificador CVE-2022-24348 – 7.7 CVSSv3, e consiste em uma falha transversal do diretório (Path-Traversal) que poderia levar à elevação do privilégio, divulgação de informações e ataques de movimentos laterais. Sua exploração é obtida carregando um arquivo YAML especialmente projetado para o Kubernetes Helm Chart para o sistema de destino, desde que você tenha permissão para criar e atualizar aplicativos e conhecer todo o caminho de um arquivo contendo um YAML válido. Por sua vez, o Argo CD publicou sua versão 2.3.0-rc4 na última sexta-feira, apenas 5 dias depois que os pesquisadores do Apiiro os alertaram para a existência da falha.

Vulnerabilidades críticas em produtos SAP

A SAP divulgou seu boletim de segurança de fevereiro emitindo 22 grandes atualizações, incluindo correções para o impacto do Log4j, bem como três vulnerabilidades críticas de corrupção de memória que afetam o Internet Communication Manager (ICM), um componente central dos aplicativos de negócios SAP. Essas três últimas falhas foram descobertas pela equipe de resposta à segurança de produtos da SAP, em colaboração com os laboratórios de pesquisa da Onapsis, que os apelidaram de ICMAD (Gerente de Comunicação na Internet Advanced Desync). A vulnerabilidade mais crítica já está corrigida na nota de segurança 3123396 SAP  , identificada com cve-2022-22536 e com um CVSSv3 de 10.0, permitiria que um invasor não autenticado preparasse a solicitação da vítima com dados arbitrários e, assim, executasse funções se passando pela vítima. Os dois bugs restantes também foram corrigidos pela SAP em sua nota de segurança 3123427 e correspondem a CVE-2022-22532 e CVE-2022-22533 com CVSSv3 de 8,0 e 7,5, respectivamente. Ambos também seriam exploráveis por um invasor remoto não autenticado, embora eles só afetam aplicativos SAP em execução no SAP NetWeaver AS Java. Deve-se notar que a exploração bem-sucedida dessas vulnerabilidades pode produzir impactos severos como: o roubo de informações confidenciais, o ransomware e a interrupção de processos e operações de negócios. A SAP recomenda que você aplique as atualizações de segurança SAP de fevereiro de 2022 o mais rápido possível  , bem como faça uso da ferramenta de código aberto fornecida pelo Onapsis que identifica se um sistema é vulnerável e precisa de patches.

Atualizações de segurança da Microsoft

A Microsoft corrigiu uma vulnerabilidade no antivírus Microsoft Defender  no Windows, que permitiu que os invasores distribuíssem e executassem cargas, passando despercebidos pelo mecanismo de detecção de malware. A falha deve-se a uma configuração frouxa de uma chave de registro que contém a lista de locais excluídos da digitalização do Microsoft Defender que era visível para todos os usuários. Após a remediação, isso é visível apenas para usuários com privilégios de administrador. Esse bug de segurança afetou as versões mais recentes do Windows 10, e teria sido corrigido com as últimas atualizações de segurança da Microsoft a partir de fevereiro. Deve-se notar também que a Microsoft está procedendo à eliminação da ferramenta de comando WMIC (Windows Management Instrumentation), wmic.exe, no portal de desenvolvimento das versões mais recentes do Windows 11, em favor do Powershell. A remoção afetaria apenas a ferramenta de comando, de modo que o WMI não é afetado. O WMI tem sido amplamente explorado por atores maliciosos, chegando a ser considerado um LOLBin (binários vivendo fora da terra). Ao remover o utilitário WMIC, vários ataques e malwares deixarão de funcionar corretamente, pois não serão capazes de executar alguns comandos necessários para realizar suas operações, embora seja possível que os invasores substituam o WMIC por novos métodos.

Cibercriminosos aproveitam utilitário Windows Regsvr32 para distribuir malware

Investigadores da Uptycs analisaram uma nova campanha na qual atores mal-intencionados estariam aumentando o abuso de um LOLBin do Windows conhecido como Regsvr32 para espalhar malware. OS LOLBins são utilitários nativos legítimos, comumente usados em ambientes de computador que os cibercriminosos aproveitam para escapar da detecção, misturando-se com padrões normais de tráfego. Neste caso, o Regsvr32 é um utilitário assinado pela Microsoft no Windows que permite que os usuários gerenciem bibliotecas de código e registrem DLLs adicionando informações ao diretório central (registro) para que possam ser usados pelo Windows e compartilhados entre programas. De acordo com a Uptycs, este utilitário seria abusado através de uma técnica conhecida como Squiblydoo, onde o Regsvr32 é usado para executar DLLs usando scriptlets COM que não fazem alterações no registro. A pesquisa acrescenta que o uso malicioso desse utilitário tem aumentado ultimamente, principalmente no registro de arquivos. OCX hospedado em vários documentos maliciosos do Microsoft Office. A Uptycs, analisou até 500 amostras de malware que seriam distribuídas, algumas delas pertencentes a Qbot e Lokibot.