Thomas Kress é um dos mais proeminentes especialistas em segurança de TI na área de língua alemã e CEO da Deutschen CyberKom. Após mais de 25 anos em cargos de liderança em projetos internacionais de TI, ele fundou sua própria empresa, que hoje reúne estrategicamente segurança de TI e telecomunicações sob o guarda-chuva da Deutsche CyberKom. Como autor especializado requisitado, ele publica em publicações líderes de TI e negócios. Como consultor, ele atende empresas líderes e integradoras de sistemas em questões de segurança, infraestrutura e soberania digital. Kress respondeu às perguntas da LabNews Media como parte de nossa série de entrevistas „Hard Questions“.
A Alemanha está significativamente atrasada na área de defesa cibernética, não existem instituições comparáveis à NSA ou GCHQ. O que precisa mudar?
Embora a Alemanha tenha dado passos importantes na área de segurança cibernética nos últimos anos – por exemplo, através do Escritório Federal de Segurança da Informação (BSI), do Centro Nacional de Defesa Cibernética e do estreito envolvimento da agência europeia ENISA. No entanto, em comparações internacionais, faltam poder de ação, estruturas claras e poderes suficientes.
O problema central reside na fragmentação da responsabilidade: enquanto em outros países atores centrais como a NSA ou o GCHQ têm responsabilidade clara, a defesa cibernética na Alemanha está distribuída por várias autoridades, ministérios e níveis federais. Isso leva a perdas por atrito e dificulta uma resposta rápida e coordenada.
Para operar em pé de igualdade internacionalmente, é necessário:
- Uma instituição central com mandato claro que centralize a defesa cibernética e seja operacionalmente capaz de agir.
- Investimentos mais fortes em tecnologia e treinamento para reter know-how no país.
- Uma interconexão vinculativa entre o Estado, a economia e a ciência, para que as informações possam ser compartilhadas mais rapidamente e os ataques possam ser repelidos de forma mais eficiente.
Somente assim a lacuna entre a coordenação europeia, a estratégia nacional e a implementação real poderá ser fechada.
Especialmente com ataques APT, a criança já pode ter caído no poço para muitas empresas. Como esses ataques de dia zero podem ser detectados retroativamente?
Com ataques de dia zero – ou seja, a exploração de vulnerabilidades de segurança até então desconhecidas – a defesa inicial é naturalmente difícil. De fato, muitas empresas só percebem muito tarde que já foram comprometidas. No entanto, existem maneiras de detectar ataques retroativamente:
- Detecção de anomalias e análise baseada em IA: Sistemas baseados em assinatura clássicos não detectam dias zero. Portanto, soluções modernas se baseiam em abordagens baseadas em comportamento e IA para identificar padrões atípicos em redes, dispositivos finais ou atividades de usuários.
- Threat Hunting: Caça proativa a vestígios de agressores na rede corporativa. Equipes especializadas analisam dados de log, processos e áreas de memória em busca de artefatos suspeitos.
- Análise forense e retrospectiva: Ao armazenar e analisar dados históricos, ataques podem ser rastreados mesmo após semanas ou meses – muitas vezes por meio de Indicadores de Comprometimento (IoCs) que são posteriormente publicados por CERTs ou fornecedores de segurança.
- Zero Trust e Segmentação: Mesmo que um ataque ocorra, um controle de acesso rigoroso e a segmentação de rede impedem que agressores se espalhem lateralmente sem serem detectados.
Em última análise, trata-se de minimizar o tempo de permanência dos agressores: quanto mais rápido uma empresa detectar anomalias e reagir, menor será o dano. Não existe segurança completa, mas com uma combinação de tecnologia, processos e expertise, até ataques de dia zero podem ser tornados visíveis e contidos posteriormente.

Os EUA apostam em defesa cibernética ofensiva. Por que isso não funciona na Alemanha?
Os EUA, com a NSA e o Cyber Command, seguem uma abordagem fortemente orientada para o ofensivo – eles não apenas realizam medidas de defesa, mas também atacam ativamente infraestruturas adversárias para neutralizar ameaças precocemente. Na Alemanha, isso não funciona, e por vários motivos:
- Estrutura legal: As Forças Armadas Alemãs (Bundeswehr) só podem atuar no ciberespaço em caso de defesa e sob condições restritas. Além disso, na Alemanha, há uma separação rigorosa entre segurança interna e externa – o que a polícia, os serviços de inteligência e os militares podem fazer é claramente delimitado. Operações cibernéticas ofensivas esbarrariam rapidamente em limites legais aqui.
- Cultura política e social: A Alemanha tradicionalmente aposta na defesa, no Estado de direito e na cooperação internacional. Ataques cibernéticos ofensivos apresentam o risco de escalada e estão em conflito com o direito internacional e a lei fundamental – isso torna a viabilidade política extremamente difícil.
- Falta de estruturas centrais: Enquanto os EUA criaram uma organização poderosa e centralizada com o Cyber Command, a defesa cibernética alemã está distribuída por várias agências. As capacidades ofensivas seriam ainda mais difíceis de concentrar aqui.
Isso não significa, no entanto, que a Alemanha permaneça inativa – o foco está na defesa resiliente, na detecção precoce e na cooperação internacional. Embora capacidades ofensivas sejam discutidas, enquanto as questões legais e políticas não forem resolvidas, a Alemanha, ao contrário dos EUA, continuará a adotar uma abordagem mais defensiva.
Um problema para qualquer empresa de médio porte são os ataques fileless. O treinamento para não abrir documentos ajuda pouco. O que se deve fazer?
Ataques Fileless são particularmente insidiosos porque não precisam de programas maliciosos clássicos, mas abusam de ferramentas legítimas como PowerShell, WMI ou macros. Estratégias de proteção clássicas como "não abra arquivos suspeitos" são insuficientes aqui.
O que as empresas devem fazer:
- Endpoint Detection & Response (EDR/XDR): Soluções de segurança modernas que não apenas verificam arquivos, mas também monitoram processos e memória. Elas detectam quando, por exemplo, o PowerShell é usado de forma incomum.
- Análises baseadas em comportamento: Como não há assinaturas de malware, comportamentos suspeitos na rede ou em dispositivos finais devem ser detectados – por exemplo, acessos incomuns à memória ou cadeias de processos suspeitas.
- Fortalecimento dos sistemas: PowerShell, macros e outras linguagens de script devem ser limitadas ao essencial ou controladas por Application Whitelisting. "Default-Deny" é mais eficaz aqui do que a detecção reativa.
- Arquitetura Zero Trust: Direitos mínimos, segmentação rigorosa e autenticação forte dificultam a propagação de atacantes após uma infecção inicial.
- Proactive Threat Hunting: Especialmente em ataques fileless, é crucial que as equipes de segurança procurem ativamente por atividades suspeitas – não apenas esperem por alertas.
Em resumo: a conscientização por si só não é suficiente. Ataques Fileless só podem ser efetivamente contidos por uma combinação de tecnologia de detecção moderna, conceitos de permissão rigorosos e monitoramento contínuo.
Nossa última pergunta: qual papel a IA desempenha na ciberdefesa?
Inteligência artificial desempenha um papel cada vez maior na ciberdefesa, pois os métodos clássicos – comparação de assinaturas ou regras estáticas – atingem seus limites com ataques modernos. Os ataques evoluem dinamicamente, usam ferramentas legítimas e muitas vezes deixam apenas rastros fracos.
A IA ajuda principalmente em três áreas:
- Análise de anomalias e comportamento: Sistemas de IA podem analisar enormes quantidades de dados de logs, tráfego de rede ou atividades de endpoints e reconhecer padrões que seriam quase invisíveis para os humanos. Isso permite encontrar até mesmo ataques zero-day ou fileless.
- Automação e velocidade: Na ciberdefesa, cada minuto conta. A IA ajuda as equipes de segurança a automatizar tarefas rotineiras como filtragem de alertas ou pré-análises, para que os especialistas possam se concentrar nos casos verdadeiramente críticos.
- Defesa adaptativa: Sistemas baseados em IA aprendem continuamente e adaptam seus modelos a novos métodos de ataque – uma característica que é crucial especialmente contra Advanced Persistent Threats (APT).
Mas: A IA não é uma panaceia. Os atacantes também estão a usar cada vez mais a IA, por exemplo, para phishing automatizado ou para disfarçar malware. Por isso, a regra é: a IA é uma ferramenta poderosa, mas é apenas tão forte quanto a base de dados, os processos e as pessoas que a utilizam.
As perguntas foram feitas pela equipa do LabNews

