Incidente Incrível da CrowdStrike – Hipsters Ponto Tech #421
Resumo
O episódio discute em detalhes o incidente global ocorrido em 19 de julho de 2024, quando uma atualização defeituosa do software de segurança da CrowdStrike causou a famosa “tela azul da morte” (BSOD) em sistemas Windows ao redor do mundo. Especialistas em cibersegurança explicam como o problema afetou principalmente servidores corporativos e sistemas críticos como aeroportos, bancos e serviços de transporte, enquanto usuários domésticos foram menos impactados.
Os participantes analisam as causas técnicas do problema, que envolveu uma manipulação incorreta da API do Windows pelo software da CrowdStrike, resultando em um loop infinito de reinicializações. A discussão explora por que o Windows foi o sistema mais afetado (por ser o mais utilizado em ambientes corporativos) e os desafios técnicos para resolver o problema, que exigia acesso físico às máquinas e manipulação de arquivos em modo de recuperação.
Uma das principais lições destacadas é a importância dos processos de homologação antes de liberar atualizações de segurança. Os especialistas criticam a prática de atualizações automáticas em tempo real sem fases de teste adequadas, sugerindo estratégias como implementar grupos de homologação e usar versões “D-1” (um dia atrasadas) para ambientes críticos. A conversa também aborda a necessidade de profundidade técnica nas equipes de TI para responder a incidentes complexos.
O episódio reflete sobre como o caso expõe a fragilidade da infraestrutura tecnológica interconectada moderna e a importância da resiliência. Os participantes discutem a postura transparente da CrowdStrike e da Microsoft durante a crise, e como o incidente serve como alerta para todas as empresas repensarem seus processos de segurança, deploy e resposta a incidentes, independentemente do tamanho ou setor.
Indicações
Conceitos
- EDR (Endpoint Detection and Response) — Solução de segurança que faz monitoramento e resposta em endpoints (dispositivos finais). A CrowdStrike é uma fornecedora líder deste tipo de solução, que foi a fonte do problema na atualização defeituosa.
- BSOD (Blue Screen of Death) — A ‘tela azul da morte’ do Windows que apareceu globalmente devido ao bug da CrowdStrike. O erro específico foi ‘page fault in nonpaged area’, causando loop infinito de reinicializações.
- Homologação de atualizações — Processo de teste e validação antes de liberar atualizações em produção. Os especialistas identificam a falta deste processo como uma das causas principais do incidente e recomendam implementar fases de deploy gradual.
- Canary deployment — Estratégia de liberar atualizações gradualmente para pequenos grupos antes de distribuir para toda a base. Paulo Silveira menciona que empresas como WhatsApp e Facebook usam esta abordagem, questionando por que não foi usada pela CrowdStrike.
Empresas
- CrowdStrike — Empresa de cibersegurança cuja atualização defeituosa causou o incidente global. Especialistas discutem sua resposta transparente à crise e a lição sobre a necessidade de robustecer processos de homologação.
- Microsoft — Empresa cujo sistema operacional Windows foi o principal afetado pelo bug da CrowdStrike. O CEO Satya Nadella se manifestou publicamente durante a crise, apesar de não ser um produto Microsoft o causador do problema.
- Kaspersky — Empresa de segurança com origem russa que foi bloqueada pelos EUA pouco antes do incidente. Rafael Santos menciona os memes na internet mostrando o ursinho da Kaspersky se vantajando do problema da concorrente.
Linha do Tempo
- 00:00:44 — Apresentação dos especialistas em cibersegurança — Paulo Silveira apresenta os convidados: Larissa Escobar (sócia da PwC e especialista em cibersegurança), Rafael Santos (coordenador do curso de defesa cibernética da FIAP) e André Davielli (professor e podcaster). Eles introduzem o tema do incidente da CrowdStrike que ocorreu na sexta-feira anterior, destacando seu impacto global em sistemas críticos.
- 00:04:44 — Descrição do impacto percebido pelos usuários — André Davielli descreve o que os consumidores perceberam durante o incidente: serviços bancários fora do ar no Brasil, e problemas mais graves globalmente como aeroportos com sistemas parados, caixas automáticos inoperantes e serviços de transporte afetados. Ele menciona a preocupação inicial sobre ser um ataque cibernético antes da causa real ser descoberta.
- 00:06:24 — Explicação técnica do que aconteceu com a CrowdStrike — Rafael Santos explica tecnicamente o incidente: no dia 19 de julho, uma atualização do software de segurança da CrowdStrike causou uma falha crítica resultando na BSOD (tela azul da morte) em sistemas Windows globalmente. Ele detalha que o problema afetou especificamente o EDR (Endpoint Detection and Response) da empresa, causando um loop infinito de reinicializações devido a um erro de page fault. A solução exigia renomear manualmente um arquivo de configuração no Windows.
- 00:08:03 — Por que servidores foram mais afetados que usuários finais — Larissa Escobar explica que os primeiros impactos ocorreram entre 3-4h da manhã (horário de Brasília), afetando principalmente servidores que ficam ligados 24/7, enquanto usuários finais estavam dormindo. Quando a CrowdStrike parou a distribuição da atualização por volta das 7-8h, muitos usuários já não foram impactados, mas o estrago nos sistemas críticos já estava feito.
- 00:12:53 — Discussão sobre por que o Windows foi o sistema mais afetado — Os participantes discutem por que o Windows foi o sistema operacional mais impactado. Rafael Santos explica que é o sistema mais utilizado no mundo para desktops, laptops e servidores corporativos, sendo também o principal alvo de ataques. Larissa complementa que a solução da CrowdStrike é voltada para empresas, não para usuários domésticos, o que explica por que civis não foram diretamente afetados.
- 00:16:38 — Reflexões sobre a fragilidade da infraestrutura tecnológica — André Davielli pergunta sobre o que o caso revela sobre a fragilidade da infraestrutura tecnológica moderna. Rafael Santos responde usando o tripé da segurança da informação (confidencialidade, integridade, disponibilidade), mostrando como todos foram afetados, especialmente a confiabilidade. Larissa destaca que ambientes de missão crítica (hospitais, energia) geralmente têm processos de homologação mais rigorosos e não foram tão impactados.
- 00:28:55 — Discussão sobre Kaspersky e o contexto geopolítico — Rafael Santos traz o contexto geopolítico: os EUA acabaram de bloquear a Kaspersky (empresa de segurança com origem russa) pouco antes do incidente da CrowdStrike. Ele menciona os memes na internet mostrando o ursinho da Kaspersky dizendo ‘se eu estivesse sendo usado, não teria tido esse problema’, destacando como concorrentes usaram o caso para marketing.
- 00:29:04 — Solução: tecnologia ou processos de homologação? — André Davielli pergunta se a solução para evitar problemas como esse é tecnológica ou de processos. Tanto Larissa quanto Rafael concordam que é principalmente uma questão de processos - implementar etapas de homologação adequadas antes de liberar atualizações. Eles sugerem estratégias como fases de deploy gradual (canary deployment) e uso de versões D-1 para ambientes críticos.
- 00:33:17 — Importância da profundidade técnica nas equipes de TI — Os especialistas discutem a necessidade de equipes técnicas capacitadas para responder a incidentes complexos. Rafael Santos destaca que procedimentos como acessar máquinas em modo de segurança ou usar Linux para boot são técnicos demais para usuários comuns. Larissa enfatiza a importância de empresas terem profundidade técnica interna para não depender apenas de fornecedores durante crises.
- 00:40:45 — Principais lições aprendidas do incidente — Os participantes resumem as principais lições do caso. Larissa destaca a necessidade de estratégias robustas de homologação, possivelmente usando versões anteriores (D-1) e grupos de teste. Rafael enfatiza a importância da curiosidade técnica e do entendimento profundo dos processos de segurança. Paulo Silveira reflete sobre a necessidade de pensar como engenheiros, com visão sistêmica dos riscos e impactos.
Dados do Episódio
- Podcast: Hipsters Ponto Tech
- Autor: Alura - Hipsters Network
- Categoria: Technology Science Education
- Publicado: 2024-07-23T03:00:19Z
- Duração: 00:52:55
Referências
- URL PocketCasts: https://pocketcasts.com/podcast/8c92b8c0-2f51-0134-eba6-0d50f522381b/episode/230b8e41-cb2c-4509-a0ce-709f807bf2ac/
- UUID Episódio: 230b8e41-cb2c-4509-a0ce-709f807bf2ac
Dados do Podcast
- Nome: Hipsters Ponto Tech
- Site: https://www.hipsters.tech/
- UUID: 8c92b8c0-2f51-0134-eba6-0d50f522381b
Transcrição
[00:00:00] Hipsters.tech, o podcast de tecnologia e outras modinhas.
[00:00:30] Universitários e grandes empresas com tela azul ou algo assim.
[00:00:34] Então vamos lá para o podcast ver com quem que a gente vai conversar.
[00:00:44] Para a conversa de hoje eu estou aqui com a Larissa Escobar, ela que é sócia da PwC e especialista em cibersegurança.
[00:00:50] Tudo bem com você Larissa?
[00:00:51] Tudo ótimo Paulo, é um prazer, agradeço o convite e falar a respeito desse evento ou incidente
[00:00:59] que já aconteceu.
[00:01:00] Ter o tanto impacto no mercado é um grande prazer, então muito obrigada pelo convite Paulo.
[00:01:05] Legal Larissa, também estou aqui com o Rafael Santos, que já apareceu por aqui.
[00:01:09] Ele que é coordenador do curso de defesa cibernética da FIAP, que é um dos cursos famosos que a gente tem aqui na FIAP.
[00:01:14] E também Head do Shift. Fala Rafa.
[00:01:17] Tudo bem Paulo, prazer, prazer Larissa, André.
[00:01:20] A satisfação está aqui para a gente falar desse item que aconteceu na última sexta-feira,
[00:01:24] que ocasionou um grande problema mundial em relação a esse software.
[00:01:30] E também estou aqui com o André Davielli, que é professor, podcaster, está no The Code e está cada vez mais próximo aqui do Hipsters.
[00:01:40] Tudo bom com você André?
[00:01:41] Tudo ótimo e nunca antes o nome de uma empresa foi tão acertado, porque esse strike pelo qual a gente passou nos últimos dias foi realmente assustador.
[00:01:49] Vai ser legal a gente poder explorar isso um pouquinho com a expertise da Larissa e do Rafa.
[00:01:54] Pois é, eu confesso, para começar, eu também não entendi muito bem o episódio, é óbvio.
[00:01:59] Eu entendi que uma atualização de algum software, de alguma empresa relacionada a cibersegurança, vírus, invasões,
[00:02:06] algum deploy mal feito que foi para todo mundo, acabou parando tudo.
[00:02:13] Acho que o interessante, além de entender o caso, entender os pormenores, é que da gente, da comunidade de tecnologia,
[00:02:21] todo mundo fica um pouco assim, todo mundo dá uma risadinha, mas é uma risadinha com os dentes fechados.
[00:02:26] Porque você fala assim, poderia ter sido eu.
[00:02:29] Aquela coisa que você fala, gente, tem que tomar cuidado para eu não fazer isso aqui na empresa, com as empresas dos outros.
[00:02:35] É óbvio que esse caso é muito mais latente, ele fica grandioso, porque ele estava rodando em sistemas críticos
[00:02:43] e provavelmente tinha poderes administrativos em muita coisa de máquinas importantes.
[00:02:50] Não era só na máquina do atendimento, ou só com uma permissão específica, porque para parar assim,
[00:02:58] a confiança que se tinha nesse software, nessa empresa, etc., era muito grande.
[00:03:05] Tanto que nenhuma empresa é boba, todas essas empresas grandes, elas sabiam do risco, elas sabem, né?
[00:03:10] Elas têm empresa grande e sabem, olha, se esse software aqui tiver atualização errada, a gente para.
[00:03:14] Se esse software aqui tiver isso, a gente para.
[00:03:17] Se esse SaaS, se esse Cloud, tem gente que faz redundância de Clouds diferentes, não é verdade?
[00:03:22] Então é óbvio que também sabiam.
[00:03:23] E aí caem em sistema crítico com confiança, não é à toa que…
[00:03:28] Acontece, inclusive, que vai acabar até ficando injusto de alguma forma, o nome da empresa, a confiança,
[00:03:34] toda a estabilidade, todo o valor que você tem em uma empresa, banco, empresa de cibersegurança,
[00:03:40] a reputação é algo muito importante.
[00:03:43] Então fica uma lição para todo mundo, não é?
[00:03:46] Eu leio esse caso e não consigo falar, olha só que maluquice.
[00:03:49] Eu falo, putz, poderia ter sido aqui em casa.
[00:03:53] Então acho que é emblemático e interessante.
[00:03:56] Então eu queria começar entendendo.
[00:03:57] O que parou, foi DNS que parou, foi sistema que crashou, foram todos os Windows que travaram,
[00:04:02] ninguém conseguia logar, o que aconteceu, qual foi o efeito, qual é o diagnóstico, não é?
[00:04:11] Olha, ninguém consegue fazer tal coisa.
[00:04:12] E aí até descobri, até entendi, e quais foram as regras de DevOps que o pessoal comeu bola ou não comeu bola.
[00:04:22] Então eu queria ir por aí.
[00:04:23] E se a gente puder também entender que tecnologias estavam envolvidas, não envolvidas,
[00:04:26] seria bem interessante também de ouvir.
[00:04:29] Eu acho legal, até antes do Rafa e da Larissa contar o que aconteceu,
[00:04:33] só relembrar um pouquinho para os ouvintes e para as ouvintes do Hipsters,
[00:04:36] o que nós, do lado consumidor e não do lado das defesas, percebemos.
[00:04:44] Então o que aconteceu foi que na sexta-feira da semana passada, logo no início do dia,
[00:04:49] primeiro aqui no Brasil a gente notou serviços de alguns bancos fora do ar,
[00:04:53] apresentando problemas, apresentando falhas,
[00:04:55] só que ao redor do mundo, fora do Brasil, esse problema já estava em outra escala.
[00:05:00] Então pessoas chegando no aeroporto e não conseguindo pegar seus voos,
[00:05:05] porque não era simplesmente aqueles placares eletrônicos do aeroporto que estavam fora do ar.
[00:05:10] Eram os sistemas realmente de controle de alguns aeroportos.
[00:05:13] Empresas que têm aquele caixa automático, onde a gente passa sem um profissional atendendo a gente,
[00:05:20] onde a gente pesa a nossa própria compra, também com esses caixas parados,
[00:05:25] também com esses caixas parados, também com esses caixas parados,
[00:05:25] serviços de transporte.
[00:05:27] Então a gente viu na sexta-feira, aqui no Brasil nós sentimos um pouco menos,
[00:05:31] mas ao redor do mundo foi acontecendo um efeito dominó.
[00:05:35] Vários serviços caíram em sequência e uma coisa que levou a gente a pensar,
[00:05:40] será que é um ataque que está acontecendo?
[00:05:42] Será? O que aconteceu no mundo?
[00:05:44] E aí sim, acho que agora o Rafael e a Larissa podem contar um pouco pra gente
[00:05:48] se não era um ataque mesmo, o que rolou, o que causou todos esses serviços a caírem,
[00:05:54] não só no Brasil,
[00:05:55] mas também ao redor do mundo.
[00:05:57] Bom, boas palavras que o Paulo colocou.
[00:05:59] O Paulo levou um insight de que o que aconteceu.
[00:06:03] Uma coisa que eu queria começar aqui já essa discussão é botando lenha na fogueira.
[00:06:07] Se a gente não usa segurança, o mercado vai lá, olha para a nossa empresa,
[00:06:11] olha para o nosso modelo de negócio e fala assim,
[00:06:13] esses caras não são seguros, eles não se previnem.
[00:06:15] Se o pessoal usa segurança e dá um problema, o problema é da segurança também.
[00:06:19] Ou seja, a gente fica no loop infinito de diversos problemas.
[00:06:22] Mas resumidamente, o que aconteceu?
[00:06:24] No dia 19 de julho, como bem o André pontuou,
[00:06:27] houve uma atualização do software de segurança da CrowdStrike
[00:06:30] que resultou numa falha crítica, causando a famosa BSOD,
[00:06:34] ou seja, a tela azul da morte em sistemas Microsoft globalmente.
[00:06:38] Então até teve várias figurinhas aí pela internet de quem usava Linux ou Mac
[00:06:42] e falava, estou seguro, estou despreocupado.
[00:06:45] Não estou usando Windows, então não tive esse problema.
[00:06:48] Então, na prática, o que aconteceu?
[00:06:50] A CrowdStrike lançou uma atualização.
[00:06:52] Foi famosa por ser uma empresa na área de segurança da informação
[00:06:55] e disponibilizar serviços de segurança de EDR,
[00:06:58] de Endpoint Detection and Response,
[00:07:01] ou seja, dispositivos que fazem a parte de segurança em endpoints,
[00:07:06] ou seja, em dispositivos finais.
[00:07:08] E por conta dessa atualização, uma vez que a máquina recebia essa atualização,
[00:07:11] ela começava a rebootar.
[00:07:13] Então você ligava o computador e ele ficava em loop infinito de tela azul.
[00:07:16] Ele dava a tela azul, reiniciava.
[00:07:18] Deve tela azul, reiniciava.
[00:07:20] Esse é aquele famoso erro de page fault in not page area,
[00:07:24] ou seja, ele não achava uma referência de paginação de memória
[00:07:28] e ficava aquela tela azul infinita.
[00:07:30] E aí, muitas empresas tiveram que entender como elas poderiam resolver esse tipo de problema,
[00:07:36] que basicamente seria acessar um arquivo de configuração,
[00:07:40] renomear esse arquivo de configuração dentro do Windows
[00:07:43] para que a tela azul parasse de acontecer.
[00:07:46] E aí, devido a essa questão, vários sistemas pelo mundo inteiro, como a gente viu,
[00:07:50] pararam de funcionar porque as máquinas não conseguiam subir o sistema operacional da Microsoft.
[00:07:55] Isso, exatamente, Rafael.
[00:07:57] E eu só queria trazer mais um pouquinho de pimenta nesse impacto,
[00:08:03] porque, na verdade, os primeiros relatos que você vê na mídia
[00:08:09] falam que a respeito de entre três e quatro horas da manhã,
[00:08:13] em horário de Brasília, da sexta-feira, dia 19,
[00:08:17] nós começamos a ter os primeiros impactos no mundo.
[00:08:20] E aí, o que acaba acontecendo?
[00:08:22] O CodeStrike atende tanto os servidores,
[00:08:26] que são os que suportam, no final do dia, os grandes sistemas,
[00:08:30] quanto o usuário final.
[00:08:32] E aí, o que acabou acontecendo?
[00:08:34] O usuário final, em três, quatro horas da manhã, está dormindo.
[00:08:36] Então, não está com o notebook ligado, a menos que tenha deixado ligado.
[00:08:40] Só que o servidor é 24 por 7.
[00:08:42] Então, na hora que você soltou essa vacina,
[00:08:45] hoje, essas atualizações estão…
[00:08:48] Daqui a pouco nós vamos falar se isso é uma melhor prática,
[00:08:50] ou não.
[00:08:51] Mas, normalmente, essas empresas estavam com esses servidores
[00:08:54] sendo atualizados em tempo real.
[00:08:56] Então, na hora que isso foi disponibilizado,
[00:08:58] você tinha uma grande leva de servidores que foi afetado.
[00:09:02] Rapidamente, eles identificaram,
[00:09:04] o pessoal da CodeStrike identificou e parou a distribuição da vacina,
[00:09:08] mas o grande estrago já estava sendo feito.
[00:09:10] Então, nós temos muitas empresas aqui no Brasil, principalmente,
[00:09:14] relatos de usuários que estavam com seu notebook funcionando,
[00:09:17] seu desktop funcionando normalmente,
[00:09:19] porque eles ligaram às sete, por volta de sete, oito da manhã.
[00:09:22] Essa distribuição já tinha sido paralisada pela CodeStrike,
[00:09:26] e aí o processo de resposta de incidente deles acabou funcionando legalzinho, super bom.
[00:09:31] Eles vieram para a mídia, assumiram o incidente,
[00:09:35] mobilizou um time muito grande,
[00:09:37] mas o fato é que acabou gerando muito impacto em sistema,
[00:09:41] ao invés de gerar impacto…
[00:09:43] E os usuários estavam trabalhando.
[00:09:45] Então, foi por isso que nós vimos aeroportos,
[00:09:47] nós vimos sistemas fora, empresas com grandes impactos.
[00:09:51] Acho que isso é bem importante deixar claro em alguns momentos.
[00:10:04] E Larissa, acho que talvez os nossos ouvintes e as nossas ouvintes se perguntem,
[00:10:08] falam, meu computador em casa estava ótimo, estava funcionando,
[00:10:11] estava jogando, acessando a internet, fazendo as minhas atividades,
[00:10:14] nem percebi esse caos todo.
[00:10:16] Então, só para a gente explicitar bem,
[00:10:18] essa atualização afetou aquelas empresas que eram clientes da CodeStrike,
[00:10:23] porque tinha um software adicional ao Windows
[00:10:26] instalado nessas máquinas finais que o Rafa falou.
[00:10:29] Então, é por isso que talvez o civil, vou usar esse termo,
[00:10:33] por isso que nós, usuários comuns, talvez não tenhamos sido impactados.
[00:10:37] É isso mesmo?
[00:10:38] Isso. Então, vamos lá.
[00:10:40] A solução CodeStrike é normalmente voltada para empresas,
[00:10:44] uma solução corporativa.
[00:10:45] E ela é uma resposta à sofisticação das ameaças cibernéticas.
[00:10:50] Nós vemos cada vez mais empresas sendo impactadas em decorrência de incidentes,
[00:10:56] e os incidentes estão ali no dia a dia.
[00:10:59] Então, o que acontece?
[00:11:00] Essas empresas mantêm essa solução, que é a CodeStrike,
[00:11:04] que tem grande parte do mercado, vocês devem ter visto pelo impacto que aconteceu.
[00:11:08] E uma das práticas que foi usada por essas empresas impactadas
[00:11:13] é disponibilizar…
[00:11:14] Disponibilizou uma assinatura, atualiza para o parque.
[00:11:17] Então, por isso que, rapidamente, na hora que a CodeStrike soltou essa vacina,
[00:11:22] ela acabou impactando todo mundo.
[00:11:24] Agora, eu, dentro da… em casa, de fato, nós não tivemos impacto.
[00:11:29] Mas, certamente, nós tentamos acessar o Internet Banking, estava fora.
[00:11:33] Por quê?
[00:11:34] Porque esse servidor estava ligado naquele período que teve aquela vacina sendo distribuída.
[00:11:39] A vacina não, mas é uma assinatura.
[00:11:41] Eu fui tentar…
[00:11:42] Vamos tentar acessar o Internet Banking, sistemas,
[00:11:45] algumas companhias aéreas foram impactadas, outras não.
[00:11:49] Então, acaba sendo muito delicado que, apesar dessa percepção do usuário estar ligando, jogando,
[00:11:55] os serviços, de uma maneira geral, estavam indisponíveis.
[00:11:58] Sobre o aspecto das empresas, o que vale a pena de lição aprendida nesse incidente
[00:12:05] é até que ponto nós estamos seguindo os processos de teste,
[00:12:11] homologação certinho.
[00:12:12] Acho que, daqui a pouquinho, nós vamos entrar nesse tema.
[00:12:14] Mas, de verdade, a questão toda é que o usuário final não foi impactado,
[00:12:20] mas as empresas sim.
[00:12:22] No começo, o Paulo falou que não consegue rir.
[00:12:24] Eu consigo rir de nervoso, de tensão.
[00:12:26] Isso mesmo.
[00:12:27] De pensar nessa esteira DevOps toda aí.
[00:12:30] Mas, antes até da gente entrar nesse mérito,
[00:12:32] o Rafa tinha comentado na fala dele sobre a galera do Mac,
[00:12:35] a galera do Windows tirando uma onda… do Linux, né?
[00:12:38] Tirando uma onda.
[00:12:39] Falou, não, aqui não rolou nada.
[00:12:40] Por que a Microsoft, por que o Windows,
[00:12:44] por que a gente está olhando especificamente para uma empresa
[00:12:47] e para um sistema operacional,
[00:12:49] quando a gente percebe todos esses desdobramentos,
[00:12:51] tudo isso que rolou na semana passada?
[00:12:53] Tem uma razão pela qual o Windows foi o sistema atingido?
[00:12:57] Eu acho que não é só uma razão.
[00:13:00] É uma questão do que o mundo utiliza.
[00:13:03] E o Windows é o sistema operacional mais utilizado no mundo.
[00:13:06] Para desktop, para laptops, para servidores também.
[00:13:09] Assim como o Android é um dos sistemas mais utilizados para a parte de mobile.
[00:13:12] Então, por que muita gente foi impactada?
[00:13:15] Porque a maioria dos sistemas que o usuário numa empresa utiliza é o Windows.
[00:13:19] E é um dos sistemas que as empresas também querem proteger.
[00:13:22] Porque é onde tem mais crime, tem mais fraude,
[00:13:24] é onde os atacantes estão olhando para esse tipo de sistema.
[00:13:27] E aí você imagina, deu tela azul, o serviço está fora do ar, né?
[00:13:30] Como bem a Larissa comentou.
[00:13:31] E para resolver esse problema, você tem que ir até o computador,
[00:13:34] dar boot nesse computador com algum tipo de sistema operacional,
[00:13:37] Linux ou alguma outra coisa,
[00:13:38] para você conseguir acessar o arquivo, renomear esse arquivo,
[00:13:41] ou você tem que entrar em modo de Safe Mode no Windows
[00:13:44] para conseguir ter acesso a esse arquivo.
[00:13:46] Então assim, o procedimento não é um procedimento que você faz simples,
[00:13:49] de uma maneira fácil.
[00:13:50] Não é só reverter a atualização, se essa atualização já estava em máquina.
[00:13:54] Então isso também causou um tempo para que as pessoas pudessem resolver.
[00:13:57] A própria Microsoft, o Azure da própria Microsoft,
[00:14:00] que é a nuvem da Microsoft, nesse período de madrugada,
[00:14:03] ficou fora do ar.
[00:14:04] E o Brasil deu sorte de a gente começar a trabalhar 8 horas da manhã.
[00:14:07] E aí muita gente lá atrás tinha passado pela dificuldade,
[00:14:10] já tinha o problema resolvido.
[00:14:12] Quando chegou 8 horas da manhã, o pessoal estava no caos.
[00:14:14] Mas já tinha, como bem a Larissa comentou,
[00:14:16] um processo de resposta a esse incidente de tecnologia feito.
[00:14:21] Ou seja, está aqui o manual assim que você resolve.
[00:14:23] E as empresas foram começar a fazer.
[00:14:25] E aí eu queria levantar um ponto aqui sobre a questão técnica,
[00:14:27] que é o seguinte.
[00:14:28] Muitas empresas tinham a implementação de sistemas de criptografia de disco,
[00:14:33] que é o BitLocker.
[00:14:34] Ou seja, você tinha implementado o BitLocker para criptografar o disco,
[00:14:37] que na Microsoft é muito utilizado.
[00:14:39] E se você tivesse feito isso com uma senha,
[00:14:42] como você ia acessar para decriptar ou para mudar o arquivo?
[00:14:44] Você também não conseguiria.
[00:14:45] Então você tinha que fazer uma forma de restaurar.
[00:14:47] Tinha uma série de processos.
[00:14:49] Pegar a senha do BitLocker.
[00:14:51] Então isso tudo fez com que a questão do tempo entrasse em consideração.
[00:14:54] Por isso que a gente viu o incidente se prolongar ao longo do dia.
[00:14:57] Ou seja, é mais ou menos como um tsunami.
[00:14:59] Veio aquela onda grande e depois a gente veio ver várias marolas durante o dia
[00:15:03] e ainda afetaram o serviço dos usuários.
[00:15:05] Rafa, durante o dia?
[00:15:06] Durante o dia, eu diria durante o final de semana.
[00:15:09] E tem empresa que está tentando fazer isso ainda hoje.
[00:15:12] Porque além de tudo isso que você colocou,
[00:15:15] acho que vale a pena colocar que os datacenters hoje,
[00:15:19] as empresas não estão perto dos datacenters.
[00:15:22] Então assim, a empresa está em uma cidade, está em outro estado.
[00:15:25] E por que em outro país?
[00:15:26] Então assim, no mínimo…
[00:15:28] Então você imagina você deslocar um time grande para fazer uma viagem,
[00:15:32] para poder ir para um lugar,
[00:15:34] para poder ir fisicamente nas máquinas,
[00:15:36] para poder fazer um procedimento de restore e para poder fazer isso.
[00:15:39] Então assim, isso demora.
[00:15:40] E quanto tempo as pessoas dormem?
[00:15:42] As pessoas comem?
[00:15:43] As pessoas precisam ter uma rotina.
[00:15:45] E você imagina uma empresa que tem 200, 300 servidores, né?
[00:15:49] Então assim, o desafio é muito grande.
[00:15:52] Por isso que nós vimos por tanto tempo empresas impactadas e com impactos até hoje.
[00:15:57] Se a gente for para a ficção científica e pensar aí no duro de matar 4,
[00:16:02] foi mostrada aquela situação.
[00:16:04] Olha, o mundo está à merced do…
[00:16:05] O mundo está à merced do sistema.
[00:16:07] Se eles caem, o mundo cai.
[00:16:09] Claro que a gente não teve um caos perto disso,
[00:16:11] do mundo efetivamente parar.
[00:16:13] Mas a gente teve um caos grande a ponto de serviços ficarem parados,
[00:16:16] pessoas que precisavam viajar,
[00:16:18] pelas mais diversas razões não conseguirem.
[00:16:20] Eu queria assim, ouvir um pouquinho de vocês dois.
[00:16:22] Estou curioso.
[00:16:23] O quanto que um evento como esse,
[00:16:25] ele fala sobre a fragilidade dessa nossa…
[00:16:28] Não só da infraestrutura,
[00:16:30] mas da forma como a gente pensa essa infraestrutura, né?
[00:16:34] Como a gente pensa os processos dentro dela.
[00:16:36] O que vocês têm a dizer aí sobre?
[00:16:38] Eu penso o seguinte, André.
[00:16:39] Eu penso que a segurança da informação, ela tem um tripé.
[00:16:42] Que se chama SID.
[00:16:43] Confidencialidade, Integridade e Disponibilidade.
[00:16:45] E esses três itens, eles foram afetados, né?
[00:16:48] Em que sentido?
[00:16:49] Primeiro, a disponibilidade.
[00:16:50] Sistema céu do ar.
[00:16:51] Em segundo item, a parte de integridade.
[00:16:53] Ou seja, houve uma quebra de integridade em relação à atualização.
[00:16:57] E o primeiro e maior deles foi o que afetou muito a CrowdStrike.
[00:17:00] Foi a questão de confiabilidade.
[00:17:02] Ou seja,
[00:17:03] como que eu vou confiar na empresa em que eu tenho toda a questão de segurança
[00:17:06] e eu recebo uma atualização e tudo isso acontece?
[00:17:08] Então, a segurança da informação, ela cria essa tripse
[00:17:11] para poder projetar maior segurança, maior confiabilidade,
[00:17:14] maior comodismo, vamos dizer,
[00:17:16] para a empresa sentir e ter essa segurança na questão preventiva.
[00:17:19] E tudo isso foi quebrado.
[00:17:21] Então, faz com que a gente repense o nosso processo.
[00:17:23] Ou seja, será que realmente a atualização em real time é o modelo perfeito?
[00:17:27] Será que eu não preciso homologar essa atualização?
[00:17:29] A Larissa já puxou essa pinça lá quando ela começou a falar agora há pouco.
[00:17:32] Será que eu não preciso homologar realmente essa validação?
[00:17:35] Será que quando eu faço uma atualização, por exemplo, hoje,
[00:17:38] muita gente que faz gerenciamento de patch de Microsoft
[00:17:40] valida essa atualização antes para não acontecer o que aconteceu na CrowdStrike?
[00:17:44] Agora, por que isso não é validado numa ferramenta de segurança?
[00:17:47] Pela agilidade.
[00:17:48] Eu quero realmente resolver o problema logo.
[00:17:50] Eu não quero sofrer esse ataque.
[00:17:52] Então, vamos criar uma assinatura que automaticamente,
[00:17:54] no modo de cloud, seja disparado para todos os computadores.
[00:17:58] E aí, quando um problema acontece, a gente volta um passo atrás e pensa,
[00:18:01] por que a gente não homologou antes?
[00:18:03] Então, aquela velha questão, inclusive, do desenvolvedor.
[00:18:05] Cara, se eu compilar meu código, será que 100% vai dar resultado no deploy?
[00:18:09] Eu vou conseguir botar em produção?
[00:18:10] É aquela questão.
[00:18:11] Então, é aquela velha dúvida.
[00:18:12] Ah, meu código tem 6 mil linhas.
[00:18:14] Eu mandei compilar, não tive nenhum erro.
[00:18:16] Apaga e faz de novo.
[00:18:17] Pode ter alguma coisa errada.
[00:18:18] Basicamente, esse é um dos pontos que eu enxergo claramente
[00:18:21] quando a gente vê a situação que aconteceu na última sexta-feira.
[00:18:24] Acho que aquela questão de teoria, de que tudo está baseado em tecnologia,
[00:18:29] que o mundo, um dia, vai dar um grande blackout por causa disso.
[00:18:34] A minha resposta para você é, muito provavelmente, não.
[00:18:38] Por quê?
[00:18:39] Se você pegar ambientes de missão crítica, o que são ambientes de missão crítica?
[00:18:43] São ambientes que fazem a gestão da nossa energia elétrica,
[00:18:47] da distribuição de energia elétrica.
[00:18:49] Que movem fábricas, que movem hospitais.
[00:18:53] Então, esses ambientes, eles acabam sendo,
[00:18:56] tendo cuidados de segurança,
[00:18:58] de segurança a mais do que um ambiente voltado para o usuário final.
[00:19:02] Então, se tem caso, está bem cuidado,
[00:19:08] mas esses ambientes acabam trabalhando com uma assinatura D-1.
[00:19:13] O que é isso?
[00:19:14] Atualizou automaticamente, você não vai atualizar lá.
[00:19:17] Por quê?
[00:19:18] Porque esses ambientes já sofreram, no passado, com atualizações de segurança.
[00:19:23] Então, essa empresa, de uma maneira geral,
[00:19:26] com certeza já sofreram com atualizações de segurança.
[00:19:28] Atualizações de segurança que acontecem pelos fabricantes.
[00:19:31] Então, é muito comum, por exemplo, com FAT Windows,
[00:19:34] como o Rafa bem colocou, você testa.
[00:19:36] Do mesmo jeito, como atualizações de segurança de ferramentas GDR.
[00:19:40] Para esses ambientes de missão crítica,
[00:19:42] você não trabalha com a assinatura de agora.
[00:19:44] Você vai trabalhar com uma assinatura de D-1, de D-2.
[00:19:47] Tem uma homologação implementada.
[00:19:49] Então, por isso que você, provavelmente,
[00:19:52] teve problemas em esses sistemas mais voltados ao usuário final.
[00:19:58] Mas, a fábrica não parou.
[00:20:00] Esses ambientes de missão crítica, não.
[00:20:02] Então, o que vale a pena refletir,
[00:20:05] é muito a questão da importância de você ter um ambiente super atualizado.
[00:20:10] Acho que isso tem que acontecer.
[00:20:13] Verso a necessidade de homologação.
[00:20:15] E, novamente, eu repito.
[00:20:16] É comum para as pessoas que trabalham com segurança,
[00:20:19] falar, opa, sua aplicação travou.
[00:20:21] Por quê?
[00:20:22] Atualizou a segurança.
[00:20:23] Ah, porque a nova assinatura começou a pegar um comportamento diferente.
[00:20:26] Então, as empresas, de uma maneira geral,
[00:20:28] elas tendem a fazer homologação de segurança.
[00:20:31] Quando não fazem, aconteceu o que aconteceu.
[00:20:33] Pelo que nós vimos,
[00:20:34] as empresas, de uma maneira geral, não estão fazendo.
[00:20:36] Então, acho que esse evento,
[00:20:38] eu gosto sempre de tirar o lado positivo.
[00:20:40] O que eu posso aprender?
[00:20:41] O que o mercado pode aprender, de uma maneira geral,
[00:20:45] com o evento da CloudStrike?
[00:20:46] Ótimo.
[00:20:47] Infelizmente, nós tivemos um incidente.
[00:20:50] Um incidente de que,
[00:20:51] tenha certeza que eles vão ter milhares de lições aprendidas lá.
[00:20:55] Processo de homologação, mais rigor, mais tudo.
[00:20:58] Mas esse é um cenário.
[00:20:59] Agora, enquanto gestor do ambiente de tecnologia,
[00:21:03] e especialista em cyber,
[00:21:04] o que nós temos que refletir é,
[00:21:06] eu vou deixar na mão de um fabricante de EDR,
[00:21:10] um fabricante de sistema operacional,
[00:21:12] um fabricante de seja qual for a camada,
[00:21:14] a disponibilidade do meu ambiente?
[00:21:16] Eu não tenho que homologar?
[00:21:17] Eu não tenho que organizar?
[00:21:18] Dá para fazer sim, né, Rafa?
[00:21:20] E o Rafa pode complementar.
[00:21:21] Dá para se organizar,
[00:21:23] dá para manter o ambiente protegido,
[00:21:25] e dá para fazer essas homologações.
[00:21:27] E eu acho que esse que é o novo normal de segurança,
[00:21:31] a partir de agora, né?
[00:21:32] Ter certeza que você fez as homologações corretas.
[00:21:35] Perfeito, Larissa.
[00:21:36] Concordo plenamente com você.
[00:21:37] Eu acho que é isso mesmo.
[00:21:38] É sempre a questão do backup.
[00:21:40] Ou seja, você sempre tem que pensar que num ambiente
[00:21:43] em que você tem um sistema crítico,
[00:21:44] que você mexe com dados de usuários,
[00:21:46] que você mexe com pessoas do outro lado
[00:21:48] que estão usando o seu serviço,
[00:21:49] você precisa de resiliência.
[00:21:50] E ter a resiliência é poder fazer o rollback
[00:21:53] sem precisar ter um caos inteiro
[00:21:54] para que isso aconteça, né?
[00:21:55] Então tem que ser simples.
[00:21:56] A tecnologia veio para que a gente possa simplificar
[00:21:58] e trazer segurança dentro da simplificação também.
[00:22:01] Então realmente isso tem que acontecer.
[00:22:14] Tem uma outra parte que o Paulo mencionou,
[00:22:16] acho que logo no comecinho,
[00:22:17] que foi sobre a questão da imagem também, né?
[00:22:20] Que ficou muito balançada, diversas imagens.
[00:22:23] Eu não tinha ideia de quem que era…
[00:22:25] Bom, eu não tinha ideia de que existia essa empresa,
[00:22:27] começa por aí.
[00:22:28] Eu não tinha ideia de quem era o CEO dessa empresa.
[00:22:30] Pois é, e é gigante, e o cara é mega expert,
[00:22:33] o cara entrou, fundou, vendeu empresa, super envolvido.
[00:22:37] Você vê que ninguém está isento de ocorrer algo assim, né?
[00:22:43] E ainda mais, né, André?
[00:22:45] Eu estava lendo o patch, né?
[00:22:47] O patch para resolver era tipo,
[00:22:50] entra aí no Windows, no modo restore,
[00:22:52] e apaga o arquivo não sei quanto ponto cis.
[00:22:55] É o modo old school da década de 90,
[00:22:58] de você deletar vírus, né?
[00:23:00] Ah, entra, rebuta pelo disquete e deleta o vírus.
[00:23:04] Então você vê que eu também fui conhecer um pouquinho da história
[00:23:08] e quem é o cara.
[00:23:09] O cara é um gênio da tecnologia,
[00:23:11] um gênio da cibersegurança,
[00:23:12] e caiu nessa…
[00:23:14] Que realmente, como vocês estão falando aqui,
[00:23:16] é governança, é processo,
[00:23:19] é muito mais complicado,
[00:23:21] muito mais complicado.
[00:23:23] É um gênio,
[00:23:25] tem um histórico que tem trabalhado na Macafe,
[00:23:27] que assim, também teve seus altos e baixos muito notórios aí na história.
[00:23:32] Mas desculpa, Larissa, eu te interrompi,
[00:23:34] isso aí é fundamental.
[00:23:35] Eu ia só colocar que sim,
[00:23:37] mas ele também teve uma atitude,
[00:23:39] acho que quando você tem um executivo numa crise,
[00:23:42] porque é uma crise cibernética,
[00:23:44] e aí você, entre aspas,
[00:23:46] você acaba avaliando essa postura, né?
[00:23:49] Mas ele foi a público,
[00:23:50] e ele falou,
[00:23:51] falou, olha,
[00:23:52] eu estou com um time engajado,
[00:23:53] de fato aconteceu,
[00:23:54] foi um erro aqui,
[00:23:55] eu estou com um time de resposta,
[00:23:57] trabalhando o tempo inteiro,
[00:23:59] estou ajudando,
[00:24:00] estou suportando os clientes,
[00:24:01] então assim,
[00:24:02] ele teve uma postura bem engajada em relação a isso, né?
[00:24:05] Óbvio que acaba não tendo como voltar,
[00:24:07] mas o que eu entendo é que um dos valores importantes
[00:24:11] é como uma empresa sai de uma crise, né?
[00:24:14] Então assim, acho que ainda está no meio do processo,
[00:24:17] talvez não no pico,
[00:24:18] mas ainda está no meio do processo,
[00:24:19] mas eles foram bem transparentes,
[00:24:21] eu acho que deve sair um relatório,
[00:24:23] eles acabaram se posicionando e falando,
[00:24:26] olha, tem um time 24 horas aqui trabalhando,
[00:24:29] uma equipe forte trabalhando nisso,
[00:24:31] eu acho que isso é muito importante.
[00:24:33] E não só eles, né Larissa?
[00:24:34] Porque até o Satya Nadella,
[00:24:36] o CEO da Microsoft,
[00:24:38] na própria sexta-feira ele se manifestou ali,
[00:24:41] tweetou, não, estamos trabalhando,
[00:24:43] quer dizer, não é um produto Microsoft,
[00:24:45] mas afetou em maioria produtos Microsoft,
[00:24:48] e o CEO da Microsoft também, por bem ali,
[00:24:51] falou, não, preciso me manifestar,
[00:24:53] porque afinal são muitos clientes,
[00:24:55] muitos clientes grandes,
[00:24:56] e um problema que acabou causando prejuízos enormes, né?
[00:24:59] Eu queria saber, assim,
[00:25:00] se vocês que estão no mercado de cibersegurança,
[00:25:03] vocês que acompanham esses movimentos todos,
[00:25:05] há algum tipo de preocupação com Microsoft barra Windows
[00:25:10] por conta desse caso de semana passada,
[00:25:13] ou não foi o suficiente para gerar esse tipo de abalo,
[00:25:16] esse tipo de desconfiança?
[00:25:17] As ações que eu vejo,
[00:25:19] e eu permito, Rafael, você me complementa,
[00:25:22] mas eu vejo muito as empresas se questionando
[00:25:26] sobre os processos de homologação,
[00:25:28] o que é necessário fazer
[00:25:30] para que você não fique vendido
[00:25:33] mediante uma atualização de uma plataforma,
[00:25:36] que é isso que acaba acontecendo,
[00:25:38] e novamente eu repito,
[00:25:39] dentro das organizações,
[00:25:41] isso não é a primeira vez,
[00:25:43] e eu posso afirmar de olhos fechados que não é,
[00:25:46] porque algumas atualizações de segurança,
[00:25:49] elas acabam impactando e paralisando os sistemas dentro das organizações.
[00:25:52] Aí falam, opa, parou tudo.
[00:25:54] Aí você vai lá, parametriza e customiza a assinatura nova,
[00:25:58] e opa, tudo volta a funcionar.
[00:26:00] O que aconteceu é que agora foi algo de grandes proporções
[00:26:03] e a compatibilidade foi com o Windows.
[00:26:05] Então, assim, é muito sério.
[00:26:07] Então, isso muda muito a proporção, não é?
[00:26:09] É tipo um ir lá e fazer a customização, não é o todo.
[00:26:12] Mas o que eu vejo muito forte no mercado,
[00:26:15] hoje, final de semana e segunda-feira,
[00:26:18] é, primeiro, reestabelecer a totalidade dos processos
[00:26:22] e, segundo, processos de homologação.
[00:26:25] Eu queria comentar aqui que, realmente,
[00:26:27] como a Larissa comentou, vocês vêm comentando,
[00:26:30] a culpa não foi da Microsoft,
[00:26:32] só para deixar claro aqui nesse nosso bate-papo.
[00:26:34] A culpa foi da atualização,
[00:26:36] que de alguma forma manipulou o formato do Windows API,
[00:26:39] que é basicamente a API que a Microsoft disponibiliza
[00:26:42] para fazer controle,
[00:26:43] e essa manipulação,
[00:26:44] de alguma forma mais técnica,
[00:26:46] que a própria CrowdStrike vai disponibilizar depois,
[00:26:48] talvez um relato mais técnico,
[00:26:49] falando de qual foi o erro,
[00:26:51] que gerou todo esse problemão.
[00:26:54] Então, no entanto, eu estava até vendo aqui as ações
[00:26:56] nos últimos cinco dias e caiu 26%.
[00:26:58] Ou seja, as ações caíram menos 26%
[00:27:01] nos últimos cinco dias da CrowdStrike,
[00:27:03] da holding deles.
[00:27:04] Então, com certeza, afetou negativamente
[00:27:06] a imagem da empresa por conta disso.
[00:27:08] Mas é aquilo.
[00:27:09] Eu acho que, como a Larissa comentou,
[00:27:11] de todos os limões, a gente faz uma limonada.
[00:27:12] E o senhor ter vindo a público,
[00:27:13] a Microsoft ter vindo a público,
[00:27:16] eles colocaram uma clara tapa para falar,
[00:27:18] não, a gente está aqui,
[00:27:19] a gente está resolvendo o problema,
[00:27:20] realmente aconteceu.
[00:27:21] E um dos pontos que eu vi nas primeiras notícias
[00:27:23] que a própria CrowdStrike colocou na mídia
[00:27:25] foi que eles não tinham sido invadidos.
[00:27:27] Então, houve uma preocupação muito grande da empresa
[00:27:29] em falar, olha,
[00:27:30] isso não foi um problema de segurança
[00:27:32] que alguém nos invadiu
[00:27:33] e gerou esse transtorno colateral
[00:27:35] para os nossos clientes.
[00:27:36] Não foi isso que aconteceu.
[00:27:37] Então, eles quiseram realmente, de forma clara,
[00:27:39] ao meu ver, colocar os pingos nos riscos,
[00:27:41] mesmo que isso tenha impactado
[00:27:43] negativamente toda essa questão da empresa,
[00:27:46] até por conta dos usuários
[00:27:47] e dessa grande proporção global.
[00:27:49] E aqui eu vou trazer uma pitadinha
[00:27:51] para a nossa conversa,
[00:27:52] porque falando de uma empresa que é americana,
[00:27:55] que tem sede nos Estados Unidos,
[00:27:57] os Estados Unidos agora
[00:27:59] acabou de fazer o bloqueio da Kaspersky,
[00:28:02] por ser uma empresa hoje com sede na Suíça,
[00:28:05] mas com origem russa,
[00:28:07] que não é mais,
[00:28:08] porque a Kaspersky se desvinculou do governo russo
[00:28:10] um pouco antes da guerra da Ucrânia.
[00:28:12] Então,
[00:28:13] ela se desvinculou,
[00:28:14] os Estados Unidos bloqueou a Kaspersky
[00:28:16] de atuar e de vender
[00:28:18] a sua ferramenta de segurança
[00:28:20] nos Estados Unidos.
[00:28:21] E aí, logo mais uma semana depois,
[00:28:23] acontece o problema com a CrowdStrike.
[00:28:25] Então, parece até aqueles memes
[00:28:28] que a gente vê muito na internet
[00:28:29] do pessoal que está usando o ursinho,
[00:28:31] que é o símbolo da Kaspersky,
[00:28:32] dizendo assim,
[00:28:33] se eu estivesse usando a minha ferramenta,
[00:28:35] não teria tido esse problema.
[00:28:36] Então, é meio que até um marketing
[00:28:38] que as empresas concorrentes
[00:28:39] acabam utilizando em fator do problema.
[00:28:41] Mas eu acho que a CrowdStrike
[00:28:42] tem muito o que se recuperar,
[00:28:43] ela é uma grande empresa de mercado
[00:28:45] e eu acho que, como a Larissa comentou,
[00:28:46] tem muita lição aprendida
[00:28:47] e também a lição aprendida
[00:28:49] fica para as empresas que usam
[00:28:50] esse tipo de ferramenta
[00:28:51] para pensar no todo
[00:28:52] e também na resiliência.
[00:28:53] Vocês falaram bastante sobre homologação.
[00:28:55] A Larissa, inclusive,
[00:28:56] falou que é importante essa etapa,
[00:28:58] esse ambiente,
[00:28:59] fazer até esse D-1 aí
[00:29:01] para poder aplicar a atualização
[00:29:02] quando você está seguro dela.
[00:29:04] Para vocês dois,
[00:29:05] é uma solução tecnológica
[00:29:07] para esse problema
[00:29:08] ou é uma solução de processos,
[00:29:10] como, por exemplo,
[00:29:11] implantar aí uma etapa de homologação
[00:29:13] para garantir que essas atualizações
[00:29:15] mais nocivas
[00:29:16] acabem se espalhando pelo sistema todo?
[00:29:19] Hoje, processo.
[00:29:20] É configuração dentro da ferramenta
[00:29:22] que é processo,
[00:29:23] porque a ferramenta, ela permite.
[00:29:25] E você já vê isso aplicado
[00:29:27] em várias outras camadas,
[00:29:29] como o próprio Rafael
[00:29:30] muito bem colocou,
[00:29:31] com uma parte de patches Microsoft,
[00:29:33] por exemplo,
[00:29:34] mas patches,
[00:29:35] a Java também tem a mesma situação,
[00:29:37] patches Oracle
[00:29:38] também tem a mesma situação.
[00:29:40] Então, acho que
[00:29:41] nesse momento é processo,
[00:29:43] até o que nós sabemos
[00:29:44] até o presente momento,
[00:29:46] falando especificamente de processo.
[00:29:48] Concordo plenamente com a Larissa,
[00:29:49] então, André, para mim é processo.
[00:29:51] Se a ferramenta faz,
[00:29:52] não é tecnologia
[00:29:53] e a ferramenta fazia.
[00:29:54] Então, ou seja,
[00:29:55] eu acho que é processo
[00:29:56] para os dois lados,
[00:29:57] para quem usava
[00:29:58] e para quem fornecia.
[00:29:59] Esse é meu ponto de vista,
[00:30:00] ou seja, para a empresa que fornece,
[00:30:01] ela pode,
[00:30:02] ela poderia controlar melhor
[00:30:03] essa questão via processo,
[00:30:05] de checar isso antes de executar
[00:30:07] e deixar essa ferramenta em PRD,
[00:30:09] em produção
[00:30:10] para quem utiliza também,
[00:30:11] de deixar o D-1 aí,
[00:30:12] esperar,
[00:30:13] e aí a pessoa só ia estar vendo
[00:30:14] o horizonte da marolinha
[00:30:15] e nada teria acontecido,
[00:30:16] ou seja,
[00:30:17] a gente também não estaria aqui,
[00:30:18] porque não ia ter acontecido
[00:30:19] o que aconteceu na última sexta-feira
[00:30:20] se isso tivesse acontecido.
[00:30:21] Mas, Rafa,
[00:30:22] você tocou num ponto
[00:30:23] que é bem interessante,
[00:30:25] porque muitos memes
[00:30:27] saíram pela internet,
[00:30:28] falam assim,
[00:30:29] olha o que o dedo
[00:30:30] de um analista fez,
[00:30:32] olha o que o dedo
[00:30:33] de um desenvolvedor fez,
[00:30:34] entendeu?
[00:30:35] Então, assim,
[00:30:36] para que possa refletir todo mundo,
[00:30:38] na verdade,
[00:30:39] uma assinatura
[00:30:41] dentro de uma solução
[00:30:42] de cibersegurança,
[00:30:43] dentro de uma empresa,
[00:30:45] uma esteira de DevOps,
[00:30:46] entre todo o processo,
[00:30:47] não é uma única pessoa que falha,
[00:30:49] é um conjunto de processos, né?
[00:30:51] Então, eu tenho certeza
[00:30:52] que, dado o tamanho
[00:30:53] da Cloud Striking,
[00:30:54] entre no relatório dela,
[00:30:56] ela vai colocar
[00:30:57] nas suas lições aprendidas,
[00:30:59] vai ser assim,
[00:31:00] robustecer o processo de homologação
[00:31:02] antes de colocar no mercado,
[00:31:03] entendeu?
[00:31:04] Isso faz parte
[00:31:05] depois de uma resposta incidente,
[00:31:07] principalmente
[00:31:08] se você tiver
[00:31:09] no nível do âmbito
[00:31:10] que foi feito, né?
[00:31:11] Então, acho que esse
[00:31:12] que é o grande ponto.
[00:31:13] Do mesmo jeito
[00:31:14] que as empresas,
[00:31:15] elas precisam criar
[00:31:16] essa política
[00:31:17] de homologação
[00:31:18] antes de colocar
[00:31:19] na produção,
[00:31:20] também isso.
[00:31:21] E aí, assim,
[00:31:22] isso é bem simples,
[00:31:23] André e Rafa,
[00:31:24] vocês já estão acostumados,
[00:31:25] sei lá,
[00:31:26] seleciona um grupo
[00:31:27] de desktop,
[00:31:28] por exemplo,
[00:31:29] pegou,
[00:31:30] pega o X dias
[00:31:31] ou X horas
[00:31:32] decorrente da sofisticação
[00:31:33] das ameaças cibernéticas,
[00:31:34] você talvez
[00:31:35] não possa esperar dias.
[00:31:36] Você coloca, olha,
[00:31:37] homologo durante 4 horas,
[00:31:38] pega um tempo,
[00:31:39] pega um conjunto
[00:31:40] de servidores,
[00:31:41] fala, olha,
[00:31:42] homologo durante 6 horas
[00:31:43] e depois disso
[00:31:44] distribui para o parque,
[00:31:45] não sei.
[00:31:46] Acho que uma estratégia
[00:31:47] dessa,
[00:31:48] na hora de você
[00:31:49] fasear a homologação,
[00:31:50] ela é importante.
[00:31:51] Acho que esse é o momento
[00:31:52] de você voltar
[00:31:53] para a origem.
[00:31:54] Ai, tio, sabe
[00:31:55] aquela questão de
[00:31:56] homologou,
[00:31:57] atendeve,
[00:31:58] que há produção.
[00:31:59] Acho que é
[00:32:00] uma sofisticação
[00:32:01] das ameaças.
[00:32:02] Agora é importante
[00:32:03] voltar para a base
[00:32:04] e fazer isso
[00:32:05] de forma ágil.
[00:32:09] O Paulo chamou a gente
[00:32:15] para essa gravação agora,
[00:32:16] enquanto o assunto
[00:32:17] ainda está se desenvolvendo,
[00:32:18] que era muito importante
[00:32:19] a gente bater esse papo
[00:32:20] para os nossos ouvintes
[00:32:21] se interarem.
[00:32:22] E eu fiquei pensando um pouco,
[00:32:23] eu fui ler a respeito
[00:32:24] do processo de recuperação,
[00:32:26] que o Paulo até brincou agora
[00:32:27] do disquete de antigamente,
[00:32:30] de excluir o arquivo manualmente,
[00:32:32] da importância de você ter
[00:32:33] uma equipe de TI,
[00:32:34] não só de cyber,
[00:32:35] de TI bem capacitada
[00:32:37] do lado de dentro
[00:32:38] das empresas,
[00:32:39] porque realmente
[00:32:40] tudo o que eu li a respeito,
[00:32:41] GitHub,
[00:32:42] guia que o pessoal fez
[00:32:43] para tentar ajudar
[00:32:44] os usuários
[00:32:45] com menos habilidades,
[00:32:47] era tudo muito técnico.
[00:32:49] Para a gente pode
[00:32:50] não ser técnico,
[00:32:51] talvez até para os nossos
[00:32:52] ouvintes,
[00:32:53] muitos deles,
[00:32:54] não seja tão técnico
[00:32:55] assim pensar em entrar
[00:32:56] no Windows em Safe Mode
[00:32:57] ou dar um boot
[00:32:58] com o Linux da vida
[00:32:59] usando um pendrive,
[00:33:00] mas é super técnico.
[00:33:01] Eu não consigo ligar
[00:33:02] para minha mãe e falar
[00:33:03] mãe, liga apertando
[00:33:04] essa tecla,
[00:33:05] loga com esse usuário,
[00:33:06] usa o Windows,
[00:33:07] usa o terminal,
[00:33:08] enfim,
[00:33:09] para chegar nessa pasta.
[00:33:10] Como que isso casa
[00:33:11] com essa necessidade
[00:33:12] de você ter uma equipe pronta
[00:33:13] para dar essa resposta
[00:33:14] e tecnicamente atuar
[00:33:15] em cima da correção
[00:33:16] desses problemas todos?
[00:33:17] Como vocês enxergam
[00:33:18] esse ponto?
[00:33:19] André,
[00:33:20] eu penso o seguinte,
[00:33:21] a gente está falando
[00:33:22] de um incidente
[00:33:23] que é um incidente
[00:33:24] que teve uma orquestração,
[00:33:25] ou seja,
[00:33:26] a empresa orquestrou
[00:33:27] a resposta desse incidente
[00:33:28] para os seus usuários.
[00:33:29] Agora,
[00:33:30] vamos levantar
[00:33:31] um ponto aqui
[00:33:32] que é o seguinte,
[00:33:33] se fosse um Ransomware
[00:33:34] no nível,
[00:33:35] como o Anarchist
[00:33:36] que impactou várias empresas,
[00:33:37] ou seja,
[00:33:38] você não teria alguém
[00:33:39] do outro lado
[00:33:40] te ajudando,
[00:33:41] estaria cada um
[00:33:42] por si ali.
[00:33:43] Então,
[00:33:44] eu acho que a questão aqui,
[00:33:45] o termo que eu utilizaria
[00:33:46] é profundidade técnica,
[00:33:47] ou seja,
[00:33:48] a empresa,
[00:33:49] independentemente
[00:33:50] de ela ter um fornecedor,
[00:33:51] ela tem que ter alguém
[00:33:52] do outro lado
[00:33:53] que tenha profundidade técnica
[00:33:54] para entender
[00:33:55] o que está acontecendo,
[00:33:56] que tenha habilidade
[00:33:57] de diagnosticar
[00:33:58] o que está acontecendo,
[00:33:59] que tenha habilidade
[00:34:00] de poder entrar,
[00:34:01] como você me colocou,
[00:34:02] você imagina
[00:34:03] se fosse alguém da minha família,
[00:34:04] alguém mais velho
[00:34:05] que não tem tanta habilidade
[00:34:06] e tal,
[00:34:07] para ela chegar lá
[00:34:08] e mexer
[00:34:09] e fazer um reboot.
[00:34:10] É o ponto que eu coloquei,
[00:34:11] imagina uma empresa
[00:34:12] que implementou BitLocker
[00:34:13] usando o sistema da Falcon,
[00:34:14] da CrowdStrike,
[00:34:15] e ele,
[00:34:16] como que ele ia decriptar
[00:34:17] esse BitLocker
[00:34:18] para poder acessar,
[00:34:19] imagina as empresas
[00:34:20] que perderam a chave
[00:34:21] desse cara,
[00:34:22] como que elas fariam?
[00:34:23] Está sem usar até agora,
[00:34:24] ou fez algum esquema
[00:34:25] de hardware no chip
[00:34:26] para roubar
[00:34:27] a chave de segurança
[00:34:28] ali via TPM.
[00:34:29] Então,
[00:34:30] o que eu quero dizer com isso?
[00:34:31] A profundidade técnica
[00:34:32] vai te levar
[00:34:33] a te dar mais solidez,
[00:34:34] ou seja,
[00:34:35] você vai ter mais tranquilidade
[00:34:36] no incidente desse acontecer,
[00:34:37] porque vai prejudicar
[00:34:38] o seu negócio,
[00:34:39] sem dúvida,
[00:34:40] mas você vai ter capacidade
[00:34:41] de responder esse incidente,
[00:34:42] ou seja,
[00:34:43] você não vai depender
[00:34:44] só do fornecedor,
[00:34:45] você vai conseguir atuar
[00:34:46] e acelerar esse processo,
[00:34:47] porque aquilo,
[00:34:48] imagina,
[00:34:49] se não tivesse uma equipe interna,
[00:34:50] service desk de TI,
[00:34:51] estivesse prontamente ali
[00:34:52] para poder ajudar,
[00:34:53] para fazer uma força tarefa,
[00:34:54] e é o nosso trabalho,
[00:34:55] quando a gente trabalha
[00:34:56] com tecnologia,
[00:34:57] a gente vira a madrugada,
[00:34:58] a gente trabalha no incidente,
[00:34:59] é o nosso momento
[00:35:00] de se mostrar,
[00:35:01] de atuar,
[00:35:02] e é nesse momento
[00:35:03] que a empresa precisa
[00:35:04] de profissionais
[00:35:05] que realmente tenham
[00:35:06] a capacidade
[00:35:07] para que eles possam
[00:35:08] responder para isso.
[00:35:09] Eu vejo cada vez mais
[00:35:10] empresas preocupadas
[00:35:11] em preparação
[00:35:12] para uma crise cibernética,
[00:35:13] porque aquele negócio assim,
[00:35:14] aconteceu um ransomware,
[00:35:15] qual o primeiro passo?
[00:35:16] A pessoa trava,
[00:35:17] porque a política
[00:35:18] está lá bonitinho,
[00:35:19] ó,
[00:35:20] de acordo,
[00:35:21] passo,
[00:35:22] mas assim,
[00:35:23] o parágrafo está lindo,
[00:35:24] agora,
[00:35:25] e na prática,
[00:35:26] o que você faz?
[00:35:27] Assim,
[00:35:28] senta e chora,
[00:35:29] eu sempre brinco com o pessoal,
[00:35:30] eu falo,
[00:35:31] me liga,
[00:35:32] se te consegue ajudar,
[00:35:33] mas o que eu falo muito
[00:35:34] é o quão preparado
[00:35:35] você,
[00:35:36] quanto empresa está,
[00:35:37] para responder o instante,
[00:35:38] qual que é o primeiro passo?
[00:35:39] Você está com um desktop
[00:35:40] com ransomware,
[00:35:41] qual que é a sua atitude?
[00:35:42] Beleza,
[00:35:43] você está com um servidor
[00:35:44] com ransomware,
[00:35:45] qual que é a sua primeira atitude?
[00:35:46] Isso tem que estar muito claro
[00:35:47] na cabeça do profissional
[00:35:48] que sabe,
[00:35:49] se não está,
[00:35:50] eu acho que pode aproveitar
[00:35:51] essa oportunidade
[00:35:52] que teve com o Alcado Strike,
[00:35:53] não foi um ransomware,
[00:35:55] nós já sabemos,
[00:35:56] mas acho que vale a pena
[00:35:57] revisitar o processo
[00:35:58] de resiliência como um todo,
[00:35:59] tá,
[00:36:00] se acontecer um ransomware agora,
[00:36:01] qual que é o meu primeiro passo?
[00:36:02] E fazer essas reflexões,
[00:36:03] de fato,
[00:36:04] você sabe que hoje
[00:36:05] eu tive uma reunião
[00:36:06] amanhã,
[00:36:07] falando sobre resiliência
[00:36:08] cibernet,
[00:36:09] e a primeira preocupação é,
[00:36:11] como é que nós estamos endereçando
[00:36:12] no nosso programa aqui,
[00:36:14] a questão de homologação
[00:36:16] do antivírus
[00:36:18] ou da solução de ADS,
[00:36:19] então,
[00:36:20] estava nesse aspecto,
[00:36:21] então,
[00:36:22] eu acho que essa que é a questão,
[00:36:23] né,
[00:36:24] de você estar preparado
[00:36:26] para responder.
[00:36:27] É um techa quente,
[00:36:28] Andrezão,
[00:36:29] é um techa quente,
[00:36:30] que essas empresas
[00:36:31] não poderão,
[00:36:32] é isso.
[00:36:33] Eu vi,
[00:36:34] eu estava até conversando
[00:36:35] com a Roberta,
[00:36:36] e falou,
[00:36:37] né,
[00:36:38] que é curioso
[00:36:39] não ter aquele mecanismo
[00:36:40] de canary deployment,
[00:36:41] ou anéis de,
[00:36:42] né,
[00:36:43] anéis de deploy,
[00:36:44] para você,
[00:36:45] ó,
[00:36:46] deploy aqui,
[00:36:47] põe esse negócio
[00:36:48] da cloud strike aqui,
[00:36:49] depois nos outros computadores,
[00:36:50] depois nos outros.
[00:36:51] Mesmo o WhatsApp,
[00:36:52] a gente sabe que Facebook,
[00:36:53] o WhatsApp faz isso direto
[00:36:54] com a gente no Android,
[00:36:55] né,
[00:36:56] ou no iPhone,
[00:36:57] eles fazem deploy
[00:36:58] só para 1% da base,
[00:36:59] ver o que acontece,
[00:37:00] para 5%,
[00:37:01] ver o que acontece.
[00:37:02] É curioso
[00:37:03] um bug grande desse,
[00:37:04] né,
[00:37:05] page flow,
[00:37:06] acessando memória
[00:37:07] onde não deveria,
[00:37:08] né,
[00:37:09] teve gente também
[00:37:10] falando disso,
[00:37:11] que,
[00:37:12] pô,
[00:37:13] esse software,
[00:37:14] tudo em cima de CC++,
[00:37:15] mexendo na memória,
[00:37:16] na unha,
[00:37:17] é uma coisa que você faz
[00:37:18] com,
[00:37:19] você sabe o risco
[00:37:20] que você está tomando,
[00:37:21] né.
[00:37:22] Então,
[00:37:23] teve aparecer
[00:37:24] nessas críticas,
[00:37:25] é óbvio que essas críticas
[00:37:26] são um pouco rasas,
[00:37:27] porque a gente não entende
[00:37:28] exatamente o software lá,
[00:37:29] né,
[00:37:30] ah,
[00:37:31] não,
[00:37:32] deve ser porque
[00:37:33] é deploy contínuo,
[00:37:34] algumas assunções,
[00:37:35] né,
[00:37:36] assumptions aí,
[00:37:37] a gente fica inventando,
[00:37:38] ah,
[00:37:39] é porque eles não fizeram isso,
[00:37:40] aí você falar isso,
[00:37:41] é óbvio que ele fala,
[00:37:42] não,
[00:37:43] a gente não fez isso
[00:37:44] por causa disso,
[00:37:45] disso e disso.
[00:37:46] É difícil a gente falar,
[00:37:47] ah,
[00:37:48] mas vocês não têm isso,
[00:37:49] e ele,
[00:37:50] ah,
[00:37:51] é,
[00:37:52] não temos,
[00:37:53] é meio infantil
[00:37:54] a gente achar que
[00:37:55] eles erraram
[00:37:56] uma vírgula
[00:37:57] tão bem trivial
[00:37:58] de DevOps
[00:37:59] ou de boa prática
[00:38:00] de alguma coisa,
[00:38:01] eu acho,
[00:38:02] tá,
[00:38:03] é tão simples assim,
[00:38:04] né,
[00:38:05] um,
[00:38:06] é raro ser,
[00:38:07] teve aquele muito tempo atrás
[00:38:08] um bug que eu gosto,
[00:38:09] aquele bug que teve
[00:38:10] no Cloudflare
[00:38:11] que foi uma
[00:38:12] regex
[00:38:13] que foi deployada
[00:38:14] que em determinados casos
[00:38:15] ela entrava lá
[00:38:16] e demorava
[00:38:17] um século
[00:38:18] porque
[00:38:19] ela caía lá
[00:38:20] numa situação
[00:38:21] lá do automóvel
[00:38:22] que tentava buscar
[00:38:23] regex de tal jeito
[00:38:24] e
[00:38:25] demorava anos
[00:38:26] para fazer o match
[00:38:27] para saber
[00:38:28] se aquela URL
[00:38:29] podia dar forwards
[00:38:30] ou não,
[00:38:31] e aí
[00:38:32] essa era um pouco
[00:38:33] simples mesmo,
[00:38:34] foi um commit
[00:38:35] em uma linha
[00:38:36] que estragou tudo
[00:38:37] que ninguém
[00:38:38] nunca nem imaginava.
[00:38:39] Essa aí
[00:38:40] um git blame
[00:38:41] resolve,
[00:38:42] né,
[00:38:43] Paulo?
[00:38:44] É,
[00:38:45] essa aí alguém
[00:38:46] ficou marcado aí,
[00:38:47] mas é algo
[00:38:48] inimaginável
[00:38:49] porque também
[00:38:50] passou ali,
[00:38:51] com certeza
[00:38:52] passou por
[00:38:53] pull request
[00:38:54] e aí teve o review
[00:38:55] do pull request
[00:38:56] e o do PR
[00:38:57] e passou também
[00:38:58] duas pessoas
[00:38:59] não viram
[00:39:00] absolutamente nada
[00:39:01] numa linha,
[00:39:02] numa regex lá,
[00:39:03] o sistema todo
[00:39:04] e parar a internet,
[00:39:05] mas enfim
[00:39:06] é bem interessante
[00:39:07] ver essas coisas.
[00:39:08] Quando se fala
[00:39:09] de ferramentas
[00:39:10] de proteção
[00:39:11] de fato
[00:39:12] hoje em dia
[00:39:13] a sofisticação
[00:39:14] das ameaças
[00:39:15] cibernéticas
[00:39:16] eles demandam
[00:39:17] uma
[00:39:18] um monitoramento
[00:39:19] desde muito
[00:39:20] no momento
[00:39:21] da inicialização
[00:39:22] do sistema operacional
[00:39:23] porque senão
[00:39:24] qualquer tipo
[00:39:25] de brecha
[00:39:26] que você tem
[00:39:27] isso pode ser
[00:39:28] a porta de entrada
[00:39:29] para uma ameaça
[00:39:30] então é aquele
[00:39:31] aquela balança,
[00:39:32] né,
[00:39:33] o quanto eu quero
[00:39:34] proteger
[00:39:35] versus
[00:39:36] o quanto eu quero
[00:39:37] deixar disponível
[00:39:38] mas eu concordo
[00:39:39] acho que vale
[00:39:40] com certeza
[00:39:41] a CloudStrike
[00:39:42] vai fazer essa reflexão
[00:39:43] como um todo
[00:39:44] mas acho que
[00:39:45] tem que
[00:39:46] a questão é
[00:39:47] mais bem
[00:39:48] homologar
[00:39:49] o que vai ser feito
[00:39:50] porque no final do dia
[00:39:51] toda e qualquer empresa
[00:39:52] de antivírus
[00:39:53] ela vai estar
[00:39:54] principalmente
[00:39:55] com EDR
[00:39:56] com XDR
[00:39:57] que existem
[00:39:58] algumas tecnologias
[00:39:59] disso
[00:40:00] você vai ter
[00:40:01] alguns monitoramentos
[00:40:02] baixos níveis
[00:40:03] então tem que ter
[00:40:04] muito homologado
[00:40:05] esse é o ponto
[00:40:06] eu queria abusar muito
[00:40:07] da boa vontade
[00:40:08] de vocês dois
[00:40:09] porque eu estou pensando
[00:40:10] em dois lados da moeda
[00:40:11] profissionais de cyber
[00:40:12] profissionais de infra
[00:40:13] que foram impactados
[00:40:14] aí por esse
[00:40:15] por essa ocorrência
[00:40:16] da semana passada
[00:40:17] então eu vou colocar
[00:40:18] de um lado
[00:40:19] profissionais
[00:40:20] que estão ali
[00:40:21] cuidando
[00:40:22] para que o serviço
[00:40:23] funcione
[00:40:24] e do outro lado
[00:40:25] quem só precisa
[00:40:26] que aquele serviço
[00:40:27] funcione
[00:40:28] os clientes
[00:40:29] da CloudStrike
[00:40:30] por exemplo
[00:40:31] vocês falaram muito
[00:40:32] de lições
[00:40:33] no nosso papo todo
[00:40:34] aqui
[00:40:35] a gente tem que tirar
[00:40:36] lições
[00:40:37] a gente tem que aprender
[00:40:38] com esse caso
[00:40:39] esse caso ensina coisas
[00:40:40] traz reflexões
[00:40:41] que reflexões
[00:40:42] mais importantes
[00:40:43] vocês acham
[00:40:44] que saíram daí
[00:40:45] para quem está
[00:40:46] do lado de lá
[00:40:47] do balcão
[00:40:48] para quem está
[00:40:49] cuidando dessa infra
[00:40:50] cuidando da segurança
[00:40:51] e para quem está
[00:40:52] do lado de cá
[00:40:53] para quem é
[00:40:54] o cliente da CloudStrike
[00:40:55] e tem ali
[00:40:56] a sua equipe interna
[00:40:57] cuidando de tudo
[00:40:58] o que vocês podem tirar
[00:40:59] e contar para a gente
[00:41:00] a questão
[00:41:01] de você criar
[00:41:02] uma estratégia
[00:41:03] robusta
[00:41:04] de homologação
[00:41:05] das atualizações
[00:41:06] aí vai
[00:41:07] cada empresa
[00:41:08] tem o seu apetite
[00:41:09] e cada empresa
[00:41:10] tem o seu processo
[00:41:11] será que trabalhar
[00:41:12] com uma versão
[00:41:13] de menos um
[00:41:14] será que trabalhar
[00:41:15] com uma assinatura
[00:41:16] de menos um
[00:41:17] versão anterior
[00:41:18] não está com a última
[00:41:19] versão do fabricante
[00:41:20] está com a anterior
[00:41:21] não sei
[00:41:22] aí acho que cada empresa
[00:41:23] tem que avaliar
[00:41:24] a sua política
[00:41:25] e ver o que define
[00:41:26] acho que essa
[00:41:27] grande lição
[00:41:28] importante
[00:41:29] lição importantíssima. E segundo,
[00:41:31] homologar muito
[00:41:33] fortemente, criar aquela questão
[00:41:34] de grupos de homologação e distribuir
[00:41:37] pra tudo. Então, acho que essa é a primeira lição
[00:41:38] aprendida pra empresa. Agora,
[00:41:40] pra CloudStrike, eu não tenho dúvidas
[00:41:43] que ela vai trazer
[00:41:44] muita robustez pro
[00:41:46] processo de homologação dela, pra ela não
[00:41:48] soltar uma release antes,
[00:41:50] de qualquer ponto.
[00:41:53] Mas, eu acho que
[00:41:54] lição aprendida pras dois lados,
[00:41:57] homologação. Bom, a lição
[00:41:58] grande, hein? Lição pra sentar
[00:42:00] e debruçar muito tempo. E pra você,
[00:42:02] Rafa, quais foram as lições?
[00:42:04] Olha, eu acho que eu concordo com a Larissa também, nesse ponto de vista.
[00:42:07] Acho que pros usuários e pras
[00:42:08] empresas, é sempre pensar naquela questão.
[00:42:11] A gente tá falando muito de processo
[00:42:12] aqui, né? Que é basicamente o que aconteceu.
[00:42:15] E, assim, eu traria um pouquinho
[00:42:17] na questão de entendimento
[00:42:18] da implementação da ferramenta.
[00:42:20] Porque, normalmente, a gente vai implementar e a gente
[00:42:22] não toma conhecimento dos detalhes.
[00:42:24] Aí a gente vai no NNF, no Next Next Finish.
[00:42:27] E, talvez, o NNF
[00:42:28] traga a atualização de maneira automática.
[00:42:30] E aí, nunca parou? Então, você nunca olhou.
[00:42:33] Não é isso? Ah, nunca fui invadido, pra que
[00:42:34] eu vou me prestar atenção com segurança? Então,
[00:42:36] o nunca, em TI, não existe.
[00:42:38] Vai acontecer. A gente só não sabe o dia e a hora.
[00:42:41] Ainda mais quando a gente fala de cibersegurança.
[00:42:43] Então, se preocupar com os detalhes
[00:42:44] e se ter essa curiosidade,
[00:42:46] eu acho que é um primeiro ponto.
[00:42:48] Hoje, um gestor, um CIS, um profissional
[00:42:50] num time que mexe com cibersegurança,
[00:42:52] ele tem que ter essa curiosidade de se preocupar com
[00:42:54] os detalhes. De como que funciona o ambiente,
[00:42:56] o parque, ele ter profundidade sobre
[00:42:58] esse ponto. Então, acho que a principal lição
[00:43:00] aprendida é ter essa curiosidade, é entender
[00:43:02] a fundo de como funciona o processo
[00:43:04] e entender se aquele processo faz sentido pra tua
[00:43:06] empresa. Ou não. Ou tem que ser o D-1,
[00:43:09] ou tem que ser o
[00:43:10] 12 horas antes, ou não tem que ser o D-1,
[00:43:12] tem que ser o D-2, D-3, D-4, enfim.
[00:43:14] Aí, ele tem que entender nesse processo. Ou seja,
[00:43:16] não é porque é só uma assinatura que eu vou precisar,
[00:43:18] que eu posso ser atacado a qualquer momento,
[00:43:20] mas eu tenho que entender que, realmente, isso faz sentido.
[00:43:22] Acho que isso pras empresas. E pra CrowdStrike,
[00:43:25] sem sombra de dúvida, assim,
[00:43:26] até teve várias memes aí, né,
[00:43:28] o pessoal, inclusive, teve um cara do Twitter
[00:43:30] que bateu uma foto, né, tinha uma foto dele
[00:43:32] perto do escritório da CrowdStrike,
[00:43:34] ele falou assim, ah, gente, meu primeiro dia, lancei
[00:43:36] a atualização, a gente teve folga à tarde, aí aconteceu
[00:43:38] tudo isso. E aí tem gente que
[00:43:40] chama a atenção da forma que
[00:43:42] é, né, pra internet e pro marketing.
[00:43:44] O que eu penso que a CrowdStrike vai fazer? É óbvio que,
[00:43:46] assim, isso teve um impacto global,
[00:43:48] isso teve um impacto monetário
[00:43:50] na CrowdStrike, ou seja, eles foram afetados
[00:43:52] pelas ações, né, no dia a dia
[00:43:54] dessa empresa. E, com certeza,
[00:43:56] assim, as pessoas lá
[00:43:58] dentro que estão, e como o Paulo bem comentou,
[00:44:00] não é uma pessoa, é um time,
[00:44:02] é um grupo, é gigante.
[00:44:04] A gente tá falando de empresa global, empresa que, assim,
[00:44:06] aeroporto, hospital, parou por conta
[00:44:08] de tudo isso. Imagina quantos clientes esses
[00:44:10] caras têm. Então imagina, assim, qual que é
[00:44:12] a severidade que eles estão
[00:44:14] tratando esse tipo de questão. Eu acho
[00:44:16] o seguinte, não vai ser uma, duas, três, mas
[00:44:18] vai ser mil vezes agora que eles vão
[00:44:20] ver, que eles vão testar, que eles vão homologar,
[00:44:22] que eles vão checar. Não vai ser um
[00:44:24] pré-prod, vai ser homologação, desenvolvimento,
[00:44:26] pré-prod, um, dois, três, quatro, dez,
[00:44:28] pra eles lançarem uma atualização
[00:44:30] nisso e ter certeza que nenhum problema vai
[00:44:32] acontecer. Vão tatuar na galera
[00:44:34] essa lição. Paulo, eu preciso te perguntar,
[00:44:36] e pra gente, pra nós, hipsters,
[00:44:38] pra gente que vive de tecnologia, respira
[00:44:40] tecnologia, gosta de tecnologia,
[00:44:42] mas não necessariamente tava nessas
[00:44:44] duas pontas imediatamente impactada.
[00:44:46] Você começou, puxou aqui o
[00:44:48] hipsters, falando que isso te fez
[00:44:50] pensar, que você não conseguiu nem achar graça e foi
[00:44:52] pensando sobre como era sério.
[00:44:54] Que lição dá pra gente tirar
[00:44:55] de todo esse acontecimento de semana
[00:44:57] passada?
[00:44:58] O que a gente pode aprender um pouco com essa história?
[00:45:00] É, eu acho que o primeiro
[00:45:02] é quem trabalha com sistemas de missão
[00:45:04] crítica, especialmente
[00:45:06] que tem envolvido com fintech,
[00:45:08] que tá envolvido com
[00:45:09] saúde, coisas que não podem
[00:45:12] parar, se parar um minuto, é trabalhoso.
[00:45:14] Só que aí, esse é o caso mais específico,
[00:45:16] porque eles não estão envolvidos diretamente
[00:45:18] com fintech nem com saúde, mas
[00:45:19] todos os clientes deles envolvem
[00:45:21] de ponta a ponta.
[00:45:24] Então quando a gente tem esse, a gente
[00:45:25] tá no meio, e a gente pode ser, né, o que a gente
[00:45:28] chama de single point of
[00:45:30] failure, a gente pode ser num ponto de falha
[00:45:32] que para tudo, a gente
[00:45:34] tem que entrar com os mecanismos
[00:45:36] de governança, que vão
[00:45:38] da segurança ao deploy,
[00:45:40] ao teste, numa maneira
[00:45:42] mais rígida, que muito
[00:45:44] deve, muita gente deve,
[00:45:46] vai achar que é burocracia,
[00:45:48] que é exagero, etc. E talvez
[00:45:50] seja, em muitos casos, mas
[00:45:52] começa a ser difícil
[00:45:54] não pecar pelo excesso.
[00:45:56] E também entra que algumas das
[00:45:58] práticas de DevOps,
[00:46:00] dessa cultura,
[00:46:02] precisa, mesmo
[00:46:04] se a sua empresa não nasceu nessa cultura,
[00:46:06] algumas delas você precisa abraçar, ou
[00:46:08] pode ainda acontecer
[00:46:09] esse tipo de coisa. Ainda mais no mundo
[00:46:12] mais hiperconectado, mais dependente
[00:46:14] de poucos clouds, poucos
[00:46:16] fornecedores SaaS de coisas complicadas,
[00:46:18] poucos fornecedores SaaS
[00:46:20] de mecanismos de identidade,
[00:46:22] de segurança, é tão interconectado
[00:46:24] que tá todo
[00:46:26] o mundo muito
[00:46:28] no risco, junto com
[00:46:29] coisas que você nem imagina que
[00:46:31] está no risco. Como eu falei, eu acho que algumas dessas
[00:46:33] empresas grandes sabiam desse risco.
[00:46:35] Se esse fornecedor parar, ou fizer um update
[00:46:37] errado, a gente para.
[00:46:39] Mas tá tudo bem, a gente confia e
[00:46:41] se isso acontecer, a gente mitiga assim
[00:46:43] assado os planos de contenção.
[00:46:45] Mas com certeza, empresas
[00:46:46] grandes, mas não gigantescas,
[00:46:49] já não sabiam disso.
[00:46:51] Então, fica isso.
[00:46:53] É o que eu falo bastante.
[00:46:54] Acho que a gente também, na
[00:46:56] Lura, na FIAP, a gente vê bastante,
[00:46:58] que é a palavra engenharia.
[00:47:00] A gente, especialmente depois de ser Júnior,
[00:47:02] a gente passa com esse papel de engenheiro
[00:47:04] e engenheira, que é você entender
[00:47:06] o problema e o contexto de
[00:47:08] ponta a ponta. Não só
[00:47:10] apenas, entre aspas,
[00:47:12] apenas, porque já é muito, ser especialista,
[00:47:14] mas você precisa ter uma
[00:47:15] abrangência, que a gente fala do profissional em T,
[00:47:18] de você conhecer e falar,
[00:47:19] peraí, mas isso aqui é o meu trabalho que eu tô fazendo,
[00:47:22] que impacto pode ter, tanto pro bom,
[00:47:24] quanto pro ruim, se eu não tiver um
[00:47:26] olhar sistêmico, se eu
[00:47:28] não tiver um olhar de empresa
[00:47:29] inteira, do meu cliente, se eu não entender
[00:47:31] a dor do cliente, eu posso cair.
[00:47:34] É óbvio, tá? Tudo que eu tô falando aqui até parece
[00:47:36] quem sou eu
[00:47:37] pra falar que se eu estivesse trabalhando, se eu fosse
[00:47:39] um gestor na CloudStrike, eu teria pego.
[00:47:42] E é óbvio que não, tá?
[00:47:44] Ridículo pensar que eu poderia dar qualquer dica
[00:47:46] pra um time de lá, né?
[00:47:48] Ridículo seria.
[00:47:49] Mas, pelo contrário,
[00:47:51] eu falo, caramba, eu preciso prestar mais atenção ainda,
[00:47:54] pra esse tipo de coisa.
[00:47:55] Ransomware, tem um monte
[00:47:57] desses casos que você precisa pensar. E se você
[00:47:59] ficar trancado pra fora da sua empresa?
[00:48:01] E se alguém for comprometido na sua
[00:48:03] empresa? E se um software
[00:48:05] que você usa na sua empresa for comprometido?
[00:48:07] Seja sem querer, como foi o caso,
[00:48:09] não é? Ou seja, mecanismos de
[00:48:11] ataque hacker. Então essas são possibilidades
[00:48:13] que você precisa levantar e pensar
[00:48:15] num pior cenário. Qual que é o pior
[00:48:17] cenário que pode acontecer aqui dentro
[00:48:19] se esse tipo de coisa acontecer
[00:48:21] lá fora? Acontecer com
[00:48:23] um dev? Acontecer em infraestrutura?
[00:48:25] Que meio que foi infraestrutura
[00:48:27] nesse caso, não é? Se você for
[00:48:29] pensar bem, como um amigo meu
[00:48:31] disse, ou o Linhares disse mesmo, né?
[00:48:33] Que costuma fazer bastante episódio
[00:48:35] aqui. Ele falou, olha, pra dar um problema
[00:48:37] desse jeito, não costuma ser em app,
[00:48:39] costuma ser em infraestrutura.
[00:48:41] Quando gargala sim,
[00:48:43] é algo mais core, mais embaixo
[00:48:45] mesmo, que para, não é? Tanto que
[00:48:47] foi que os Windows não botavam,
[00:48:50] certo? Não era que uma
[00:48:51] app não deu nem pra ligar
[00:48:53] as apps, né?
[00:48:55] Algo lá embaixo na infraestrutura
[00:48:57] que a gente consideraria como
[00:48:59] infraestrutura de alguma maneira.
[00:49:01] Então é difícil, é um
[00:49:03] ponto muito interessante pra gente parar
[00:49:05] e pensar e
[00:49:07] refletir no tamanho,
[00:49:10] na magnitude que tecnologia
[00:49:11] tem ganho, né? Acho que isso
[00:49:13] começa lá atrás, aquela primeira vez
[00:49:15] que a AWS, quase 10 anos atrás,
[00:49:18] caiu e que Netflix foi
[00:49:19] o único que não caiu porque ele tinha redundância
[00:49:22] na costa oeste, costa leste,
[00:49:24] já não lembro mais o caso direito,
[00:49:25] foi um dos primeiros que já estavam pensando,
[00:49:27] olha, pode ser que falhe ali um parceiro
[00:49:29] estratégico meu, que eu confio
[00:49:31] nele mais do que em mim mesmo, mas pode
[00:49:33] ser que ele falhe. Então a gente começa
[00:49:35] a ter coisas assim, o mundo é
[00:49:37] tão interconectado, tão
[00:49:39] globalizado que o supply chain,
[00:49:41] a pandemia mostrou isso de outro sentido
[00:49:43] na logística, é complexo
[00:49:45] isso, porque a gente ganha escala,
[00:49:47] ganha facilidade, ganha infraestrutura,
[00:49:49] mas se um falha, você nem sabe,
[00:49:51] você não tem nem o que fazer, você tá
[00:49:53] completamente refém.
[00:49:55] E aí, você quer ficar? Pode ficar? Não pode
[00:49:57] ficar? É aquele cenário, né? Se tiver um
[00:49:59] terremoto no seu data center, em
[00:50:01] todos, você faz o que? Você instala
[00:50:03] na sua casa um servidor debaixo
[00:50:05] da mesa, como era antigamente?
[00:50:07] Então são questionamentos difíceis,
[00:50:09] eu tô exagerando, é óbvio que aqui
[00:50:11] quem manja mais, quem entende, sabe que
[00:50:13] eu tô, vai dar risada, mas
[00:50:15] é só pra tentar
[00:50:16] mostrar aqui. Muito legal,
[00:50:19] acho que é interessante, é pra gente
[00:50:21] refletir, a gente parar pra pensar,
[00:50:23] mesmo em casos pequenos, todo mundo
[00:50:25] já passou, todo mundo, né, desde
[00:50:27] o delete no banco sem wear,
[00:50:29] até casos assim como esse, que
[00:50:31] são completamente inusitados
[00:50:33] e pegam todo mundo de surpresa,
[00:50:36] tanto que todo mundo achava que era
[00:50:37] cibersegurança, e não era,
[00:50:39] mas era uma empresa de cibersegurança, então
[00:50:41] até os mocinhos podem
[00:50:43] causar, é muito emblemático,
[00:50:45] acho muito interessante esse
[00:50:47] caso aqui. Então eu vou aproveitar pra agradecer
[00:50:49] a Larissa, o Rafael, o André Davi colocou
[00:50:51] muitas boas colocações aqui,
[00:50:53] que tá cada vez mais próximo aqui do
[00:50:55] Hipsters, agradecer vocês,
[00:50:57] agradecer você ouvinte pelo download,
[00:50:59] pelas cinco estrelas, e compartilhar esse que é um
[00:51:01] episódio que vai fazer parte do
[00:51:03] folclore e da cultura
[00:51:05] hacker, da cultura
[00:51:07] hipster, da cultura nerd,
[00:51:09] certamente vai ser lembrado
[00:51:11] por muito tempo, porque teremos mais,
[00:51:13] viu? Esse não é esse caso, acho que
[00:51:15] merece ser estudado, porque haverá
[00:51:17] haverá outros de outras formas
[00:51:19] inusitadas, mas que relembram,
[00:51:21] assim como eu citei aqui do Claude Flair,
[00:51:23] do Netflix, da Amazon,
[00:51:25] outras coisas importantes pararam, e foram
[00:51:27] bugs completamente diferentes.
[00:51:29] E nenhum deles foram ataques, hein?
[00:51:31] Nenhum deles foram ataques, olha que interessante.
[00:51:34] Então é isso,
[00:51:35] espero você, a gente tem um compromisso
[00:51:37] na próxima terça-feira, Hipsters,
[00:51:39] abraços, tchau!
[00:51:43] E o universo de conteúdo da Alura
[00:51:45] tá sempre se expandindo, é o
[00:51:47] Aluraverso, pra você fazer parte,
[00:51:49] não deixe de se inscrever
[00:51:51] lá em alura.com.br
[00:51:53] barra imersão, é uma newsletter,
[00:51:55] que eu pessoalmente escrevo, com
[00:51:57] todo o aprendizado que o time
[00:51:59] tá me trazendo, que vocês estão
[00:52:01] trazendo, e a gente tá enxergando
[00:52:03] no mercado de trabalho, na ciência,
[00:52:05] na tecnologia, como que as coisas
[00:52:07] funcionam, então é muito do que
[00:52:09] nerds, hipsters e devs
[00:52:11] gostam, e tem
[00:52:13] um interesse genuíno pra saber
[00:52:15] como que está funcionando,
[00:52:18] e o código que está por trás
[00:52:19] das máquinas. Vai lá se inscrever,
[00:52:21] e aproveita pra ajudar na
[00:52:23] expansão desse Aluraverso,
[00:52:25] um dica, esse episódio do podcast
[00:52:27] pra um colega, pra uma amiga, que vai
[00:52:29] fazer a diferença pra essa pessoa.
[00:52:34] Este podcast foi produzido pela
[00:52:37] Alura, Mergulhe em
[00:52:39] Tecnologia,
[00:52:41] e Faculdade FIAP.
[00:52:43] Let’s rock the future!
[00:52:45] Edição, Rede Gigahertz
[00:52:48] de Podcasts.
[00:52:55] Aluraverso.com.br