Conversamos com Filipi Pires, head of technical advocacy, e Ana Pires, head of sales, sobre a expansão da Scythe (se pronuncia saite) para o Brasil e América Latina.
O que faz a Scythe?
Filipi – A Scythe está posicionada como uma AEV, Adversary Exposure Validation, que é uma evolução das soluções tradicionais de BAS, Breach and Attack Simulation. Toda ferramenta tradicional de BAS trabalha no pós-exploração, ou seja, ela ajuda a explicar o que aconteceu depois que atores de ameaça invadiram uma empresa para roubar ou esfiltrar seus dados. Entenda-se por esfiltrar a retirada de dados para expô-los de alguma maneira. No caso da Scythe, ela emula todo tipo de ataque, analisando o mapeamento de empresas feito pelos criminosos, o processo de discovery e de busca de outros pontos que podem ser explorados dentro da empresa, a exploração e o pós-exploração.
Como funciona a plataforma?
Filipi – A Scythe tem três pilares: a democratização do acesso de quem faz segurança ofensiva; o assembly treats, ou seja, a montagem de ameaças, e fazer com que essas ameaças sejam as mais realistas possíveis. A Scythe foi construída de uma forma simples para ser uma plataforma de emulação de ataques. Como ela não foi montada de forma modularizada, as empresas podem fazer testes ilimitados e instalar agentes ilimitados.
A Scythe tem um painel chamado MyOps, através do qual as equipes de segurança podem fazer simulações de ataques, como um ataque que utilliza um agente instalado dentro da empresa para fazer testes recorrentes ou um ataque através do conceito agentless, ou seja, sem a necessidade de rodar um agente dentro da empresa, uma máquina vítima, digamos assim. Existe uma terceira opção, que é utilização do agentless para a realização de um teste específico via link, justamente para que se possa simular os famosos ataques de phishing, os e-mails que tentam fazer com que as pessoas cliquem em um link.
Como a Scythe foi desenvolvida?
Filipi – A plataforma da Scythe foi criada há pouco mais de 10 anos depois de um ataque, que ficou muito conhecido no mundo, realizado contra uma grande loja de retail dos Estados Unidos, a Target. Esse ataque fez com que milhões de dólares fossem extraídos das maquininhas de cartão de crédito da empresa. Cade destacar que esse ataque foi causado através da empresa terceirizada que fazia a manutenção dos termostatos dos aparelhos de ar-condicionado.
Como essa empresa entrava na rede da Target com os seus próprios computadores, os criminosos invadiram essa empresa terceirizada, e quando seus técnicos se conectaram à rede da Target, eles se movimentaram lateralmente até chegar às maquininhas de cartão de crédito para fazer a coleta e a esfiltração dos dados dos cartões.
Dois anos após os ataques, a administração da Target procurou o Bryson Bort, que viria a ser o fundador e o CEO da Scythe, para lhe pedir que seus controles fossem testados. Foi daí que surgiu a ideia de criação de uma ferramenta que fizesse a emulação de adversários.
Como a Scythe é abastecida?
Filipi – Dentro da Scythe, nós temos a Scythe Labs, que é um grupo pequeno de pessoas que trabalha para entender como os criminosos atuam e criam novas técnicas. No meu caso, eu trabalho como head of technical advocacy, ou seja, eu converso com os clientes e entendo quais são os possíveis ataques que podem acontecer. Tendo essa informação, eu a levo para o Scythe Labs, que cria novas maneiras de emular esses ataques na plataforma.
Por exemplo, logo que eu entrei na empresa, a Rússia fez um ataque contra a Ucrânia usando um grupo criminoso, que chamamos de APT (Advanced Persistent Threat), muito antigo, o APT28. Esse ataque focou, especificamente, nas empresas ucranianas do governo e de energia. Depois que esse ataque foi realizado, eu analisei toda a sua cadeia para que o Scythe Labs pudesse reproduzi-la na plataforma, justamente para que empresas européias de energia, que são possíveis alvos, pudessem testar os seus controles, já que é a mesma vertical de negócios. Dessa forma, a plataforma é atualizada, constantemente, com os novos ataques que são trazidos.
Como a IA está sendo utilizada em ataques e na defesa desses ataques?
Filipi – Em março, eu estive na RSA Conference, que é um evento que normalmente dita a tendência desse mercado. Nesse evento, eu vi AI e agentes de AI para tudo quanto é lado. Por exemplo, os atacantes estão utilizando agentes de AI e até mesmo AI para criar situações mais realísticas. Com relação ao phishing, eles estão criando templates de e-mail mais parecidos com a realidade para que os ataques evoluam.
Atualmente, o que está sendo feito muito é colocar uma AI contra outra AI, justamente para que se possa simular as formas de ataque de uma AI ao mesmo tempo em que se treina a outra AI na defesa. No ano passado, a própria Scythe lançou uma nova feature, chamada de Dynamic Attack Sequence, que é uma AI privada que adequa uma emulação ao contexto da empresa. Esse é um diferencial que estamos trazendo para a América Latina.
Como está sendo feita a expansão da Scythe?
Filipi – A Scythe é uma empresa americana muito voltada para a parte de infraestrutura crítica, como energia, óleo e gás. A empresa está expandindo a sua operação para a Europa e o Oriente Médio, mas ainda não havia conseguido entrar no Brasil e na América Latina por causa da barreira dos idiomas. A Scythe até tentou crescer na região em 2021/2022, mas acabou não levando essa expansão adiante. Eu e a Ana entramos justamente para abrir esse mercado. Vale ressaltar que em menos de um mês, nós já temos o primeiro cliente fechado no Brasil.
Como a Scythe pretende abrir esse mercado?
Ana – Nós estamos em um momento de captação de parceiros, já que muitos deles possuem aberturas e contatos com grandes empresas. Estamos fazendo isso, pois a Scythe entende que não tem como fazer esse trabalho sozinha. Nós podemos fazer o atendimento de forma direta, mas sempre vamos dar prioridade ao nosso parceiro, justamente para que possamos atingir mais clientes em um menor espaço de tempo.
Nesse caso, um parceiro é um revendedor ou um distribuidor?
Ana – Um revendedor. Por exemplo, se um revendedor, que possui uma carteira com grandes clientes, tem um produto como a Scythe, isso nos dá mais confiabilidade no mercado, sendo que no Brasil, boas práticas são passadas de cliente a cliente, já que os grandes clientes conversam entre si. Hoje, nós já estamos tendo procura de clientes de outros revendedores, já que os revendedores também conversam entre si.
Filipi – Quando um revendedor coloca a Scythe no seu pool de produtos, ele aumenta a sua oferta. Por exemplo, um revendedor pode oferecer uma solução de antivírus, antispam e firewall, e uma solução que testa esses controles. Para as revendas, que também são conhecidas como integradores, isso acaba sendo uma vantagem, pois ele potencializa a venda de outros produtos.
Com relação aos distribuidores, a Scythe opera nesse formato de forma global, mas nós ainda não fechamos com um distribuidor no Brasil. A vantagem de trabalhar com um distribuidor é que ele tem outras revendas, que possuem outros clientes. Em algum momento, nós devemos sentar com um ou dois distribuidores para conversarmos, mas nessa primeira fase, nós optamos por focar nos revendedores, pois entendemos que esse é o primeiro passo a ser dado.
Como vocês convencem as empresas a testarem a solução da Scythe?
Ana – Existe uma diferença entre uma demonstração e uma prova de conceito. Quando nós fazemos uma demonstração, nós pegamos um case e conversamos sobre ele com a empresa. Já a prova de conceito é feita dentro do ambiente da empresa ou do parceiro. Quando isso é feito, as pessoas ficam encantadas com a performance da Scythe.
Filipi – Hoje, para que as empresas possam testar os seus softwares de proteção, elas precisam contratar um time inteiro ou terceirizar, sendo que as duas soluções envolvem custos. No caso de uma empresa terceirizada, ela vai fazer o que chamamos de one shot, ou seja, a empresa vai testar os controles, fazer um relatório sobre o que ela conseguiu explorar, e um reteste em cima desse escopo. Se o cliente quiser um novo teste, ele vai ter que pagar por isso, sendo que, para que esse controle seja efetivo, ele precisa ser feito, no mínimo, quatro vezes no ano, o que faz com que esse valor fique muito alto.
A nossa estratégia é comparar esse custo ao valor de compra da Scythe, que é uma ferramenta que tem capacidade de fazer, pelo menos, 200 testes avançados sobre o que acontece no mundo inteiro, utilizando AI no contexto da empresa, o que permite que ela pague menos e tenha muito mais efetividade de sucesso nos testes. Essa é a grande vantagem de utilizar a Scythe.
Considerando a nossa conversa, vocês gostariam de acrescentar algum ponto à entrevista?
Filipi – A Scythe é uma plataforma onde um ataque pode ser construído do zero. Por exemplo, no Brasil nós temos o ataque dos boletos bancários, mas como essa forma de pagamento só existe aqui, isso faz com que seja muito difícil para uma empresa de fora entender esse modelo de ataque. Quando uma empresa tem uma plataforma como a Scythe, que funciona como um quebra-cabeça, fica muito mais fácil simular ataques dentro do seu próprio ambiente. Essa é uma grande vantagem que a Scythe traz para o mercado brasileiro, já que os criminosos brasileiros são muito criativos do ponto de vista de ataque.
