Você já ouviu falar da Unidade 42? Ela é o grupo de elite da Palo Alto Networks e atua em algumas frentes, sendo a mais conhecida a inteligência contra ameaças. São mais de 500 especialistas espalhados pelo mundo e conectados o tempo todo para se antecipar a possíveis problemas, mas, também, apoiar clientes quando o pior acontece. Para entender melhor o trabalho dessa área, conversamos com Patrick Rinski, que é managing director da Unidade 42 para América Latina, na Palo Alto Networks.

Durante a conversa o executivo explicou a unidade, mas também deu dicas importantes para profissionais da área de segurança da informação, sobretudo, considerando melhorar a interlocução com a alta gestão. Rinski, que já foi CISO, afirma que entender do negócio de maneira profunda é mandatório, além de adequar linguagem e usar exemplos que possam se compreendidos por quem não tem conhecimento técnico. A seguir, veja os principais trechos da conversa. 

Vitor Cavalcanti – Qual que é a função primordial da unidade 42?

Patrick Rinski – A unidade 42 tem como perspectiva trabalhar no viés consultivo. A gente trabalha em quatro grandes verticais: a primeira é a de resposta a eventos; a segunda vertical é consultoria, onde a gente faz toda a parte de diagnósticos completos, combinamos toda a telemetria da Palo Alto e as ferramentas a nosso favor na consultoria, o terceiro pilar é MDR (Managed Detection and Response), que é a parte em cima das plataformas da Palo Alto, a gente atende clientes 24/7 do ponto de vista de resposta e suporte; a quarta vertical, pela qual a unidade 42 é muito conhecida, é a de threat intelligence, onde a gente tem toda a capacidade de ajudar clientes e não clientes na identificação de ameaças. 

VC – Vocês são conhecidos por serem o grupo de elite nessa parte de inteligência. Como é estar no meio desse grupo e como que é a interação de vocês aqui na região como esses profissionais espalhados pelo mundo?

PR – Eu acho que fazer parte de uma organização global foi uma das coisas que me motivou. Quando eu saí da consultoria que eu estava para vir para cá, uma das coisas que me motivou foi trabalhar com as pessoas que conhecem até mais do que eu. Então, quando entrei na Unidade 42 e comecei a conversar com as pessoas ao redor do mundo, seja nos Estados Unidos, Europa ou Ásia, eu vi uma capacidade técnica que eu não via há muito tempo no mercado. Além disso, a unidade trabalha de forma integrada. Dentro dos meus projetos na América Latina, eu tenho o meu time regional que fala a língua local, seja português ou espanhol, mas eu tenho especialistas ao redor do mundo que me ajudam a me complementar.

Para te trazer um exemplo, eu estava fazendo uma investigação forense recente, em um ambiente Macintosh, meu time local tinha o conhecimento, mas tinha um profissional na Ásia que só fazia Macintosh. Ele estudou Macintosh a vida inteira, então, a gente consegue importar ele para cá e trazer esse conhecimento. E essa integração é uma via de mão dupla, tanto nós levando conhecimento para fora, quanto a gente recebendo apoio de fora por meio de consultores espalhados pelo mundo. 

VC – Que tipo de incidente ou problema costuma chegar para vocês? O que leva o cliente a precisar acionar essa unidade tão específica?

PR – A gente recebe muita chamada no reativo; temos um atendimento 24/7 com uma central onde o cliente ou não cliente liga, explica a situação e aí a gente entra para fazer uma definição de como vamos apoiar, seja no nível estratégico ou no nível técnico de ajudar na recuperação do ambiente, na identificação da ameaça. 


Mas o que chega muito é ransonware. Tem algumas situações específicas de vazamentos de dados que os clientes também precisam de um apoio, não só técnico, mas também do ponto de vista jurídico e com seguradoras de cyber, gerando evidências para processos judiciais ou pagamentos de sinistros.

VC – Então o ransonware acaba sendo um tema que é mais recorrente? Isso é Brasil ou global?

PR  – Eu diria que é global. Como faço parte desse time global, recebo todos os incidentes que nosso time trabalha e tem muito ransonware. E acho que é importante dizer que o ransonware hoje é um “combo”: o atacante invade, rouba os dados e pede o resgate. Muitas vezes o cliente liga achando que é apenas um vazamento, sem saber que houve um ransonware por trás.

VC – Onde tem sido as falhas para termos tanto ataque desse tipo? 

PR – Muita gente imagina um hacker russo super avançado, mas a maioria dos ataques ocorre na higiene básica da cibersegurança . No ano passado, 90% dos incidentes na Unidade 42 tiveram a identidade como vetor . Outros problemas são a gestão de vulnerabilidades e sistemas legados. Falta o básico, como colocar um duplo fator de autenticação em contas privilegiadas .

VC – E falando agora de você, que foi CISO e agora está na Unidade 42. Como essa sua experiência pode contribuir para melhorar comunicação entre CEOs e lideranças de TI e segurança?

PR – Eu combino um perfil técnico com estratégico, o que me ajuda a ter uma conversa com a pessoa da operação e também com o CEO e o conselho de administração. Acho que meus aprendizados me ajudam e eu uso aqui na Unidade 42, porque eu sei a dor, já estive do outro lado da mesa. 


Dada essa minha experiência ao longo dos últimos 20 anos, eu ajudo os CISOS na tradução para o negócio, a tratarem o valor, mostrarem o retorno da cibersegurança que ainda é muito difícil. Em vez de usar apenas o fator medo, mostramos que segurança é uma alavanca de crescimento. Por exemplo, ajudei um cliente a melhorar processo de onboarding, o que reduziu a fricção e gerou aumento real de receita através de uma melhor gestão de identidades e autenticação.  

Você pode falar que um processo de onboarding não tem cibersegurança, mas tem em toda a parte de identidade, autenticação e mostramos o valor disso. Ele conseguiu ter um processo tão tranquilo para entrar na aplicação e para transacionar que a gente conseguiu monitorar e ver o incremento de receita nessa corporação. 

É preciso entender do negócio

VC – Que dica você daria para um CISO ou profissional em ascensão para conseguir traduzir tecnologia par ao negócio?

PR – Acho que eu sempre tomei muito cuidado em entender o meu negócio. Acho que uma das grandes falhas de pessoas que estão na tecnologia ou na área de ciber é não entender bem o negócio. Se eu estou trabalhando em um banco eu tenho que entender todo o processo de ponta a ponta de um banco, desde uma custódia até uma liquidação, por exemplo. 

O segundo ponto é parar de falar de riscos de tecnologia e riscos de cibersegurança e traduzir para riscos de negócio. Em vez de alertar para risco de uma invasão, fale sobre um risco de uma indisponibilidade de uma plataforma através de uma invasão. Assim, o executivo conseguirá enxergar muito mais o valor, porque ouviu algo que faz sentido para ele.  

Se você falar que tem um indicador de vulnerabilidades críticas para o seu CEO, vai ter de explicar o que é vulnerabilidade crítica. Então, você tem que criar métricas e traduzir isso para uma linguagem de negócio por meio da qual os executivos entendam e consigam enxergar o valor. 

VC – Agora voltando para Unidade 42, o que que te desafia nesse grupo de elite? Como é o dia a dia para se manter atualizado?

PR – Acho que o que me motiva exatamente isso, estar sempre à frente. 
Eu estou em uma unidade que os clientes precisam que eu esteja cada vez mais atualizado, e antes deles. Um dos benefícios de estar nessa unidade é que eu tomo conhecimento das ameaças antes que elas se tornem públicas. Sei como proteger algumas dessas ameaças também antes que elas venham a público.

Pegando o caso agora dos modelos de IA mais avançados, a gente teve acesso privilegiado ao projeto Glasswing, da Anthropic. Em menos de duas semanas a gente construiu um serviço da Unidade 42 dado nossa inteligência e nossa experiência para conseguir suportar os clientes nessa jornada. Nosso ambiente é muito dinâmico, até alguns meses atrás você nem falava de modelos de fronteira, agora só se fala deles. Dentro da Unidade 42 eu sei o que está acontecendo no mundo inteiro e isso me ajuda a estar sempre à frente do cliente trazendo as informações mais atualizadas.