Entendendo o cenário de segurança cibernética em 2021
Publicados: 2022-03-11Você já deve ter ouvido o ditado: “Nunca deixe uma crise ser desperdiçada”. Infelizmente, os hackers levaram essa noção a sério durante o COVID-19. O número de ataques cibernéticos disparou à medida que os hackers exploraram repetidamente as portas dos fundos vulneráveis em sistemas corporativos em meio à distração causada pela pandemia. Os alvos incluíam saúde, serviços financeiros e instituições do setor público, como a Organização Mundial da Saúde. Os ataques contra o setor financeiro aumentaram 238% globalmente entre fevereiro e abril de 2020.
De acordo com Alissa Abdullah, vice-chefe de segurança da Mastercard e ex-vice-CIO da Casa Branca sob o presidente Barack Obama, o COVID-19 e a mudança resultante para o trabalho virtual “mudou as oportunidades do adversário e mudou seu foco em alguns dos outros ferramentas que estamos usando.”
Os hackers também atacaram plataformas de colaboração. Em abril de 2020, os hackers conseguiram mais de 500.000 nomes de usuário e senhas de contas do Zoom e os venderam em fóruns de crimes da dark web por apenas um centavo por conta; algumas informações foram simplesmente dadas. Também surgiram ataques cibernéticos envolvendo a vacina COVID-19; em dezembro de 2020, a Agência Europeia de Medicamentos informou que alguns dados da vacina Pfizer/BioNTech COVID-19 foram roubados durante um ataque cibernético. Na mesma época, a IBM soou o alarme sobre hackers visando empresas centrais para a distribuição de vacinas COVID-19.
Espere que mais ciberataques aconteçam mais rapidamente
Os ataques cibernéticos e seus custos associados continuarão acelerando. Considere o seguinte: A Cybersecurity Ventures prevê que os ataques cibernéticos ocorrerão a cada 11 segundos em 2021, quase o dobro da taxa de 2019 (a cada 19 segundos) e quatro vezes a taxa de 2016 (a cada 40 segundos). Estima-se que o cibercrime agora custe ao mundo US$ 6 trilhões anualmente, o dobro do total de US$ 3 trilhões de 2015. Até 2025, o cibercrime deverá custar ao mundo US$ 10,5 trilhões a cada ano.
O preço dos crimes cibernéticos inclui o roubo de propriedade intelectual e dados pessoais e financeiros, bem como dinheiro real, além do custo de interrupções pós-ataque nos negócios, perda de produtividade e danos à reputação, entre outras coisas, explica Steve Morgan, fundador de Empreendimentos de Cibersegurança. Além dessas consequências diretas, os custos ocultos do cibercrime também incluem prêmios de seguro aumentados, classificações de crédito mais baixas e honorários advocatícios devido a clientes que iniciam litígios.
Um relatório de segurança da IBM de 2020 que pesquisou 524 organizações violadas em 17 países em 17 setores indicou que o custo médio de uma violação de dados foi de US$ 3,86 milhões e levou uma média de 280 dias para ser contido. As consequências podem continuar por anos após o incidente.
Sob ataque: Spear Phishing, Engenharia Social e Vishing
No Reino Unido, em 2019, 90% das violações de dados foram causadas por erro humano. Durante a pandemia, os funcionários estão preocupados com o aumento do estresse pessoal e financeiro, tornando-os mais vulneráveis ao spear phishing – um tipo de phishing que tem como alvo pessoas ou grupos específicos em uma organização – e ataques de “engenharia social” projetados para manipular psicologicamente os indivíduos para revelar informação sensível.
Mais especificamente, os ataques de engenharia social visam enganar os funcionários a fazer algo que parece legítimo, mas não é. Embora as empresas normalmente treinem funcionários para identificar solicitações fraudulentas, em meio às circunstâncias anormais da pandemia, tornou-se mais difícil para os funcionários diferenciar golpes de solicitações legítimas.
“Todo mundo sabe que você não pode pegar um USB em um estacionamento [e colocá-lo em seu computador], mas treinar funcionários sofisticados em e-mails falsos de chefes ainda é um problema real”, diz Thomas Ruland, especialista em finanças da Toptal network e Chefe de Finanças e Operações da Decentriq, uma empresa especializada em compartilhamento e colaboração segura de dados. “Quando você não está no mesmo escritório, o compartilhamento acidental de dados pode acontecer com mais frequência. Quando as pessoas estão trabalhando no mesmo escritório físico, você pode simplesmente perguntar: 'Ei, você realmente enviou isso?' mas é mais difícil analisar quando se trabalha em casa.”
A questão do “vishing” – phishing de voz – também foi exacerbada pela pandemia, com invasores usando chamadas para obter credenciais de VPN ou outras informações confidenciais de funcionários. Os golpes de vishing geralmente tentam parecer legítimos, fornecendo às vítimas em potencial uma informação pessoal precisa, como o número do CPF ou o número da conta bancária de um indivíduo. Uma quantidade surpreendente de outras informações pessoais está disponível publicamente para invasores, que precisam apenas vasculhar plataformas de mídia social ou outros sites associados para acessar esses detalhes.
Explorando pontos fracos na segurança na nuvem
A COVID-19 estimulou a adoção apressada de novas tecnologias à medida que as organizações instituíam novos processos digitais em meio à interrupção do trabalho no escritório. Nos estágios iniciais da pandemia, muitas empresas não tiveram escolha a não ser aceitar novos riscos, incluindo padrões de controle reduzidos, para manter as operações.
Um dos principais resultados dessas mudanças rápidas e dramáticas foi a adoção generalizada da nuvem. Em seu relatório State of the Cloud 2021, a Flexera descobriu que as demandas de trabalho remoto levaram mais da metade do grupo pesquisado a aumentar o uso da nuvem além do planejado. Outros entrevistados indicaram que suas organizações podem acelerar a migração devido às dificuldades de acesso aos data centers tradicionais e atrasos em suas cadeias de suprimentos. Enquanto 20% por cento das empresas revelaram que seus gastos anuais com nuvem ultrapassaram US$ 12 milhões, um aumento de 7% em relação ao ano anterior, 74% relataram que seus custos ultrapassaram US$ 1,2 milhão, acima dos 50% do ano anterior.
Infelizmente, as ações tomadas sob pressões operacionais e tempo extremas inevitavelmente levaram a lacunas na segurança cibernética. E 75% dos entrevistados no Relatório de Segurança na Nuvem 2020 da Cybersecurity Insiders indicaram que estavam “muito preocupados” ou “extremamente preocupados” com a segurança da nuvem pública. As preocupações com a segurança da nuvem são ainda mais exacerbadas quando as organizações usam dois ou mais provedores de nuvem pública, como fazem 68% dos entrevistados.
Especialistas em segurança e empregadores estão principalmente preocupados com três desafios de segurança na nuvem. Primeiro, configuração incorreta de nuvem e contêiner, quando um administrador implanta inadvertidamente configurações para um sistema de nuvem que entram em conflito com as políticas de segurança da organização. Outra é a visibilidade limitada da rede, na qual uma organização não tem certeza de quais hardwares e softwares estão conectados à rede e quais eventos de rede estão ocorrendo. E a terceira grande preocupação são os ambientes de tempo de execução de nuvem desprotegidos, que oferecem oportunidades para os invasores atacarem uma organização.
Uso por funcionários de dispositivos e redes pessoais não autorizados
O COVID-19 e a mudança para o trabalho virtual levaram à adoção generalizada de programas de traga seus próprios dispositivos. Especialmente nos estágios iniciais da pandemia, muitos trabalhadores não tiveram escolha a não ser usar dispositivos pessoais, Wi-Fi público ou redes domésticas para trabalhar remotamente. Tais circunstâncias fornecem uma abertura para hackers acessarem recursos organizacionais; quando os dispositivos pessoais são comprometidos, eles podem servir como plataformas de lançamento na rede corporativa.
“Um dos maiores riscos de segurança cibernética é o dispositivo pessoal”, disse Trina Glass, advogada da Stark & Stark, à Society for Human Resource Management. “Seja smartphone ou laptop, há sérios problemas causados pelo uso de tecnologia pessoal em um ambiente de trabalho que envolve informações confidenciais. Os funcionários podem salvar documentos em seus desktops ou enviar rascunhos de documentos para seus e-mails pessoais. Eles podem não ter um software antivírus atualizado ou podem usar proteção de senha pessoal desatualizada.”
Ataques à cadeia de suprimentos e riscos de terceiros
Em dezembro de 2020, surgiram notícias de que a SolarWinds, uma grande empresa de gerenciamento de TI, sofreu um ataque cibernético que não foi detectado por meses. No início daquele ano, hackers estrangeiros invadiram os sistemas da SolarWinds e inseriram códigos maliciosos. Posteriormente, quando a SolarWinds enviou atualizações de software para seus 33.000 clientes, o código dos invasores o acompanhou e criou uma porta dos fundos para os sistemas de TI dos clientes. Os hackers usaram essas portas dos fundos para instalar malwares espiões adicionais. Por fim, cerca de 18.000 clientes da SolarWinds instalaram essas atualizações, incluindo agências dos EUA, como os Departamentos de Segurança Interna e do Tesouro, e empresas privadas, como Intel, Microsoft e Cisco.
Os hackers geralmente visam e atacam elementos inseguros da cadeia de suprimentos de software ou hardware. A Accenture descobriu que 40% dos ataques de segurança cibernética se originam da cadeia de suprimentos estendida. Os invasores geralmente buscam os elos mais fracos, como pequenos fornecedores com poucos controles de segurança cibernética ou componentes de código aberto. Na maioria das vezes, depois de identificar seu alvo, os hackers adicionam backdoors a softwares legítimos e certificados ou sistemas de comprometimento usados por fornecedores terceirizados. Assim, os ataques à cadeia de suprimentos expõem a verdade de que os controles de segurança cibernética de uma organização são tão fortes quanto o elo mais fraco da cadeia.
O que você pode fazer para melhorar a segurança cibernética da sua empresa?
Agora que o mundo está há mais de um ano na pandemia, as empresas devem ir além de simplesmente instituir medidas provisórias e, em vez disso, antecipar o “próximo normal”. Os diretores de segurança da informação, CFOs e equipes de segurança cibernética devem descobrir como suas forças de trabalho, clientes, cadeias de suprimentos e colegas do setor trabalharão juntos para fornecer segurança cibernética adequada. Aqui estão cinco maneiras de começar:
Aprimore a vigilância em torno do acesso: confiança zero e autenticação multifator
A segurança de rede de TI tradicional é baseada no conceito de castelo e fosso: todos dentro da rede são confiáveis por padrão e é difícil para quem está fora da rede obter acesso. Os ataques cibernéticos ocorridos durante a pandemia de COVID-19 expuseram as limitações dessa estratégia. As empresas devem considerar a adoção de uma estratégia de confiança zero que mantenha controles de acesso rigorosos e não confie em nenhum indivíduo, dispositivo ou aplicativo por padrão, mesmo aqueles que já estão dentro do perímetro da rede. Um modelo de confiança zero requer verificação de identidade e autorização para cada pessoa e dispositivo que tenta acessar recursos em uma rede privada. Em 2019, o Gartner previu que até 2023, 60% das empresas passariam de VPNs para iniciativas de confiança zero.
Além disso, as empresas devem exigir autenticação de dois fatores para os funcionários. A autenticação de dois fatores exige que um usuário forneça dois tipos diferentes de informações para acessar uma conta online ou sistema de TI; normalmente, isso inclui um par de nome de usuário/senha (autenticação de fator único) e outra prova de identidade, como um código enviado ao telefone ou endereço de e-mail de um funcionário.
O Fórum Econômico Mundial recomenda que as empresas também iniciem a transição para a autenticação multifatorial biométrica usando impressões digitais, rostos, comportamento de digitação ou outros fatores para verificar a identidade dos usuários. Ao contrário das empresas que armazenam as senhas de seus clientes em seus servidores, a biometria do usuário é armazenada no dispositivo do usuário e, portanto, não há um único ponto de coleta de dados para os criminosos cibernéticos acessarem e o risco de fraude online e roubo de identidade é bastante reduzido . O tamanho do mercado global de sistemas biométricos deve crescer de US$ 36,6 bilhões em 2020 para US$ 68,6 bilhões em 2025.
Repensar a Cadeia de Suprimentos e o Risco de Terceiros
Para reforçar a segurança cibernética, as organizações devem examinar suas ferramentas e requisitos de segurança para compartilhar e manter informações privadas com fornecedores. As organizações devem começar analisando todos os fornecedores e possíveis serviços de terceiros paralelos; atribuir níveis de risco aos fornecedores, delineando os mais críticos para as operações e tendo o maior acesso a informações vitais; e, em seguida, calibrar o escopo da avaliação de forma correspondente.
As empresas devem atualizar controles e restrições de acesso para terceiros e desenvolver controles de perda de dados mais robustos. As organizações também devem garantir que os fornecedores que não estão atualmente preparados para riscos cibernéticos elevados se comprometam a desenvolver planos de preparação cibernética para lidar com informações com segurança e interagir com as redes corporativas das organizações. Além disso, sempre que possível, as empresas devem integrar logs críticos de terceiros ao monitoramento de segurança corporativa e criar sistemas de alerta para monitoramento e resposta coordenados. Tomar todas essas medidas ajudará a criar resiliência cibernética em todas as cadeias de suprimentos.
Desenvolver e aprimorar um conjunto de habilidades de segurança na nuvem
À medida que as organizações se afastam das soluções tradicionais de segurança cibernética no local e adotam arquiteturas centradas na nuvem, elas devem aprender a defender a nuvem.
A configuração incorreta da nuvem e do contêiner pode ser um problema porque, em contraste com uma rede local onde apenas profissionais de TI podem configurar e implantar a infraestrutura de rede, em um ambiente de nuvem, muito mais pessoas podem fazê-lo. Os invasores geralmente aproveitam as configurações incorretas para acessar uma rede porque são fáceis de detectar. As organizações podem ajudar a gerenciar configurações incorretas seguindo o Guia de mercado do Gartner para plataformas de proteção de carga de trabalho em nuvem para estabelecer uma linha de base para ativos conectados à rede. (O relatório completo está disponível para compra aqui.) A partir daí, as organizações devem monitorar esses ativos quanto a desvios e potencialmente empregar medidas de defesa automatizadas para proteger seus sistemas contra ataques.
Quanto à visibilidade da rede, as ferramentas de descoberta de ativos fornecem descoberta de dispositivos e um conhecimento não apenas do que está na rede, mas também de quais ativos estão desprotegidos. Essas ferramentas fornecem transparência nas relações entre ativos, seu uso, a rede e outros dispositivos, incluindo quais módulos de software estão instalados na rede.
Por fim, as organizações podem se defender contra ambientes de tempo de execução de nuvem desprotegidos para cargas de trabalho em contêiner. Quando um dispositivo tenta executar um aplicativo, os ambientes de tempo de execução atuam como intermediários entre o aplicativo e o sistema operacional.
Use Inteligência Artificial e Machine Learning
Embora os analistas de segurança humana já empreguem ferramentas de automação para extrair os alertas mais urgentes de grandes conjuntos de dados e fazer com que os humanos ajam, as ferramentas de inteligência artificial (IA) e aprendizado de máquina (ML) estão se tornando cada vez mais sofisticadas.
“Estamos indo além dos algoritmos que apenas analisam suas métricas e dizem a um humano para fazer algo sobre um determinado valor atípico”, disse Ram Sriharsha, vice-presidente de engenharia e chefe de aprendizado de máquina da Splunk, no Relatório de segurança de dados de 2021 da empresa. “Por uma questão de escala, precisamos de algoritmos e automação que entrem em ação. No domínio da segurança, não vamos apenas treinar modelos de maus atores e comportamentos anteriores para identificar comportamentos novos e semelhantes. Veremos algoritmos que apenas observam o que está acontecendo – o tráfego, os dados – para identificar padrões ruins e tomar medidas evasivas.”
As organizações devem considerar o uso de sistemas de gerenciamento de segurança cibernética baseados em IA e autoaprendizagem. No entanto, à medida que as soluções de segurança cibernética de IA/ML se desenvolvem, o mesmo acontece com os invasores. Usando o aprendizado adverso, os maus atores coletam o suficiente sobre um modelo de IA/ML para projetar maneiras de envenenar o sistema e torná-lo ineficaz para a defesa. A aprendizagem adversária é semelhante a, digamos, enganar um veículo autônomo para que entenda mal um sinal de pare. E, de acordo com a pesquisa do Gartner, 30% de todos os ataques cibernéticos de IA aproveitarão o envenenamento de dados de treinamento, roubo de modelo de IA ou amostras de adversários para atacar sistemas alimentados por IA até 2022. Apesar dessas ameaças aos sistemas de IA/ML, uma pesquisa recente da Microsoft revelou que 25 das 28 empresas indicaram que não tinham as ferramentas certas para proteger seus sistemas de IA/ML. Não seja um deles.
Lançar treinamento interativo de segurança cibernética para funcionários
Embora aparentemente simples, é fundamental que as organizações aprimorem o treinamento dos funcionários em torno das medidas de segurança cibernética. As organizações devem projetar programas e exercícios de treinamento baseados em funções para aumentar a conscientização sobre novos riscos cibernéticos em um ambiente remoto, incluindo novas ameaças, regras para uso de dispositivos aprovados e processos para relatar incidentes cibernéticos.
As equipes de gerenciamento também devem fornecer simulações e orientações para cenários de ataques cibernéticos para envolver ativamente os funcionários. A administração também deve fornecer diretrizes claras sobre as ações necessárias e quando as decisões devem ser escaladas.
Por fim, os funcionários devem ser lembrados de não usar redes ou impressoras Wi-Fi públicas e não armazenar documentos em computadores domésticos.
Mantendo-se vigilante contra os riscos de segurança cibernética
Para responder à escalada de ataques cibernéticos na forma de engenharia social e ataques à cadeia de suprimentos, além de aumentar as medidas de sombra de TI e paliativos vulneráveis, as empresas devem se concentrar em se ajustar ao “próximo normal”. Ou seja, a gestão deve fazer parceria com as equipes de segurança cibernética para aumentar a vigilância em relação ao acesso, repensar a cadeia de suprimentos e os riscos de terceiros, desenvolver conjuntos de habilidades de segurança na nuvem, aproveitar as ferramentas de IA e ML e aprimorar o treinamento interativo dos funcionários. A criação de ambientes seguros para os clientes oferece às empresas uma vantagem competitiva e cria confiança e fidelidade com seus clientes atuais e futuros.