Translate
15 janeiro 2024
Nove Desafios e Futuras Tendências em Cibersegurança
12 janeiro 2024
O Mundo Depois de Nós: uma Análise do Comandante Cibernético
08 janeiro 2024
Dez Riscos Cibernéticos Nunca Comentados
Introdução
Estes riscos cibernéticos aqui tratados podem não aparecer em um relatório oficial de avaliação, mas todo profissional de segurança precisa levá-los em conta. A gestão de riscos tradicional inclui categorizar ameaças e riscos potenciais, avaliar a probabilidade de ocorrência e estimar os danos resultantes se tais riscos não forem atenuados. Os custos das defesas e controles são dimensionados em comparação com os danos potenciais. E as defesas, via de regra são implementadas se tiverem custo mais baixo do que simplesmente permitir que as ameaças se concretizem. Essa decisão, baseada em palpites, pode trazer efeitos danosos à organização. Há uma enorme dificuldade de se calcular a probabilidade de ocorrência de um risco e dos seus possíveis danos.
Essa avaliação sempre foi mais
baseada em fatores subjetivos do que em uma tabela rígida de cálculo. Como
estimar as chances de um ataque sofisticado de ransomware, DDoS ou de uma
agente interno ocorrer em sua organização, ou que ativos ele poderá acessar,
com precisão? Alguém pode provar que a probabilidade é de 20% contra 60% em um
determinado período? Todos possuem tais problemas de estimativa, mas para
trazer mais complexidade a essa avaliação, destacamos dez fatores que afetam a
gestão de riscos, raramente discutidos abertamente, descritos os itens a
seguir.
1. Isso nunca vai acontecer
Toda avaliação de risco é uma
batalha entre se enfrentar algo que pode acontecer ou não fazer nada,
principalmente se este algo nunca ocorreu antes. Muitos acreditam que não fazer
nada não representa custos, e quem se esforça para fazer algo pode ser visto
como desperdiçador de dinheiro. “Por que desperdiçar esse dinheiro? Isso nunca
vai acontecer!”
Poucos têm problemas ao seguir
a rotina e fazer o que sempre foi feito. É bem mais difícil ter a iniciativa e
ser proativo, do que esperar o dano acontecer para tentar resolvê-lo,
especialmente quando estão envolvidas significativas somas de dinheiro.
2. Risco político
Assumir proativamente os riscos
leva ao próximo componente pouco comentado: risco político. Toda vez que os
profissionais proativos querem defender a empresa de algo que nunca aconteceu
antes, eles perdem um pouco do seu capital político. A única situação em que
vencem é quando algo sobre a que estão sendo proativos, de fato, acontece. Se
eles são bem-sucedidos e conseguem convencer a empresa a colocar controles e
defesas cibernéticas para que o mal nunca aconteça, a situação negativa
provavelmente nunca ocorrerá.
É uma vitória sem méritos.
Quando conseguem proteger adequadamente a empresa, ninguém reconhece o valor de
estar seguro e o esforço da negociação para se conseguir o investimento para
mais controles. Cada vez que algo de ruim com que se preocupam nunca acontece,
os profissionais de segurança são vistos como geradores de custos. Nesse
contexto, perdem capital político.
Qualquer um que já participou
de uma discussão sobre gestão de riscos certamente não deseja enfrentar muitas
delas, pois nelas “queimam” um pouco (ou muito) de sua reputação. Então, os
profissionais proativos calculam que batalhas querem travar. Com o tempo, os
mais experientes escolhem menos batalhas. O instinto de sobrevivência é mais
forte. Muitos apenas esperam o dia em que algo de ruim aconteça: não lutam mais
contra os argumentos contrários, pois não querem se tornar bodes expiatórios.
3. Dizer “estamos
protegidos”, sem estar
Boa parte dos controles e
defesas que as pessoas afirmam haver implementado em uma organização não são
100% eficazes. Muitos dos envolvidos no processo sabem disso. Os exemplos mais
comuns são os patches e backups. A maioria das empresas afirma que instalou de
99% a 100% dos patches de atualização dos dispositivos. Na verdade, é difícil
encontrar um dispositivo com os patches completamente atualizados, em qualquer
empresa.
O mesmo vale para backups. Os
ataques de ransomware revelam que a maioria das organizações não costuma fazer
bons backups. Apesar de grande parte das organizações e dos seus auditores
verificarem durante anos que os backups críticos são feitos e testados
regularmente, basta um grande golpe de ransomware para mostrar o quão
radicalmente diferente é a realidade.
Como uma pessoa encarregada dos
backups pode testar tudo, quando não tem tempo nem recursos para fazê-lo? Para
testar se um backup e uma restauração realmente funcionam, é preciso fazer uma
restauração de teste de muitos sistemas diferentes, todos de uma vez, em um
ambiente separado de homologação, que teria que funcionar como o ambiente de
produção. Isso exige um grande comprometimento de pessoas, tempo e recursos,
algo que a maioria das organizações não possui.
4. “Sempre foi assim”
É difícil lutar contra o
argumento do “é assim que sempre fizemos”, especialmente quando nenhum ataque
às vulnerabilidades da organização ocorre - ou é percebido - há décadas. Por
exemplo, é comum encontrar organizações permitindo que senhas de acesso à sistemas
tenham seis caracteres e nunca sejam alteradas.
Às vezes, é porque as senhas da
rede de PCs precisam ser iguais às senhas conectadas a algum sistema mais
antigo, de que a empresa depende. Todos sabem que o uso de senhas de seis
caracteres não sendo alteradas com a devida frequência não é uma boa ideia mas,
como nunca causaram problemas, então muitos se perguntam: por que mudar?
5. Interrupção operacional
Todo controle e defesa que se
implementa pode causar um problema operacional na organização. É preciso,
portanto, se preocupar com a possível interrupção operacional que cada controle
ou defesa passíveis de serem implementados possam causar. Pois um remédio
concentrado pode até ser amargo, mas não pode matar o paciente.
Quanto mais radical o controle,
maior a probabilidade de se mitigar os riscos da ameaça que este controle
combaterá. Mas também maior o nível de suspeita que se deve ter sobre a
possibilidade dele provocar na organização uma séria e preocupante interrupção
operacional.
6. Insatisfação dos usuários
Nenhum responsável por gestão
de risco cibernético almeja irritar usuários, implementando controles que
restringem o acesso deles à Internet e o que podem fazer em seus computadores.
Ocorre, porém, que os usuários são responsáveis por um elevado percentual de
todas as violações de dados (muitas vezes, por meio de phishing e engenharia
social). Não é possível confiar apenas no treinamento de segurança e nos
instintos dos usuários para se proteger uma organização. É preciso negociar com
eles, com habilidade, as restrições e os controles de acesso.
7. Insatisfação dos clientes
Ninguém deseja implementar uma
política ou procedimento que leve à perda de clientes. Clientes descontentes
tornam-se clientes felizes de outras empresas. Qualquer solução que possa
prejudicar a experiência do cliente deve ter uma profunda análise quanto a
custos e benefícios de sua implantação, no que se refere à satisfação dos
clientes. E com defesas e controles cibernéticos isto não é diferente.
8. Uso da tecnologia de
ponta
A maioria das pessoas não
tentará uma solução de cibersegurança de ponta inovadora até que um grupo de
pioneiros a adote. Não é muito cômodo estar de frente para o desconhecido. Os
que adotam cedo uma tecnologia inovadora podem ser recompensados por chegarem
cedo, e alcançar vantagens competitivas sobre aqueles que os seguirão.
Entretanto, como toda novidade,
é preciso conhecer o mercado, o estado da arte da tecnologia e avaliar a
confiabilidade e a experiência do fornecedor da solução, para que a inovação
não vire um potencial desastre, expondo a organização à interrupção operacional
ou a algum risco severo de segurança cibernética.
9. Risco de se chegar
atrasado
Quase sempre enfrentamos algum
risco cibernético que já aconteceu com outras pessoas e empresas (ou com sua
própria organização). Muitas vezes se espera para ver que truques os hackers
têm na manga, antes de se criar defesas e controles para combater estes novos
riscos. Esperar primeiro para ver o que os cibercriminosos estão fazendo gera
um atraso entre o momento em que o novo comportamento malicioso é detectado e
as ações de avaliação da nova técnica, definição de novos controles e de defesa
contra o ataque cibernético. Neste jogo de esperar para ver, você
sempre estará atrasado.
10. Não há como se defender
de tudo
Segundo a revista CSO Online (www.csoonline.com),
em 2019 foram anunciadas mais de 16.500 novas vulnerabilidades públicas. Mais
de 100 milhões de programas de malware exclusivos eram conhecidos. Todo tipo de
hacker - desde os financiados por estados-nação a ladrões financeiros e
adolescentes que conhecem como desenvolver scripts - está tentando invadir sua
organização. É muito ataque, vindo de todas as direções, para se
preocupar.
Não há como como se defender de
tudo, a menos que se tenha acesso a uma quantidade ilimitada de dinheiro, tempo
e recursos. O melhor a fazer é avaliar quais os riscos mais importantes de
serem tratados e ter uma plataforma moderna e robusta de segurança cibernética,
além de processos de segurança implementados atingindo, assim, o grau de
maturidade ideal para a devida proteção cibernética, ideal para cada
organização.
Conclusão
Estes dez fatores de riscos
apresentados não são novidade, apenas não costumam ser discutidos abertamente
pelas empresas. Mas sempre existiram e devem ser considerados quando avaliamos
riscos cibernéticos e pensamos em estabelecer os controles necessários.
Tudo aponta para o fato de que
a avaliação e a gestão de risco cibernético são muito mais difíceis e complexos
na prática do que aparentam ser na teoria. Como resultado, contar com
especialistas em segurança cibernética é algo vital para as corporações. Quando
consideramos todas as coisas com que um profissional de segurança precisa se
preocupar e avaliar, é incrível o fato dele acertar na maior parte do tempo.
Enfim, essa é uma luta que
precisa ser enfrentada diariamente. Para tal, procure sempre a assessoria de um
especialista em cibersegurança - costumamos dizer que não há lugar para
amadores no ciberespaço. Conte com nossa experiência e conhecimento para
ajudar a encontrar as melhores soluções e processos de segurança cibernética
para sua empresa.
02 janeiro 2024
Qual o orçamento ideal para cibersegurança da sua empresa?
A cibersegurança tornou-se uma das áreas mais críticas e discutidas no ambiente empresarial atual. Com o crescimento exponencial da digitalização e a globalização dos mercados, as ameaças cibernéticas tornaram-se cada vez mais sofisticadas e prejudiciais. Então, qual será o orçamento ideal para garantir a cibersegurança da sua empresa?
Antes de determinar um valor, é importante entender que o orçamento ideal depende de vários fatores, incluindo o tamanho da empresa, o setor em que atua, o volume e tipo de dados que gerencia, bem como a maturidade de seus sistemas e processos. Além disso, o cenário de ameaças está em constante evolução, o que exige uma revisão e adaptação periódica do orçamento.
Tamanho da Empresa
Pequenas empresas: As pequenas empresas podem não ter a mesma capacidade de orçamento das empresas maiores, mas também estão em risco e muitas vezes são consideradas alvos fáceis por ciberatacantes devido a possíveis lacunas em suas defesas. Portanto, podemos considerar um orçamento para cibersegurança entre 80 mil a 250 mil reais por ano.
Médias empresas: Estas empresas podem não ter o mesmo volume de dados que as grandes corporações, mas ainda assim são alvos atrativos para os cibercriminosos. O orçamento ideal para estas empresas pode variar entre 350 mil a 1,5 milhões de reais por ano.
Grandes empresas: Para corporações com operações globais e vastos ativos digitais, a cibersegurança é absolutamente crítica. Essas empresas podem considerar alocar entre 800 mil a 8 milhões de reais por ano.
Setor de Atuação
Empresas em setores como financeiro, saúde e defesa, que gerenciam informações sensíveis, devem priorizar ainda mais a cibersegurança. Nestes setores, um investimento mais robusto – até 40% do orçamento de TI – pode ser justificado.
Volume e Tipo de Dados
Empresas que lidam com grandes volumes de dados sensíveis ou pessoais precisam de soluções de segurança mais avançadas, como criptografia de ponta a ponta, sistemas de detecção de intrusão e de SIEM (security information and event management).
Maturidade de Sistemas e Processos
Se uma empresa está apenas começando sua jornada de cibersegurança, pode ser necessário um investimento inicial maior para estabelecer a infraestrutura, treinamento e processos adequados. Empresas com sistemas de segurança já maduros podem focar mais na manutenção e atualização contínua.
É essencial que as empresas reconheçam a importância crítica da cibersegurança e aloquem recursos suficientes para proteger seus ativos digitais. Por fim, o investimento em cibersegurança não deve ser visto apenas como um custo, mas como um investimento essencial para proteger a reputação, os ativos e a continuidade dos seus negócios.
A Pagliusi Inteligência em Cibersegurança disponibiliza serviços de cibersegurança personalizados para cada empresa. Contate-nos agora via e-mail: paulo@pagliusi.com.br
21 dezembro 2023
Engenharia Social com Superpoderes da IA
Por Paulo Pagliusi
Introdução
A IA vem fazendo um progresso surpreendente,
abrindo um novo mundo de possibilidades. Os criadores de IA recentemente permitiram
sua adoção de uma forma incrivelmente rápida, equipando chatbots
avançados de IA (como Bard e ChatGPT) com a interface de usuário mais simples
conhecida: uma janela de texto para consultar a máquina com prompts. Contudo,
sob a perspectiva da segurança cibernética, a crescente popularidade dessas
ferramentas generativas de IA introduziu uma escalada alarmante de ameaças de engenharia
social.
Em artigo publicado em 29Nov23 pela TI Inside, verifica-se a
probabilidade de que, em 2024, a engenharia social domine o cenário de ameaças
e seja a tática predominante de infiltração usada em ataques cibernéticos. Os
principais canais para a engenharia social devem incluir: (i) aplicativos
de mensagens; (ii) mídias sociais; (iii) chamadas telefônicas; (iv)
mensagens de texto; e (v) e-mail. Neste cenário, os hackers devem
usar ainda mais a Inteligência Artificial (IA) para a exploração rápida de vulnerabilidades
e a extração automatizada de informações valiosas.
O Fator
Humano
O fator humano é
frequentemente considerado o elo fraco na segurança da informação. Com o avanço
da engenharia social potencializada pela IA, essa fragilidade se torna mais
evidente. Os cibercriminosos podem utilizar técnicas persuasivas e
manipulativas para explorar os indivíduos e fazê-los comprometer a segurança de
suas organizações. Deste modo, a engenharia social potencializada pela IA
representa um risco significativo para uma instituição. Essas tentativas
enganosas podem levar os indivíduos de uma corporação a divulgar dados
sigilosos, como senhas ou informações classificadas, ou a abrir links
maliciosos que podem resultar em violações de segurança e exploração de ataques
cibernéticos direcionados.
Como a IA pode fazer a Engenharia Social
avançar
A engenharia social é a arte de manipular, influenciar ou
enganar os usuários para obter controle sobre um sistema de computador. Agentes
de ameaças, phishers (golpistas de phishing [1])
e engenheiros sociais – sendo eles próprios “empreendedores” – adotarão
qualquer nova tática que lhes dê uma vantagem. Segundo a FORBES,
há várias formas com que adversários podem aproveitar a IA para criar ataques avançados
de engenharia social:
·
Os ataques de phishing tradicionais
chegam com muitos erros gramaticais. Os phishers muitas vezes não são
falantes nativos da língua que utilizam para atacar as pessoas. Usando
ferramentas de IA como o ChatGPT, os invasores podem redigir e-mails
extremamente sofisticados – com correção gramatical e ortográfica
adequada – que parecem como se um humano os escrevesse, neutralizando o modo
usual de percepção deste tipo de ataque pela incidência de erros de redação.
·
A IA pode ajudar a criar deep
fakes (vídeos sintéticos e identidades virtuais falsas) que
parecem muito realistas. Os golpistas podem imitar uma pessoa real (um
executivo sênior, um cliente, um parceiro de negócios etc.), envolver a vítima
em uma conversa e fazer com que ela revele informações confidenciais, realize
transações financeiras ou espalhe desinformação.
·
Os agentes de ameaças podem clonar fala e áudio
humanos para realizar tipos avançados de ataques de phishing por voz
("vishing"). A Comissão
Federal de Comércio (FTC, na sigla em inglês) alertou sobre golpistas
que usam tecnologia de clonagem de voz por IA para se passar por familiares e
enganar vítimas para transferir dinheiro, a pretexto de sanar uma emergência
familiar.
·
Ferramentas de IA também podem ser usadas como
uma ferramenta para phishing. Por exemplo, usando uma técnica complexa
chamada Injeção Indireta de Prompt, os
pesquisadores manipularam com sucesso um chatbot do Bing para se passar
por um funcionário da Microsoft e, em seguida, gerar mensagens de phishing
que solicitavam informações de cartão de crédito dos usuários.
·
Usando agentes autônomos,
bem como scripts inteligentes e outras ferramentas de automação, os agentes de
ameaças podem realizar ataques de engenharia social altamente direcionados em
escala industrial. Por exemplo, eles podem automatizar as etapas envolvidas,
desde a seleção do alvo até a entrega do e-mail de phishing, passando
por uma resposta semelhante à humana em um chat de conversação ou em um telefonema.
·
A IA também pode improvisar a partir de seus
próprios aprendizados (distinguindo entre o que funciona e o que não funciona)
e evoluir suas próprias táticas inteligentes de phishing em busca do melhor
caminho a seguir.
O que as empresas podem fazer para se
proteger desse risco emergente?
Os ataques cibernéticos baseados em IA provavelmente
piorarão significativamente nos próximos
cinco anos. Seguir as práticas abaixo recomendadas pode ajudar as corporações
a mitigarem o risco de ataques de engenharia social baseados em IA:
1.
Treine usuários para detectar engenharia social.
O elemento humano é a peça mais crítica em um ataque de
engenharia social. É fundamental que os usuários desenvolvam uma forma saudável
de ceticismo e memória “muscular”, por meio de treinamento regular, testes de phishing
e exercícios de simulação, para que os usuários aprendam a identificar,
bloquear e relatar ações suspeitas logo quando estas surgem.
De acordo com o estudo de
benchmarking da empresa KnowBe4, os usuários que passam mais horas em
treinamento de segurança mostram uma taxa de sucesso significativamente maior
se defendendo contra phishing, em comparação com aqueles que recebem
menos prática. A porcentagem de usuários que são vítimas de golpes de
engenharia social cai de 32,4% para 5%, após um treinamento mensal regular
realizado por um ano, como o de conscientização em segurança e resistência a phishing
para evitar danos causados por crimes cibernéticos, realizado pela nossa
empresa, a Pagliusi inteligência em Cibersegurança.
2.
Implante controles de segurança baseados em IA.
Implemente ferramentas de segurança que aproveitem alguma
forma de tecnologia de IA para analisar, detectar e responder a formas
avançadas de engenharia social. Por exemplo, ferramentas que usam IA para
inspecionar o conteúdo, o contexto e os metadados de todas as mensagens e URLs
(na web, bate-papo e e-mail) para detectar sinais reveladores de phishing.
A IA pode ajudar a coletar e processar grandes quantidades
de dados de várias fontes e aplicar modelos de aprendizado de máquina para
detectar atividades não autorizadas e movimentos de ataques laterais. A IA pode
ajudar na resposta a incidentes cortando a rede, isolando dispositivos
infectados, notificando administradores, coletando evidências e restaurando backups.
3.
Implemente uma autenticação mais forte.
Uma solução de segurança que quase todo especialista em
segurança recomenda é a autenticação multifatorial (MFA, na sigla em inglês). O
MFA é uma ótima maneira de impedir que um invasor assuma a conta de uma vítima,
mesmo que as credenciais dela tenham sido comprometidas.
As
evidências revelam que as próprias soluções tradicionais de MFA são
propensas à engenharia social. É por isso que é importante investir em MFA
resistente a phishing, para que nenhuma IA nem um adversário humano
possam aplicar engenharia social no MFA de uma vítima.
Conclusão
A tecnologia de IA vem avançando tão rapidamente que os hackers estão desenvolvendo seus próprios aplicativos de IA personalizados, projetados especificamente para levar a engenharia social para o próximo nível.
As corporações devem, portanto, ficar atentas e considerar uma abordagem aprofundada de defesa cibernética – uma combinação de ferramentas de segurança baseadas em IA (uma arma secreta contra a engenharia social), coaching/treinamento, processos e procedimentos – porque a IA é bem capaz de criar uma engenharia social com superpoderes.
[1]
Phishing é uma técnica de crime cibernético que usa fraude e engano para
manipular as vítimas para que cliquem em links maliciosos ou divulguem
informações pessoais confidenciais.