A chave para evitar violações de dados no atual cenário de segurança cibernética é entender exatamente como elas acontecem e cobrir toda a sua superfície de ataque. Deixe-nos guiá-lo pela anatomia da perda de dados e mostrar pontos fracos específicos que podem afetar a segurança de seus dados.
Números de violação de dados em ascensão
Ano após ano, os números de violação de dados continuam crescendo. De acordo com o Relatório Anual de Violação de Dados de 2021 do Identity Theft Resource Center , em 2021, as organizações relataram 1.862 violações de dados, em comparação com 1.108 em 2020.
Enquanto as maiores violações de dados como Equifax ou Yahoo! fazem as manchetes, não é necessariamente sobre os números. Para pequenas empresas, uma violação de segurança aparentemente menor pode ter sérias consequências, levando até mesmo ao fechamento. No caso de indústrias voláteis, o tipo de dado sensível que se perde, como números de cartão de crédito, informações financeiras ou dados médicos, pode incorrer em pesadas multas, além de ter um grande impacto sobre os proprietários desse tipo de dados.
O número crescente de violações de dados pode ser atribuído principalmente ao crescente interesse criminoso nos dados. Quanto mais avançamos em direção a uma sociedade digital, maior o valor dos dados para os criminosos. Um vazamento de informações confidenciais, como números de previdência social, juntamente com outros dados pessoais e/ou PII, pode permitir que os cibercriminosos assumam identidades no mundo digital com facilidade.
A maioria das violações de dados é, de fato, resultado de atividades criminosas. Phishing e ransomware são citados pelo Centro de Recursos de Roubo de Identidade (ITRC) como as principais ameaças à segurança e as principais causas de comprometimento de dados. O ITRC também afirma que houve mais comprometimentos de dados relacionados a ataques cibernéticos (1.603) em 2021 do que todos os comprometimentos de dados em 2020 (1.108).
Anatomia de um ataque cibernético
A falta de compreensão da segurança cibernética pode ser uma das principais razões pelas quais nem todas as organizações têm prevenção suficiente contra violação de dados. E isso pode ser parcialmente atribuído à mídia, que se concentra em termos populares como phishing e ransomware e faz muitos acreditarem que, se estiverem bem protegidos contra esses dois tipos de ataques cibernéticos, poderão descansar. Infelizmente, isso está muito longe da verdade.
Quase todo ataque cibernético é uma cadeia complexa de atividades que envolve não apenas computadores, mas principalmente seres humanos e suas fraquezas. Os hackers maliciosos mais famosos da história, como Kevin Mitnick, não eram apenas mestres em computadores, mas, mais importante, mestres em engenharia social. Um ataque cibernético que leva a uma violação de dados pode levar muito tempo, até vários meses, e pode significar que o invasor estabelece recursos, faz reconhecimento e usa muitas técnicas diferentes no caminho.
Por exemplo, um invasor pode começar encontrando uma vulnerabilidade da Web de script entre sites (XSS) em um dos sites secundários de propriedade da organização, como um site de marketing. Ao mesmo tempo, descobririam a estrutura organizacional e selecionariam os principais usuários como alvos. Os usuários-alvo seriam atingidos por um ataque de spear phishing que usaria o XSS encontrado anteriormente. A falta de prevenção contra perda de dados (DLP) possibilitaria que o usuário expusesse suas credenciais de login ao invasor. Em seguida, o invasor verificaria se as mesmas credenciais funcionam para sistemas diferentes e poderia descobrir se eles poderiam obter acesso ao aplicativo da Web comercial principal da organização. Esse acesso não autorizado pode levar o invasor a encontrar mais riscos de segurança, obter mais permissões e, por fim, instalar um shell da Web que permita ao invasor executar comandos usando o sistema operacional do servidor da Web. Isso, por sua vez, possibilitaria a instalação de ransomware.
Como você pode ver, o ransomware é apenas uma pequena etapa final do ataque, e nenhum software de proteção contra ransomware ajudaria se as etapas anteriores pudessem ser executadas pelo invasor. A mídia, e até mesmo o ITRC, trata o ransomware como a causa raiz das violações de dados (porque é um termo “sexy”), sem focar no fato de que o ransomware deve primeiro abrir caminho para os sistemas de alguma forma por meio de fraquezas nos sistemas de computador e no comportamento humano.
Prevenção através de cobertura completa
Para evitar situações como o exemplo acima, as organizações devem garantir que suas políticas de segurança se concentrem na proteção abrangente e não apenas para atender aos requisitos de conformidade. Infelizmente, muitas organizações chegam apenas ao ponto de passar por auditorias e avaliações, o que resulta na cobertura inadequada de grande parte da superfície de ataque.
A segurança cibernética deve ser tratada exatamente da mesma forma que a segurança física – não há vantagem em instalar fechaduras extras na porta se a janela puder ser facilmente quebrada. O desafio para muitas organizações é o fato de que a segurança cibernética é um assunto muito complexo e é difícil encontrar todas essas janelas e portas. E a atual lacuna de talentos em segurança cibernética não está ajudando as organizações que lutam para contratar gerentes de segurança bem treinados e experientes.
Aqui estão algumas das áreas que muitas vezes são deixadas insuficientemente protegidas:
- O fator humano continua sendo o maior risco para a cibersegurança. A educação ajuda a reduzir o erro humano, a negligência, os golpes e o phishing, mas mesmo que você treine bem os funcionários, isso não ajudará a evitar atos maliciosos intencionais. O software de proteção contra malware não é suficiente para impedir que os humanos causem danos por meio de seu comportamento intencional e não intencional. Ele deve ser emparelhado com outras soluções, como software de prevenção de perda de dados (DLP) . O primeiro impede a instalação de software malicioso no terminal, enquanto o último impede o compartilhamento manual de informações confidenciais fora da empresa, por exemplo, por meio de mídia social, bem como a transferência do disco rígido do laptop para uma mídia portátil sem proteção de dados suficiente (criptografia).
- Os primeiros estágios dos ataques cibernéticos geralmente se concentram no fator humano, mas alguns deles começam encontrando pontos fracos nos sistemas de computador. Embora apenas alguns anos atrás fosse principalmente uma questão de segurança de rede e atualização de seus sistemas assim que os patches de segurança estivessem disponíveis, a mudança para a nuvem e a abundância de tecnologias da web não apenas em aplicativos, mas também APIs e tecnologias móveis mudaram o foco para a segurança de aplicações web. Muitas organizações ainda vivem no passado e se concentram na segurança da rede, não tratando as vulnerabilidades e configurações incorretas da Web com a devida diligência e, em vez disso, pensando que uma VPN e um firewall de aplicativo da Web será suficiente. As organizações também lutam para entender as complexidades das infraestruturas de nuvem e pensam que nomes sofisticados, como CSPM e CWPP, protegerão todas as camadas, perdendo a camada crítica de aplicativos.
Outro problema é que os especialistas em segurança cibernética geralmente não conseguem entender a psicologia do usuário. Um exemplo claro disso é a frequência com que as equipes de segurança cibernética não entendem a abordagem dos usuários em relação às senhas . Ao forçar os usuários a criar senhas que incluam letras maiúsculas, números e caracteres especiais, a maioria das pessoas acaba usando senhas semelhantes a “Senha1!”, que são triviais de quebrar e não são senhas fortes. Forçar os usuários a alterar as senhas todos os meses também os faz simplesmente alterar “Senha1!” em “Senha2!” e reutilizar suas senhas em todos os sistemas. Em vez disso, as organizações devem adotar tecnologias mais recentes, como autenticação multifator, bem como biometria e chaves de hardware, e promover soluções como gerenciadores de senhas entre seus usuários.
A receita para o sucesso?
Não existe uma receita simples para manter a melhor postura de segurança possível e evitar violações de dados em 2023. Sua melhor aposta é contratar as pessoas certas, certificar-se de que você não está vivendo no passado e entender que, para cobrir todas as suas bases, você precisará muitas tecnologias, soluções e medidas de segurança diferentes, e não é suficiente obter um pacote caro de um grande provedor de segurança que usa palavras complicadas em suas campanhas de marketing.
Talvez DLP ou DAST não fossem necessários 10 anos atrás e você pudesse contar com um software antivírus e um firewall, mas no mundo da segurança cibernética a situação muda muito rapidamente e você precisa estar atento. Contanto que você aborde a segurança cibernética com a mente aberta e certifique-se de que ela nunca se torne um silo em sua organização, você terá uma chance melhor do que muitos de evitar uma violação de dados.