Ataques cibernéticos em empresas

Além do Cyber Básico: Bug Bounties e Ataques Cibernéticos

Ir para outra seção

Visão Geral

Já se fazem dois anos do WannaCry, ataque de ransomware considerado “o pior desastre digital a atingir a Internet em anos” pela Revista Wired.  Ao explorar uma vulnerabilidade do sistema operacional, o ransomware corrompeu dados em cerca de 200 mil computadores de 150 países e, depois, exigiu pagamentos para a restauração dos acessos. O custo dos danos foi estimado em bilhões de dólares.

Com perdas dessa amplitude e as futuras regulamentações, como o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e a Lei Geral de Proteção de Dados no Brasil (LGPD), fica claro que cyber continua sendo uma questão prioritária para empresas, governos e a população em geral. Abordar o risco cibernético tornou-se ainda mais complicado pela multiplicidade de pontos de entrada que os hackers podem explorar – e não são apenas software e hardware. Simples erros humanos ou intenções maliciosas dos funcionários também desempenham um papel significativo. Todos os colaboradores que clicam automaticamente em um anexo podem liberar um vírus incapacitante por toda a empresa.

No entanto, apesar das crescentes violações e regulamentações, muitas organizações ainda não possuem os elementos básicos de uma segurança cibernética. Outras, no entanto, estão tentando se concentrar na segurança proativa para aumentar seus esforços em diferentes frentes. E essas táticas – incluindo red teaming e bug bounties – abriram uma nova frente na batalha contra hackers.

Análise

De acordo com as Previsões de Segurança Cibernética 2018 da Aon, os dias de proteção simples por firewall e softwares de detecção de malware já se foram. Graças à digitalização e às redes em constante expansão por causa da Internet das Coisas, a linha entre os mundos físico e cibernético está se tornando cada vez mais tênue – o que significa um número aparentemente ilimitado de margens para os hackers.

É responsabilidade das empresas acompanhar e adaptar-se a esses avanços. Como tal, os próximos anos terão maior destaque na responsabilidade com regulamentos, como o GDPR da União Europeia e a LGPD do Brasil. Além das pesadas multas decorrentes das novas leis de proteção de dados, os custos potenciais de um ataque podem ter valores astronômicos, prejudicando tanto a reputação de uma empresa quanto as suas finanças. De acordo com o relatório da Aon, o custo global dos ataques de ransomware em 2017 foi de quase US$ 5 bilhões para as empresas, 400% a mais que no ano anterior. Além disso, as empresas gastaram um total de US$ 86,4 bilhões em segurança cibernética, um aumento de 7% em relação ao ano anterior. Conforme o mundo se torna mais conectado, esses números provavelmente continuarão a subir.

Cada aspecto de uma organização é afetado por um ataque cibernético, e esses ataques exigem uma resposta abrangente, que inclua desde o C-Suite e os membros do conselho até os colaboradores operacionais. A exposição cibernética não pode ser abordada com sucesso se visualizada em um silo. Com essa mentalidade, listamos algumas formas inovadoras de combate às ameaças cibernéticas.

SEGURANÇA CIBERNÉTICA NAS EMPRESAS

As violações de dados podem ser tão simples quanto os ataques “spear-phishing” para conseguir senhas, ou podem ser tão sofisticadas quanto dispositivos IoT hackeados, campanhas coordenadas de desinformação ou ataques de botnets. Já foram registrados ataques que ocorreram através de pontos aparentemente inofensivos, como câmeras habilitadas para Wi-Fi, aplicativos fitness e bancos de dados para controle de bugs. O vírus malware foi até mesmo camuflado como um instalador de software popular.

À medida que os métodos de ataque cibernético evoluem, também aumentam as probabilidades de um colaborador ou uma organização parceira cometer um erro. Por enquanto, as empresas podem usar as seguintes abordagens para proteger melhor seus dados.

Abordagens Proativas

Organizações preocupadas com qualquer aspecto de sua segurança devem combater as ameaças testando seus próprios sistemas e pessoas. Construir uma defesa forte consiste em trabalhar com colaboradores e profissionais de segurança e pode ser feita através de exercícios de penetração, também conhecidos como testes de invasão, e exercícios de red teaming.

  • Testes de Invasão

Esses exercícios são ataques simulados autorizados na rede ou na tecnologia de uma empresa. O objetivo é identificar vulnerabilidades e montar uma avaliação de risco completa. Como afirma Justin Clarke-Salt, Diretor Administrativo da Stroz Friedberg, uma empresa da Aon, “uma boa metáfora é uma equipe de segurança testando todas as portas e janelas de uma determinada área para ver quais estão destravadas ou ligeiramente entreabertas. ” Algumas empresas podem precisar suporte externo se não tiverem equipe especializada no local. Sempre que um novo software ou hardware é adotado, ou novas regulamentações exigem conformidade atualizada, um teste de invasão pode ajudar a trazer mais velocidade às organizações.

  • Exercícios de Red Teaming

Esses exercícios são “ataques” inesperados que servem para simular a realidade. Ao contrário dos testes de invasão, que verificam uma ampla variedade de pontos vulneráveis, os exercícios de red teaming são realizados por profissionais de segurança externos – ou hackers de chapéu branco – e procuram apenas identificar e isolar uma única vulnerabilidade. No caso de tal vulnerabilidade ser encontrada, a equipe de segurança mudará o objetivo e verá o quão fundo essa vulnerabilidade pode ir no sistema. Sempre que um ataque vira notícia, os exercícios de red teaming devem ser programados para procurar por fraquezas semelhantes. Da mesma forma, eles são eficazes para testar a tecnologia de detecção de ameaças.

Além de testes de invasão e exercícios de red teaming, as empresas também devem alertar os funcionários sobre malwares recentemente identificados, exigir que a equipe atualize regularmente suas senhas e manter os colaboradores sempre a par de quaisquer ataques recentes relatados.

Trabalhando com o Público em Geral: Programas de Bug Bounty

Em 2017, o gigante e tecnológico Google pagou quase US$ 3 milhões como parte de seu programa de bug bounty. Esses programas são realmente o que parecem – uma “recompensa” é paga por uma organização para que usuários externos encontrem bugs e vulnerabilidades dentro de sua infraestrutura crítica. E não são apenas os gigantes da tecnologia que apostam nesses programas. As empresas que operam programas de recompensas, como cartões-presente e pontos de fidelização – incluindo companhias aéreas, varejistas e fornecedores de hospitalidade – se beneficiarão particularmente das recompensas de bugs.

Embora os programas de bug bounty ajudem a encontrar vulnerabilidades, eles podem exigir o suporte de especialistas externos para evitar a introdução de novos riscos. Nitai Mandhyan, Vice-Presidente de Cyber ​​Proactive Advisory da Stroz Friedberg, adverte que as empresas que usam esses programas devem estar prontas para atuar nas divulgações. “Quando você conhece uma vulnerabilidade crítica, esse conhecimento pode rapidamente se tornar uma responsabilidade se o risco não for rapidamente mitigado. Sem prontidão para a correção, seu programa de gerenciamento de riscos pode inverter e realmente introduzir riscos ”.

Não é difícil imaginar que, nos próximos anos, as organizações continuarão a se associar para fortalecer a linha de defesa contra os ataques cibernéticos.

Parcerias Industriais: Enfrentando as Ameaças Cibernéticas

A necessidade de maior segurança não se limita a uma visão abrangente dentro de uma organização, é necessária uma colaboração mais ampla entre os líderes da indústria. Por exemplo, Allianz, Aon, Apple e Cisco anunciaram uma nova solução de gerenciamento de riscos cibernéticos para empresas, que utiliza os serviços de avaliação de resiliência cibernética da Aon, a tecnologia da Cisco e da Apple, e a cobertura de seguro da Allianz. Esse tipo de parceria sinaliza a necessidade de os líderes do setor se unirem para melhor atender o mercado e trabalhar para proteger os dados do consumidor.

De acordo com Clarke-Salt, “os criminosos procuram atacar empresas menores e mal defendidas que prestam serviços a organizações globais para obter acesso aos sistemas das grandes empresas”.

Além disso, mais de 70% das violações de dados ocorrem agora através de dispositivos usados ​​por indivíduos, como computadores pessoais e smartphones, e espera-se que o número de dispositivos portáteis por funcionário continue crescendo rapidamente.

Portanto, cabe às organizações maiores trabalhar com organizações parceiras para adotar as medidas adequadas de segurança cibernética – como acesso único, armazenamento em nuvem e processamento de cartão de crédito – na esperança de identificar e exterminar as vulnerabilidades de segurança e de TI.

O RESULTADO FINAL PARA CYBER

As organizações precisarão manter a vigilância diante de ameaças constantes. Os clientes estão inclinados a responder positivamente às empresas consideradas responsáveis ​​pelos seus dados pessoais. No caso de um ataque em grande escala e grande divulgação, as empresas devem ser capazes de demonstrar que as precauções foram tomadas e que estão preparadas para responder.

*Este artigo foi adaptado do inglês