Pense como um hacker: como as empresas podem impedir o crime cibernético
16 de janeiro de 2023
VISÃO GERAL
À medida que as ameaças cibernéticas continuam crescendo, as organizações devem compreender o alcance de sua exposição ao crime online e a qualidade de suas defesas. Avaliar seus controles de segurança pode desempenhar um papel crucial na validação e nas fortalezas de suas proteções.
A pesquisa 2022 Executive Risk da Aon, realizada com diretores executivos e de alto posto, constatou que 40% dos entrevistados consideraram que suas organizações estavam dedicando muito tempo para enfrentar ameaças derivadas de ataques cibernéticos. Já o Relatório de Comparação do Impacto dos Ativos Intangíveis nos Estados Financeiros , realizado com a participação de profissionais envolvidos no gerenciamento de riscos cibernéticos corporativos das principais empresas da América Latina, constatou que os incidentes cibernéticos são qualificados como o maior perigo para as organizações da região. Segundo 84% dos entrevistados, ameaças cibernéticas estão entre os riscos empresariais mais graves, seguidos da ameaça à propriedade intelectual, apontada por 82% dos participantes.
Os testes de segurança cibernética identificam exatamente onde uma organização pode estar vulnerável a ataques, permitindo que elas reforcem suas defesas de maneira adequada. Esses testes são mais do que um exercício técnico, também ajudam a compreender a reação humana diante dessas situações.
“As equipes de segurança cibernética analisam de maneira integral a um cliente, sua rede e suas possíveis vulnerabilidades. Esses testes são valiosos dentro da estratégia de segurança cibernética”, comenta Sergio Torres, Specialty Leader – Financial & Professional Services, Cyber & Financial Institutions da Aon para a América Latina.
EM PROFUNDIDADE
Entre aqueles que fazem testes de segurança cibernética, estão os “Red Teams” – grupos que desempenham o papel de invasores cibernéticos sofisticados para ajudar a identificar vulnerabilidades.
“Em qualquer outro contexto, o que eles fazem seria ilegal”, afirma Torres. “Em alguns casos, durante essas avaliações, eles vão fisicamente a lugares para testar a segurança e podem ser contratados como um ‘novo funcionário’, para avaliar a rapidez que conseguem invadir e causar danos à rede. Os ‘Red Teams’ realizam todos os tipos de manipulação para identificar vulnerabilidades do sistema, assim como criminosos cibernéticos reais o fariam”, completa.
Testando a segurança cibernética
Os testes de segurança cibernética podem envolver vários elementos, incluindo o “Red Team” e as avaliações de engenharia social em segurança cibernética, que consiste em testar a resiliência cibernética de uma organização, tentando explorar vários vetores de ataques diferentes, incluindo seus próprios colaboradores.
“Quando fazemos testes de engenharia social, avaliamos não só quantos usuários estão clicando em um link e inserindo seus dados, mas apresentamos também uma análise de quão seguras suas senhas são”, explica Torres. “Definir requisitos de senha mais rígidos e identificar quais delas já foram comprometidas pode ajudar as organizações a reduzir o risco de ataques e a ter uma engenharia social bem-sucedida”, completa.
Manter a segurança cibernética também pode incluir o teste do hardware de uma organização e suas conexões com dispositivos, que se enquadram no conceito de ‘Internet das coisas’ (do inglês Internet of Things – IoT), que é a conexão entre objetos físicos e dispositivos digitais para a troca de dados. Essa forma de teste procura pontos fracos no código do computador, vulnerabilidades em hardware não protegido ou vulnerabilidades nas tecnologias IoT da organização.
Um processo em constante evolução
Realizar um ataque cibernético é mais fácil do que nunca, por isso a natureza dos testes de segurança cibernética evolui junto com o aprimoramento de aplicativos da web e com o aumento da digitalização dos negócios.
Marco Mendes, Cyber Product Leader para a Aon no Brasil, explica que, desde o surgimento da Web 2.0 ou de sites e aplicativos que incorporam o conteúdo gerado pelo usuário, o teste dos apps se tornou o mais predominante. Os tipos de ameaças na web também estão evoluindo e os testadores de segurança cibernética têm que se manter atualizados.
“É sempre um jogo de gato e rato”, afirma o especialista. “Quando as empresas descobrem maneiras de interromper certos ataques, outras formas de atacar são criadas. Tudo acontece com extrema velocidade, porque coisas como ransomware se tornaram um empreendimento muito bem remunerado. Um hacker ofensivo realmente investe o seu tempo fazendo pesquisas para encontrar novos tipos de ataque.”
Abordando o Fator Humano
Com uma porcentagem tão grande de ataques cibernéticos baseados em engenharia social, como golpes de phishing, que são tentativas dos cibercriminosos para induzir um usuário a fornecer informações pessoais, os testadores de segurança cibernética devem sempre considerar o comportamento humano.
“Com muitas das análises de engenharia social, realmente estamos testando os empregados. É comprovado que, se você tiver 100 empregados, alguém clicará nesse link”, afirma Mendes.
Por fim, é necessário fazer uma combinação de treinamentos corporativos e de controles técnicos para ajudar a reduzir o risco de ameaças cibernéticas dentro das organizações.
“É preciso configurar seus controles técnicos para bloquear esses e-mails e que eles de fato não cheguem. Além disso, é fundamental treinar o público interno para garantir que todos saibam como lidar adequadamente com os e-mails que chegam”, completa.
Os benefícios dos testes abrangentes
O uso de um “Red Team” pode ser a ferramenta mais completa no arsenal da segurança cibernética de uma empresa. “Quando uma empresa escolhe esse tipo de testes, receberá uma avaliação mais assertiva sobre o estado de sua segurança cibernética. Nas tentativas de quebrar todos os aspectos da segurança de uma organização, os ‘Red Teams’ podem, em última instância, ajudar a proteger o acesso às redes e aos dados dos empregados”, assegura Mendes.
