0
0
Nos últimos anos, houve uma mudança dramática na forma como as organizações se protegem contra os atacantes. O modelo de trabalho híbrido, a digitalização acelerada e o aumento do número de incidentes de ransomware mudaram o cenário de segurança, tornando os trabalhos dos CISOs mais complexos do que nunca.
Este ambiente complicado requer uma nova mentalidade para defender, e coisas que poderiam ter se mantido verdadeiras no passado podem não ser mais úteis. As datas de validade dos certificados digitais ainda podem ser gerenciadas em uma planilha? Criptografia é “pó mágico”? E os humanos são realmente o elo mais fraco?
1. Comprar mais ferramentas pode reforçar a proteção contra segurança cibernética
Uma das maiores armadilhas em que as empresas caem é a suposição de que precisam de mais ferramentas e plataformas para se proteger. Uma vez que eles têm essas ferramentas, eles pensam que estão seguros.Edge computing: Distribua ou morrahttps://imasdk.googleapis.com/js/core/bridge3.497.0_en.html#goog_409847130 segundos de 26 minutos, 10 segundosVolume 0%
As organizações são atraídas a comprar produtos “apontados como a solução de bala de prata”, diz Ian McShane, CTO de campo do Arctic Wolf. “Isso definitivamente não é a chave para o sucesso.”
Comprar mais ferramentas não necessariamente melhora a segurança porque muitas vezes eles não têm um problema de ferramentas, mas um operacional. “Ao priorizar e abraçar as operações de segurança onde eles podem aproveitar ao máximo seus investimentos existentes em vez de pedalar sem fim através de novos fornecedores e novos produtos, eles percorrerão um longo caminho para abordar o cenário de ameaças em rápida evolução de uma maneira que atenda às necessidades únicas de seus negócios”, diz McShane.
2. O seguro cibernético é uma solução para transferir riscos
Teoricamente, o seguro cibernético permite que as organizações evitem o custo de um potencial ataque cibernético. No entanto, a questão é mais matizada. O custo de um incidente de ransomware, por exemplo, expande-se muito além de seu impacto financeiro direto, pois inclui coisas como clientes irritados e danos à reputação.
“[O seguro cibernético] deve ser uma peça, mas não a pedra angular de sua estratégia de resiliência cibernética”, diz Jeffrey J. Engle, presidente da Conquest Cyber. “Os requisitos, exclusões e prêmios da linha de base estão subindo e a cobertura está caindo vertiginosamente.”
3. Conformidade é igual a segurança
Como o Corpo de Fuzileiros Navais dos EUA gosta de dizer, estar pronto para inspeção é uma coisa, mas estar pronto para o combate é outra. “Muitas empresas se concentram demais em atender aos requisitos de conformidade e não o suficiente para serem verdadeiramente seguras”, diz Ian Bramson, chefe global de cibersegurança industrial do ABS Group.
Verificar todas as caixas de conformidade nunca é suficiente, diz ele, porque estar em conformidade significa apenas atender aos padrões mínimos. “É preciso um programa muito mais abrangente e individualizado para alcançar um estado avançado de maturidade cibernética”, acrescenta Bramson.
4. Se tudo estiver registrado, você está em conformidade
Muitas empresas mantêm registros, mas poucos os analisam corretamente. “Se você não está revisando proativamente os registros e caçando automaticamente ameaças conhecidas, você falhou em entender as ameaças cibernéticas modernas”, diz Gunter Ollmann, CSO da Devo Technology. “Seria melhor imprimi-los os troncos e queimá-los para aquecer seus escritórios corporativos.”
Os melhores registros são simples e estruturados, mas têm informações suficientes para ajudar os pesquisadores a investigar um incidente. Em vez de registrar verificações de status sem intercorrências ou verificações de sistema, os profissionais que projetam logs devem se concentrar em mudanças e exceções.
5. Você pode gerenciar todos os certificados digitais implantados em sua rede corporativa manualmente com uma planilha
As empresas dependem de milhares de certificados digitais que estão ao vivo em qualquer ponto, e manter o controle de todos manualmente é impossível. Um desses certificados de expiração pode causar falhas em cascata, como paralisações de sistemas críticos.
“Não é mais possível governar, proteger e autenticar essas identidades usando planilhas e métodos manuais de implantação e revogação de certificados digitais”, diz Ed Giaquinto, CIO da Sectigo. “Pior ainda, um único certificado expirado pode fornecer aos maus atores a oportunidade perfeita para se infiltrar em uma rede corporativa e causar estragos.”
6. Seus dados são mais seguros na nuvem
Cerca de metade de todos os dados corporativos são armazenados na nuvem, e as empresas podem estar confiando demais na forma como são protegidos. “Certamente esses dados são tão preciosos para os provedores de serviços em nuvem quanto para as empresas que produzem e dependem dele, certo? Errado”, diz Simon Jelley, gerente geral de proteção, endpoint e executivo de backup da Veritas Technologies.
Muitos provedores de nuvem não fornecem garantias de que um cliente que usa seu serviço terá seus dados protegidos. “Na verdade, muitos chegam ao ponto de ter modelos de responsabilidade compartilhada em seus termos e condições, o que deixam claro que os dados de um cliente são sua responsabilidade de proteger”, diz Jelley.
7. Segurança é o trabalho do departamento de segurança ou equipe de segurança
“Todos têm uma due diligence ou responsabilidade para garantir que eles pratiquem operações de negócios éticas”, diz Omotolani Olowosule, doutorando na Universidade de Loughborough, no Reino Unido. “A conscientização e o bom comportamento de segurança devem ser aplicados em toda a organização.”
Olowosule acrescenta que funcionários menos conscientes em departamentos não-TI devem receber treinamento adequado para garantir que eles entendam o risco e saibam como lidar com alguns dos problemas mais frequentes.
8. O treinamento de segurança de cliques por ano proporciona aos funcionários conhecimento adequado
Muitas empresas exigem que seus funcionários participem regularmente de treinamentos de segurança on-line. As pessoas assistem a um pequeno clipe e respondem algumas perguntas. Embora as pessoas ace o teste, este tipo de aprendizado não é necessariamente eficaz.
“Ele não fornece conteúdo que seja envolvente”, diz a consultora de segurança Sarka Pekarova. “Isso não chama a atenção deles e os faz lembrar dos princípios ensinados ou dos processos e procedimentos necessários em caso de incidente de segurança.”
9. A contratação de mais pessoas resolverá o problema da segurança cibernética
Em vez de procurar pessoas para contratar, as empresas devem priorizar a retenção de seus profissionais de segurança cibernética. Eles devem investir neles e oferecer-lhes a chance de ganhar novas habilidades.
“É melhor ter um grupo menor de profissionais de TI altamente treinados para manter uma organização a salvo de ameaças e ataques cibernéticos, em vez de um grupo maior díspare que não esteja equipado com as habilidades certas”, diz McShane. “Embora a contratação de novos membros da equipe possa ser benéfica, o tempo e o dinheiro gastos por uma empresa na contratação de novos funcionários podem ser usados de forma mais eficaz para reforçar sua infraestrutura de segurança.”
10. Os humanos são o elo mais fraco
A maioria dos ataques começa com as pessoas, mas as organizações devem parar de culpá-las e ter uma abordagem holística, diz a consultora de segurança Sarka Pekarova. Ela sugere mudar essa ideia. “Se fornecermos aos humanos o apoio certo, eles prosperarão e se tornarão o elo mais forte da nossa rede”, diz ela.
Usamos “ativos humanos” por uma razão, acrescenta. Se políticas e procedimentos adequados estiverem em vigor, como a confiança zero, e se as pessoas receberem apoio suficiente, elas podem aumentar a segurança de uma organização.
11. Tudo pode ser automatizado
A automação de processos relacionados à segurança pode parecer atraente para uma organização porque pode economizar tempo e dinheiro. Ainda assim, deve ser usado com moderação. “Confiar cegamente na automação pode realmente criar lacunas na qualidade e precisão de uma avaliação de segurança”, diz Steven Walbroehl, co-fundador da Halborn e CISO. “Isso leva a vulnerabilidades negligenciadas e cria riscos imprevistos à segurança.”
Walbroehl argumenta que certas tarefas complexas são melhor deixadas aos humanos porque exigem intuição e instinto, que as máquinas não têm. “Ainda não vi uma ferramenta automatizada que possa simular o processo de pensamento realizado por um testador de penetração qualificado tentando hackear ou explorar etapas na lógica de negócios ou autenticação sofisticada”, diz ele.
12. Se resolvermos para o último ataque, estaremos seguros
As empresas geralmente se concentram no ataque mais recente, perdendo outras coisas relevantes e não construindo capacidades suficientes para evitar incidentes futuros. “Só focar no que aconteceu é uma boa maneira de ser atingido pelo que vem a seguir”, diz Bramson. “Ameaças e ataques estão em constante mudança. Você precisa ter um programa que se adapte e se prepare para o desconhecido.”
13. Alterar sua senha a cada 90 dias tornará suas contas mais seguras
“Exigir que seus usuários alterem suas senhas em algum horário só garante que eles terão senhas terríveis”, diz Dan Petro, pesquisador principal da Bishop Fox. Segundo ele, é a maneira perfeita de os usuários escolherem senhas curtas e simples como “Winter2022”.
William Malik, vice-presidente de estratégias de infraestrutura da Trend Micro, concorda. “Os maus atores pulverizam senhas quando recebem um monte deles – o que é muito mais frequentemente do que a cada 90 dias.” Ele acrescenta que o uso de caracteres especiais não tornará as senhas mais seguras. Em vez disso, os usuários devem ser encorajados a escolher senhas longas e ativar a autenticação de vários fatores.
14. Se os dados forem sensíveis, criptografe-os
“Muitos desenvolvedores tratam a criptografia como pó mágico de fada: você a polvilha sobre dados e ela magicamente se torna segura”, diz Petro. Muitas vezes, os desenvolvedores não pensam sobre onde a chave está armazenada ou quem é o invasor em certos cenários. “A criptografia é um assunto complicado e muitos desenvolvedores acabam se envoltando em uma falsa sensação de segurança pensando que eles “criptografaram” seus dados e por isso é seguro”, acrescenta.
15. Se o site tiver um bloqueio verde ao lado da URL, então esse site está seguro
Talvez isso fosse verdade há uma ou duas décadas atrás, quando o tráfego raramente era criptografado, e o custo de obter um certificado HTTPS válido era alto. Hoje, os cibercriminosos podem obter certificados para seus sites maliciosos gratuitamente.
“Meu conselho: verifique os sites do seu mecanismo de busca favorito primeiro e, em caso de dúvida, digite sempre sua URL manualmente, em vez de clicar em links”, diz Dan Demeter, pesquisador de segurança da Kaspersky.
16. Somos pequenos demais para ser um alvo
Ainda hoje, muitas empresas acreditam que não são relevantes o suficiente para serem vítimas de um ataque cibernético. “Se você tem uma exposição, você é um alvo… e todo mundo tem exposição”, diz Bramson. “Os atacantes cibernéticos podem especificamente atingir uma empresa, ou podem estabelecer ataques gerais, para ver quem é pego em sua rede. De qualquer forma, você vai sofrer um ataque em algum momento.
Os dados dos clientes são uma mercadoria valiosa vendida na dark web, e sites comprometidos podem fornecer malware. “Muitas vezes, as SMBs não têm recursos para implementar e gerenciar um programa adequado de segurança da informação, tornando-os presas fáceis”, diz Giaquinto.
17. Ameaças graves são responsabilidade do governo
Quando se trata de segurança, toda organização deve fazer sua parte. “Os federais não podem protegê-los a todos – eles têm dificuldade o suficiente para se proteger do ataque implacável de ataques por ameaças persistentes avançadas”, diz Engle.
Leis e regulamentos são como recalls de veículos, acrescenta. “Tem que haver um monte de acidentes para que o governo escreva, vete e aprove algo e então ele sai. Então, a ação do governo normalmente vem bem depois que o risco é amplamente realizado”, diz Engle.
18. Os ataques da cadeia de suprimentos podem ser interrompidos corrigindo todos os softwares e hardwares internos de terceiros
DJ Sampath, co-fundador e CEO da Armorblox, deseja que fosse simples assim. “Embora bugs de software e sistemas não reparados forneçam aos atacantes uma superfície de ataque perfeita para operar, eles não são os únicos meios à sua disposição”, diz ele. “As empresas precisam dar uma olhada abrangente na gestão de seus fornecedores, incluindo compromisso de e-mail de negócios (BEC), aquisições de contas e movimentos laterais dentro do ambiente de um fornecedor.”
O custo da inação pode ser alto. “Um estudo de caso que exemplifica esse perigo é a condenação de um homem lituano por roubo de mais de US$ 120 milhões em um esquema fraudulento do BEC”,acrescenta Sampath.
19. Seus dados estão seguros atrás do firewall corporativo
O modelo híbrido tirou as empresas de sua zona de conforto. “Com todos trabalhando em casa, a rede corporativa não é mais o perímetro de segurança”, diz Giaquinto. “Agora eles têm que se concentrar novamente na aplicação de técnicas de confiança zero e entender que a identidade – independentemente da localização – é o novo perímetro de segurança.”
As organizações estão implementando soluções inovadoras de infraestrutura pública (PKI), que “desempenham um papel fundamental na habilitação de ambientes de confiança zero, consolidando e automatizando a implantação, descoberta, gerenciamento e renovação de certificados digitais que verificam identidades de dispositivos, usuários e entidades”, diz Giaquinto.
20. Testes extensivos de software podem evitar ataques
Testar o software é sempre uma boa ideia, e fazê-lo diligentemente ajuda. Mas os atacantes ainda podem encontrar vulnerabilidades, diz Satya Gupta, co-fundadora e CTO da Virsec. Ele menciona PrintNightmare. “Nesta vulnerabilidade, em julho de 2021, a Microsoft corrigiu o código para o Windows 2003. Claramente, a Microsoft é rica em recursos, mas não conseguiu encontrar a vulnerabilidade”, diz ele.
Nos últimos anos, um número crescente de organizações criou programas de recompensa por bugs para incentivar hackers de chapéu branco. Se não forem gerenciados corretamente, esses programas podem fornecer uma falsa sensação de segurança.
21. Carregar o código Java arbitrário não confiável remoto é perfeitamente seguro
“Isso pode soar como a coisa mais óbvia do mundo, mas então por que aparentemente todos os programas Java ainda fazem isso?”, pergunta Petro. “Talvez 2022 seja o ano em que os programas Java finalmente param de carregar intencionalmente código remoto arbitrário. Pode-se esperar.
22. Devemos permitir que a aplicação da lei descriptografe a comunicação criptografada de ponta a ponta para que eles nos mantenham seguros
Governos de todo o mundo estão lutando contra a aprovação de uma legislação que permitiria às instituições policiais interceptar, armazenar e até mesmo descriptografar mensagens instantâneas trocadas em aplicativos como WhatsApp, Telegram e Signal.
“O retrocesso contra tais leis da sociedade civil e especialistas em segurança está em princípios firmes: cada indivíduo tem um direito inalienável à privacidade”, diz Sabina-Alexandra Stefanescu, pesquisadora independente de segurança. Em países onde jornalistas e ativistas estão enfrentando dura opressão vinda do partido ou coalizão no poder, mensagens criptografadas e armazenamento de arquivos são os últimos bastiões à sua disposição para conduzir suas investigações.”
O pesquisador independente argumenta que esse tipo de legislação pode fazer mais mal do que bem porque pode tornar cada pessoa vulnerável e cada dispositivo menos seguro.
FONTE: CSO ONLINE