0
0
O jogo cibernético é agora toda uma economia clandestina envolvida em ataques cibernéticos. Graças ao aumento do atrito internacional e à atividade de grupos como o Lapsus$, os cibercriminosos aumentaram a aposta no cibercrime para obter lucro. Atakama descreve suas principais previsões de segurança cibernética para 2023.
A IoT combina com a Shadow IT para criar uma dor de cabeça de segurança
Com 43 bilhões de dispositivos conectados à internet em 2023, os atacantes não têm escassez de alvos. Embora os dispositivos IoT possam fornecer recursos produtivos em ambientes comerciais, os riscos são muitos. Os fabricantes priorizam a conveniência e o apelo do consumidor sobre os fundamentos da segurança. Sem surpresa, os dispositivos geralmente são implantados com credenciais fracas ou padrão.
Para piorar a situação, a IoT proliferou dentro dos sistemas de TI ocultos, deixando câmeras, microfones e sensores já fracamente protegidos bem fora do controle das plataformas de segurança organizadas. Mesmo dentro de um perímetro forte, um dispositivo IoT mal configurado é uma má notícia. A suscetibilidade aumenta muito quando o mesmo dispositivo IoT mal configurado está dentro de um sistema de TI oculto.
O aumento de ataques sofisticados de ransomware coloca a exfiltração de dados no centro das atenções
A crescente prevalência e sofisticação de ataques direcionados a dados confidenciais continuará a atormentar as organizações em 2023 e além. Ataques duplos de extorsão, dão um impacto ainda maior ao criptografar dados confidenciais e proprietários, retêm-nos como resgate e, pior ainda, publicam os dados na dark web, a menos que as organizações desembolsem o dinheiro. Como diz o Relatório de Investigações de Violação de Dados da Verizon 2022: “Agora existem mais maneiras de os invasores monetizarem os dados”.
Esses ataques aumentarão à medida que os criminosos cibernéticos acharem relativamente fácil violar as defesas das organizações e sacar.
Em resposta, as organizações precisarão olhar além das práticas convencionais de proteção de dados em direção a tecnologias que protegem os dados na fonte, como criptografia multifatorial para tornar arquivos inúteis para agentes de ameaças que não poderão acessar os dados, mesmo que ainda estejam dentro do perímetro de segurança ou exfiltrado com sucesso.
DevSecOps sobe um nível
Proteger os ambientes do desenvolvedor se tornará um dos componentes mais críticos para alcançar a segurança ideal para as organizações em 2023. Conte com ameaças cibernéticas altamente elaboradas direcionadas a essas infraestruturas complexas, como visto com o sucesso do ataque SolarWinds, que continua a inspirar agentes mal-intencionados porque o desenvolvimento de aplicativos é um alvo tão rico. A inserção de algumas linhas de código malicioso pode potencialmente abrir milhares de entidades na cadeia de suprimentos de parceiros e clientes.
Práticas intensificadas de DevSecOps alinhadas com arquiteturas de confiança zero e soluções avançadas de criptografia se tornarão mais comuns à medida que as organizações perceberem que essas abordagens são uma necessidade comercial crítica.
As pessoas continuarão sendo o elo mais fraco na cadeia de segurança das equipes cibernéticas
Infelizmente, as pessoas continuarão sendo a principal fonte de risco de segurança cibernética em qualquer organização. Apesar de todo o treinamento, é provável que os funcionários forneçam aos invasores um ponto de entrada por meio de engenharia social, phishing ou lapsos que incluem o compartilhamento de senhas e credenciais de login. O relatório da Verizon 2022 descobriu que o “elemento humano” era um “principal fator” em 82% das violações de dados.
Ameaças internas de funcionários corruptos ou indivíduos rancorosos continuarão a ser uma preocupação séria. Ameaças de funcionários de organizações parceiras e fornecedores terceirizados exigirão vigilância contínua e maior implementação de estratégias de confiança zero.
Mais consciência das responsabilidades do CISO
A convicção de violação de dados da Uber deste ano vai focar muitas mentes no C-suite de que a função de CISO é aquela que carrega responsabilidades éticas significativas.
A segurança cibernética, como muitas outras profissões, possui um código de ética que se espera de seus profissionais. Os indivíduos encarregados da segurança e privacidade dos dados devem se comportar de forma ética.
Sabemos que o cenário de segurança cibernética nem sempre é um campo de jogo nivelado e mesmo as equipes de segurança cibernética mais éticas e altamente técnicas não podem impedir os invasores mais determinados.
2023 pode ser um ano mais volátil para os CISOs, pois eles lidam com as pressões de manter uma postura de segurança rígida, ao mesmo tempo em que evitam a culpa quando os ataques são bem-sucedidos.
Eles provavelmente contam com diplomas em disciplinas de segurança da informação e uma ampla gama de certificações profissionais, como CISSP. O importante é que os CISOs atualizem constantemente seus conhecimentos, porque não são apenas as ameaças que irão se desenvolver, as soluções também, e eles precisam se manter atualizados.
Daniel H. Gallancy , CEO da Atakama acrescenta: “As ameaças cibernéticas continuarão a proliferar em número e crescer em sofisticação ao longo de 2023. Embora as práticas básicas de segurança evitem muitas violações, as organizações precisarão de soluções mais avançadas para se protegerem das consequências devastadoras de um ataque bem-sucedido”.
FONTE: HELPNET SECURITY