0
0
92% das organizações foram vítimas de ataques de phishing bem-sucedidos nos últimos 12 meses, enquanto 91% das organizações admitiram ter perdido dados de e-mail, de acordo com a Egress.
Não surpreendentemente, 99% dos líderes de segurança cibernética confessam estar estressados com a segurança de e-mail . Especificamente, 98% estão frustrados com seu Secure Email Gateway (SEG), com 53% admitindo que muitos ataques de phishing o ignoram.
“A crescente sofisticação dos e-mails de phishing é uma grande ameaça para as organizações e precisa ser tratada com urgência”, disse Jack Chapman , vice-presidente de inteligência de ameaças da Egress. “A detecção baseada em assinatura usada pelo Microsoft 365 e gateways de e-mail seguros (SEGs) pode filtrar muitos e-mails de phishing com anexos e links maliciosos conhecidos, mas os cibercriminosos querem ficar um passo à frente. Eles estão evoluindo suas cargas úteis e cada vez mais se voltando para ataques baseados em texto que utilizam táticas de engenharia social e ataques de uma fonte conhecida ou confiável, como um endereço de e-mail da cadeia de suprimentos comprometido”.
“Infelizmente, os ataques de phishing só se tornarão mais avançados no futuro, pois os cibercriminosos usam tecnologias baseadas em IA, como chatbots, para automatizar e melhorar seus ataques, como adicionar recursos de vídeo e voz ao phishing baseado em texto”, concluiu Chapman.
Segurança de e-mail de entrada e saída
O relatório investiga os ataques de phishing de entrada e a perda e exfiltração de dados de saída, destacando a importância de uma abordagem holística para a segurança de e-mail.
Curiosamente, 71% dos líderes de segurança cibernética pesquisados veem a segurança de e-mail de entrada e saída como um problema unificado a ser resolvido, reconhecendo sua natureza interconectada. A pesquisa continua examinando os controles técnicos e os programas de treinamento e conscientização de segurança (SA&T) implementados para reduzir o risco de segurança de e-mail.
A sofisticação dos e-mails de phishing causa grandes perdas financeiras
86% das organizações pesquisadas relataram que foram impactadas negativamente pela sofisticação de e-mails de phishing e 54% sofreram perdas financeiras devido à rotatividade de clientes após um ataque de phishing bem-sucedido.
Além disso, 40% dos incidentes resultaram na saída de funcionários da organização. Os líderes de segurança cibernética descobriram que 85% dos ataques bem-sucedidos de controle de conta (ATO) começaram com um e-mail de phishing.
Comportamento arriscado leva à perda de dados dispendiosa
A pesquisa descobriu que pessoas cometendo erros ou assumindo riscos para realizar suas tarefas são mais comuns do que pessoas mal-intencionadas. Na verdade, 91% dos líderes de segurança cibernética pesquisados relataram que os dados vazaram externamente por e-mail.
As três principais causas para esses incidentes incluem comportamento imprudente ou arriscado do funcionário, como transferência de dados para contas pessoais para trabalho remoto, erro humano, incluindo funcionários enviando informações confidenciais por e-mail para destinatários incorretos e exfiltração de dados maliciosa ou de autoatendimento, como coleta de dados para um novo emprego.
Além disso, 49% das organizações pesquisadas sofreram perdas financeiras devido à rotatividade de clientes após um incidente de perda de dados, e 48% dos incidentes resultaram na saída de funcionários da organização.
Muitos e-mails de phishing ignorando as caixas de entrada dos funcionários
58% dos líderes de segurança cibernética acreditavam que seu SEG não era eficaz para impedir que os funcionários enviassem e-mails acidentalmente para a pessoa errada ou com o anexo errado.
Além disso, 53% dos entrevistados relataram que muitos e-mails de phishing ainda chegavam às caixas de entrada dos funcionários, enquanto 50% das organizações descobriram que é necessário muito tempo administrativo para gerenciar seu SEG.
Conscientização e treinamento em segurança
Embora 98% das organizações pesquisadas tenham conduzido alguma forma de Conscientização e Treinamento de Segurança (SA&T), 96% delas expressaram preocupações ou limitações com seus programas de SA&T.
59% das organizações relataram que o SA&T é necessário para conformidade com regulamentos ou seguro cibernético, e 46% das organizações relataram que os funcionários tendem a pular o SA&T o mais rápido possível.
Além disso, 37% das organizações admitiram que não têm confiança de que os funcionários se lembrem do que aprenderam durante o SA&T, e 29% das organizações relataram que os funcionários consideram o SA&T irritante.
A segurança de e-mail é uma necessidade para impedir ataques de phishing
O relatório destaca que as pessoas precisam de momentos de ensino em tempo real que as alertem sobre ameaças e as envolvam no ponto de risco para reduzir de forma tangível o número de incidentes de segurança que ocorrem.
Os dados do relatório destacam que a segurança avançada de e-mail é uma necessidade para os negócios diários. Apesar dos investimentos em segurança de e-mail tradicional e SA&T, as organizações pesquisadas permanecem altamente vulneráveis a ataques de phishing, erro humano e exfiltração de dados.
A única maneira de mudar a situação é usar soluções inteligentes de segurança de e-mail que aumentam os SEGs tradicionais e o Microsoft 365, oferecendo a defesa em profundidade necessária com uma abordagem de segurança em camadas.
FONTE: HELPNET SECURITY