0
0
Hackers acidentalmente permitidos em software da empresa por funcionários não compatíveis de segurança custam milhões às empresas anualmente; pedimos aos especialistas que avaliassem as melhores práticas de segurança.
As ameaças cibernéticas não se tornaram uma coisa quando o COVID-19 empurrou a empresa para uma força de trabalho remota. Funcionários descuidados e não compatíveis com a segurança permitiram negligentemente que hackers acessassem computadores e softwares da empresa enquanto estavam solidamente presos dentro de um escritório de tijolos e argamassa. Um relatório de ameaças internas de janeiro pré-US Lockdown da Ponemon mostrou que o custo global médio dessas ameaças internas aumentou 31% em relação a 2018 até quando o relatório foi compilado em 29 de janeiro, e os incidentes de hacking aumentaram 47% no mesmo período de tempo.
Hacking se tornou viral
Mas a pandemia do coronavírus trouxe uma nova série de ameaças cibernéticas, alimentando-se de como “Ansiedade e desespero podem tornar mais fácil baixar a guarda quando se trata de ameaças online”, disse carl Leonard, analista de segurança principal da Forcepoint, ao TechRepublic em março.
No mês passado, o site irmão da TechRepublic, ZDNet, relatou o que chamou de “estatísticas perturbadoras”de crimes cibernéticos COVID-19, incluindo ataques de força bruta aumentaram 400%, o número de máquinas de desktop remotas não-inseguras aumentou mais de 40%, os golpes de e-mail relacionados ao COVID-19 aumentaram 667% em março, dezenas de milhares de domínios relacionados ao coronavírus são criados diariamente — e 90% desses novos domínios são “scammy”. Ele ainda observou que as contas zoom de 530K foram vendidas na Dark Web, e um aumento de 2.000% em arquivos maliciosos com “Zoom” no nome. Um relatório de ameaça cibernética da SonicWall 2020 citou um aumento de 105% nas amostras de ransomware.
Bloqueie informações confidenciais
Como os funcionários estão trabalhando em casa (WFH), os líderes da empresa simplesmente não sabem se os funcionários estão ignorando as melhores práticas ou armazenando informações confidenciais de forma insegura. Portanto, a empresa deve recorrer a planos de ação eficazes. Resumidamente, o 411 sobre a atual situação de ameaça cibernética gira em torno: Dispositivos pessoais usados para o trabalho podem ser hackeados de várias maneiras; a grande maioria dos hacks não usam malware; sem emoção e destemido pela falta de sentimento, a IA é uma ótima ferramenta para usar, e não será prejudicada pelo erro humano, e agora é o momento para as empresas adotarem e integrarem medidas de segurança tão necessárias, apoiadas por grande comunicação empresa/funcionário, treinamentos, etc.
A empresa precisa se preocupar. “Em casa, funcionários e executivos estão se comunicando online com colegas com muito mais frequência, e eles estão fazendo isso cada vez mais em dispositivos pessoais, contas de e-mail pessoais e aplicativos não-trabalho”, disse Chris Cleveland, fundador da empresa de prevenção de phishing pixm, alimentada por IA. “Isso multiplica os pontos de entrada que os atacantes têm que violar uma organização, particularmente aquelas que não são protegidas por e-mail corporativo e firewalls.”
“Os dados do Lookout mostraram um aumento de 24% no uso de dispositivos iOS nos primeiros 90 dias da pandemia”, explicou Chris Hazelton, diretor de soluções de segurança da Lookout. “Isso equivale a várias horas a mais por dia de uso para muitos funcionários.” Hazelton acrescentou que “mais ataques de phishing vêm através de aplicativos pessoais do que e-mail. Ataques de phishing ou cargas maliciosas fornecidas por e-mail de trabalho são interrompidos por gateways de e-mail corporativos, mas é a falta de proteção semelhante para aplicativos móveis pessoais que cria uma oportunidade significativa para os atacantes atingirem trabalhadores remotos.”
Insiders que também são forasteiros
É importante lembrar que não são apenas os líderes de equipe e suas equipes de telecomunicações, “as partes interessadas em TI e segurança estão mais remotas do que nunca das pessoas que estão tentando proteger”, disse Cleveland. “Isso torna mais difícil influenciar seus usuários em direção a uma melhor higiene cibernética e conscientização, especialmente para os esforços de treinamento dos funcionários.”
Ele observa que o primeiro trimestre viu um aumento de 350% nos ataques de phishing, muito dependerá de se passar por esforços de alívio fiscal por entidades governamentais como a Receita Federal ou o HMRC — sem surpresa, porque indivíduos e proprietários de empresas estavam ansiosos para reivindicar benefícios tão necessários.
A psicologia do hacking e uma força de trabalho remota temerosa
A crise do COVID-19 exacerbou as vulnerabilidades existentes, que “não são novas, mas o ambiente pandêmico e WFH as exacerbaram e as aceleraram”, disse ele. “A ansiedade geral em torno da pandemia, horas de trabalho mais longas e estresse emocional relacionado podem encurtar a tomada de decisão de curto prazo das pessoas, que os hackers estão explorando com phishing.”
Aqui está o que os hackers querem — credenciais de funcionários. Cleveland cita-o como o vetor nº 1 de violação de dados e disse: “Hoje isso é mais fácil do que nunca, pois há um número crescente de contas que os funcionários usam para compartilhar e acessar ativos digitais sensíveis. Uma vez que a maioria das defesas corporativas tradicionais contra e-mails de phishing e URLs maliciosos dependem da reputação e inteligência de ameaças das webs, há uma grande janela de tempo para lançar um novo ataque e roubar senhas antes que um ataque seja relatado e essas ferramentas de reputação e inteligência comecem a funcionar. É por isso que 75% das credenciais são colhidas na primeira hora em que um ataque de phishing é implantado.”
As ferramentas de hackers começam com o malware familiar sem malware, seguido por “kits de phishing de código aberto que podem phishe códigos de autenticação de dois fatores em tempo real”, disse Cleveland. “Muito mais comum do que isso, hackers sequestram a reputação de sites de terceiros, primeiro invadindo-os e usando-os para entregar páginas de phishing aos alvos.”
A Digital Shadows, uma empresa de software, identificou um aumento de 160% no número de ataques cibernéticos totais em 2020, quando comparado a 2019, disse Ivan Righi, analista de inteligência de ameaças cibernéticas da empresa.
“Os ataques de spearphishing e aquisição de contas (ATO) continuam sendo as ameaças mais críveis aos trabalhadores remotos”, disse Righi. “Quase 30% de todos os incidentes de trabalho remoto desde o início da pandemia COVID-19 foram atribuídos a ataques de phishing. Um ataque de phishing bem-sucedido pode dar aos atores de ameaças uma base na rede da vítima, onde eles podem mais tarde se mover lateralmente e espalhar malware, como ransomware, em sistemas críticos.”
Mas, além das preocupações com a segurança dos dispositivos pessoais, os equipamentos domésticos também podem desempenhar um papel, disse Brandon Hoffman, diretor de segurança da informação da Netenrich. “Existem algumas abordagens mais manuais como um ponto de entrada inicial para o que os trabalhadores remotos criam oportunidade. Alguns exemplos de segurança bruta fraca em roteadores domésticos ou dispositivos inteligentes conectados à mesma rede. Mesmo nesses cenários, se um ataque manual contra algo como uma impressora ocorrer para ter acesso à rede, em algum momento o malware provavelmente será adiado contra a máquina alvo.”
Salvaguardas
“Os funcionários sempre estiveram na linha de frente quando se trata de ataques cibernéticos, sejam eles direcionados ao escritório ou em casa”, disse Joseph Carson, cientista-chefe de segurança e diretor de segurança da informação da Thycotic, uma empresa de software de proteção. “No entanto, ao direcionar os funcionários em casa, os cibercriminosos normalmente tinham que esperar o funcionário retornar ao escritório ou abrir uma conexão VPN para abusar de credenciais roubadas e obter mais acesso ao empregador da vítima. Com o aumento da força de trabalho remota de hoje, muitas organizações abriram conexões persistentes dos escritórios dos funcionários, permitindo que os cibercriminosos pulassem nessas conexões e abusassem do acesso remoto imediatamente.”
“A segurança de TI pode reduzir os riscos dessas ameaças, aumentando a conscientização sobre segurança cibernética para os funcionários e praticando o princípio do menor privilégio, o que significa que as credenciais dos funcionários não podem ser abusadas por criminosos para ter acesso a outras partes da rede da organização. Uma forte defesa cibernética começa com o funcionário e a capacidade de detectar ataques que partem de sua rede doméstica, bem como a capacidade de reduzir esses riscos com uma forte solução de segurança de acesso privilegiada que pode implementar uma estratégia de menor privilégio.”
“Incidentes de não segurança podem ter um efeito substancial dentro do espectro de segurança da informação”, ponderou Steve Durbin, diretor-gerente do Fórum de Segurança da Informação, uma organização de negócios de gerenciamento de ciber, informações e riscos. “Em 2020, o exemplo marcante tem sido a pandemia global COVID-19, que forçou a mudança digital nas organizações em alta velocidade e certamente mais rápido do que muitos haviam lidado antes. Isso significava que os gerentes de TI e segurança seniores foram chamados a reorientar os esforços e ajudar sua organização orientada em torno de práticas de trabalho remotas seguras. Eles também tiveram que garantir que as cadeias de suprimentos permanecessem seguras e implementassem campanhas e treinamentos personalizados de conscientização de segurança, por exemplo, para combater a repentina inundação de golpes de phishing relacionados ao COVID-19. O COVID-19 representa uma crise e uma oportunidade. Acelerou e concentrou forças, como a mudança para o trabalho remoto e a adoção de serviços de nuvem, que já estavam em andamento. As organizações devem estar dispostas a responder a ameaças não relacionadas à segurança da informação se tiverem um impacto significativo na maneira como uma organização opera ou ameaçam sua infraestrutura técnica.”
Finalmente, “Além de usar ferramentas digitais, é primordial que as empresas se atenha a padrões de alta segurança”, enfatizou Cleveland. Um “empregado deve sempre seguir as melhores práticas recomendadas do empregador para evitar ser a causa de uma violação dispendia.
No mínimo, as melhores práticas devem incluir o uso de dispositivos emitidos pela empresa equipados com controles de segurança, sempre que possível, uso de VPN de dispositivos pessoais e treinamento sobre práticas básicas de segurança. As empresas devem implementar um plano de recuperação de desastres e continuidade de negócios e comprar seguro de responsabilidade de segurança cibernética.”
As organizações devem dar uma olhada crítica em “quantos funcionários têm acesso a material autorizado e confidencial que precisa ser mantido seguro, é um risco de violação. Os indivíduos devem considerar a segurança cibernética como um requisito de emprego, e não algo deixado para TI, disse Cleveland. “Se os indivíduos assumirem a responsabilidade, as equipes de TI podem gastar menos tempo cuidando de ataques e mais tempo abrindo caminho para uma solução de segurança cibernética remotamente pronta.”
Cleveland citou três das que ele considera as formas mais comuns de lidar com a segurança cibernética:
Comunicação: Os funcionários devem sentir que têm uma participação na segurança de dados de sua empresa. Uma boa comunicação deve ser um alinhamento em toda a organização.
Treinamento de conscientização: Comum, e não totalmente super eficaz, pois foi encontrado para reduzir os cliques de phishing em 75%, mas é um começo.
Instale aplicativos de IA em tempo real nos dispositivos de usuário: “Isso pode aumentar a tomada de decisão em tempo real para os usuários finais para evitar ameaças que contornem e contornem o funil de segurança corporativa existente”, disse Cleveland. Ele também pode suportar usuários em ambientes WFH. As ferramentas de IA baseadas em navegador, em particular, podem proteger os usuários contra links de phishing fornecidos fora de seus e-mails corporativos, como LinkedIn, WhatsApp e e-mail pessoal.”
FONTE: TECHREPUBLIC