0
0
É um fato bem conhecido que os humanos são – e continuarão sendo – um dos elos mais fracos nas defesas cibernéticas de qualquer empresa. Os administradores de segurança tentaram ajudar a situação por meio de testes e treinamentos aleatórios de phishing, ultimatos, eliminando o controle local sobre um determinado dispositivo e até mesmo nomeando e envergonhando aquelas almas desafortunadas que clicaram no link errado em um e-mail.
Os resultados têm sido, na melhor das hipóteses, medianos, como mostrado pela descoberta no “Relatório de Investigações de Violação de Dados de 2022” (DBIR) da Verizon de que a grande maioria das violações começa com phishing e engenharia social.
Kyle Tobener, vice-presidente e chefe de segurança e TI da Copado, diz que não precisa ser assim. Em vez disso, as empresas podem seguir uma página da comunidade médica e encontrar uma abordagem muito mais eficaz através do princípio da redução de danos. Isso significa essencialmente adotar um foco em minimizar ou mitigar os maus resultados do mau comportamento, em vez de tentar eliminar completamente o mau comportamento.
Como a redução de danos se aplica à segurança cibernética
Em uma sessão na próxima semana na Black Hat USA intitulada ” Redução de Danos: Uma Estrutura para Orientação de Segurança Eficaz e Compassiva”, Tobener planeja discutir essa nova maneira de pensar sobre comportamento, educação e conscientização do usuário quando se trata de ameaças cibernéticas.
“A redução de danos é um grande tópico no espaço da saúde, mas não entrou tanto na segurança da informação”, diz ele ao Dark Reading, acrescentando que, como sobrevivente de câncer e irmão de alguém que lutou contra o vício em substâncias, ele aprendeu sobre redução de danos em primeira mão.
“Infelizmente, o que vemos ainda é principalmente orientação baseada em abstinência em muitos cenários por pessoas de segurança”, diz ele.
Para ilustrar o contraste entre as duas abordagens, ele usa o exemplo do anúncio do Super Bowl que chamou a atenção em fevereiro da Coinbase, que apresentava um código QR saltando pela tela, como um Pong.
“Se você fosse ao Twitter logo depois disso, havia milhares de pessoas de segurança dizendo que você nunca deveria usar um código QR se não souber de onde é esse código QR”, diz ele. “Essa orientação não é nada eficaz. Tenho certeza de que milhões de pessoas usaram um código QR, e se seu foco é dar orientação que não é prática ou pragmática, que as pessoas não vão seguir, então será muito ineficaz e você está desperdiçando uma oportunidade de educar essas pessoas de uma maneira que é realmente útil.”
Em uma abordagem de redução de danos, a resposta teria sido supor que as pessoas iriam clicar em um item tão intrigante (e, de fato, os códigos QR são tão difundidos em seu uso em geral que pedir às pessoas para nunca usá-los é uma simples não -starter) e construa uma estratégia defensiva com isso em mente.
“Eduque-os sobre o que procurar quando fizerem algo como usar um código QR”, explica Tobener. “Como você sabe que o site que você acessou é seguro? Se você apenas diz às pessoas para não fazerem algo, e elas fazem isso e vão para o site, e elas não estão preparadas para procurar sinais de alerta, eles vão ficar pior do que estariam.”
Como implantar a redução de danos
Em sua palestra sobre Black Hat, Tobener planeja abordar a implementação da redução de danos em um contexto de segurança cibernética com uma abordagem tripla, começando com o fomento da aceitação de que os comportamentos de risco vieram para ficar.
“Acho que esta é uma abordagem muito pragmática que muitas pessoas de segurança não estão dispostas a adotar; eles vêm com uma mentalidade de que o risco pode ser erradicado, o que não é realista”, observa ele. “Assim como a guerra às drogas não foi eficaz, a Lei Seca não foi eficaz, e os programas DARE e ‘assustados’ mostraram-se mais prejudiciais do que úteis para as crianças.”
Depois de ganhar a adesão de equipes de segurança e poderes que estão na impossibilidade de prevenir ações de risco, o próximo passo é priorizar a redução das consequências negativas desses comportamentos de risco e entender quais batalhas travar quando se trata de políticas de segurança corporativas.
“Por exemplo, em um contexto corporativo, você pode ter um gerenciador de senhas corporativo que todos deveriam usar”, explica Tobener. “Mas haverá pessoas que não querem usar o gerenciador de senhas fornecido pela empresa porque não estão familiarizados com ele e querem usar o seu próprio. Em vez de fazê-los parar o que estão fazendo, considere se usar seu próprio gerenciador de senhas é melhor do que não usar um gerenciador de senhas. Em outras palavras, há peixes maiores para fritar?”
A terceira vertente que ele planeja abordar nesta sessão da Black Hat USA é a da compaixão.
“A peça final da estrutura é meio estranha para a segurança cibernética, mas é realmente importante no espaço de redução de danos: abraçar a compaixão enquanto fornece orientação”, diz ele. “Este é provavelmente o conceito mais difícil para o pessoal de segurança e até mesmo o pessoal da saúde entender, que é a ideia de melhorar a situação das pessoas sendo compassivo e solidário, mesmo que você os esteja apoiando no que você considera ser o coisa errada.”
Assim como o estigma social faz com que as pessoas evitem o tratamento com drogas em vez de aceitá-lo, a atitude dura e a abordagem repleta de conflitos de algumas equipes de segurança cibernética em relação aos usuários tornarão as pessoas menos propensas a querer fazer a coisa certa, explica ele. Por exemplo, no exemplo acima do gerenciador de senhas de Shadow IT, as equipes podem enviar e-mails ameaçadores para os infratores ou até mesmo envolver os gerentes de linha; ou, eles podem chegar a um acordo, oferecer treinamento fácil de usar e, geralmente, adotar uma postura “estamos com você, não contra você” ao discutir o assunto.
“Ao ser solidário e compassivo, você mostra a eles que os aceita apesar do que estão fazendo e que, embora não seja perfeito agora, eles têm a chance de melhorar no futuro”, diz Tobener. “Muitas vezes, quando você é compassivo com as pessoas, elas se educam. E fazem escolhas melhores a longo prazo.”
A sessão procurará dar aos participantes dicas práticas sobre como se tornar uma prática de segurança mais eficaz quando se trata de gerenciar usuários que não estão ouvindo você.
“Estou realmente cansado de ver no Twitter pessoas dizendo ‘faça isso ou você merece as consequências'”, diz Tobener. “Estou tentando aumentar a consciência de segurança para um ponto em que paramos de dizer às pessoas para não fazerem coisas e, em vez disso, digamos: OK, você não deve fazer isso, mas se fizer, veja como fazê-lo com mais segurança”.
FONTE: DARK READING