0
0
Nesta entrevista da Help Net Security, Pete Hoff, CISO da Wursta, oferece conselhos aos líderes e profissionais de segurança de pequenas e médias empresas sobre como minimizar a ameaça que o phishing representa para as operações e o sucesso de longo prazo de suas organizações.
[As respostas de Pete Hoff foram editadas para maior clareza.]
O que torna os ataques de phishing particularmente desafiadores para as pequenas e médias empresas?
O aspecto mais complicado de qualquer crise que afecte uma pequena ou média empresa é que estas estão geralmente equipadas com menos recursos do que as grandes empresas. Quer se trate de uma capacidade de segurança menos experiente, de um número menor de funcionários, de um orçamento menor e assim por diante, menos recursos tornam tudo um pouco mais complicado.
As PMEs muitas vezes têm menos barreiras de segurança cibernética devido à falta de liderança informada e à falta de fundos. Isto não só aumenta a sua vulnerabilidade a ataques de phishing, como também torna mais difícil limpar a confusão após um ataque.
Embora seja menos provável que uma pequena empresa chegue às manchetes nacionais por ser vítima de um ataque de phishing, ainda existem muitos obstáculos de grande escala e longo prazo que as PMEs enfrentarão. Por exemplo, uma organização menor que atende apenas algumas centenas de clientes pode encontrar uma violação de dados confidenciais da empresa. Esta organização é mais vulnerável à perda de receitas e à falta de retenção de clientes – um problema com o qual as grandes empresas estão menos preocupadas. Na mesma linha de perda de receitas, se um ataque de phishing se concentrar em informações fraudulentas de transferência bancária, o dinheiro poderá ser transferido por engano para um cibercriminoso.
Além de perdas tangíveis como esta, danos irreparáveis à reputação de uma pequena empresa também podem ser resultado de um ataque de phishing.
Quais são algumas táticas comuns que os cibercriminosos usam em ataques de phishing direcionados a serviços baseados em nuvem e ofertas de SaaS?
Algumas formas de ataques de phishing usadas com frequência são redefinições de senha ou ameaças de perda de serviços devido a um lapso de licenciamento. Muitas vezes, os phishers tentam replicar um site de serviços em nuvem para capturar a senha de um usuário. Isso é feito imitando o departamento de TI de uma empresa solicitando uma alteração urgente de senha.
Outro método de ataques de phishing que vemos com frequência envolve pagamentos indevidos. Os cibercriminosos que se disfarçam de clientes pagarão “erroneamente” a mais por um bem ou serviço e, em seguida, solicitarão que a empresa devolva a diferença. Quando o cheque original enviado inevitavelmente é devolvido, a organização perde a quantidade de dinheiro que enviou de volta ao golpista, além do dinheiro já gasto na transação inicial. Da mesma forma, se um hacker conseguir obter acesso aos e-mails da empresa, ele poderá confiscar e-mails de clientes reais e alterar as informações bancárias para as suas próprias, fazendo com que o pagamento acabe em mãos erradas.
É claro que acabamos de ver o alarmante ataque de phishing do Microsoft Teams , que foi resultado de agentes de ameaças que comprometeram clientes de propriedade de pequenas e médias empresas e criaram seus próprios novos domínios. A partir daí, os hackers compartilharam mensagens que persuadiram usuários reais da organização a aprovar pontos de verificação de autenticação multifatorial.
Quais são algumas medidas de cibersegurança económicas que podem reduzir significativamente o risco de ser vítima de ataques de phishing? Quais soluções e controles tecnológicos as empresas devem implementar e como?
Em 2023, a segurança cibernética está simultaneamente mais acessível e complexa do que nunca. Devido à complexidade do atual cenário de ameaças, soluções mais avançadas estão cada vez mais disponíveis para organizações que podem ter assumido que não tinham os recursos para conceber uma estratégia forte de segurança cibernética.
A versão do modelo de confiança zero do Google, BeyondCorp, faz um bom trabalho ao educar sobre algumas das melhores ideias e práticas de sua vasta comunidade de clientes. Ferramentas como essa permitem que as organizações transfiram os controles de acesso do perímetro da rede para usuários individuais e possibilitem o trabalho seguro de praticamente qualquer local, sem a necessidade de uma VPN tradicional. Especificamente, a prática permite logon único, políticas de controle de acesso, proxy de acesso e autenticação e autorização baseada em usuário e dispositivo.
Uma avaliação de risco baseada, por exemplo, na Estrutura de Segurança Cibernética do Instituto Nacional de Padrões e Tecnologia ( NIST CSF ), é outra maneira econômica de uma organização manter uma boa postura de segurança cibernética. Após a análise, é criado um roteiro para ajudar a organização a atingir seus objetivos de segurança cibernética com os recursos disponíveis.
Além disso, o Google anunciou recentemente sua versão de login sem senha, usando chaves de acesso (ou seja, impressões digitais e identificação facial), que são uma forma de tornar o comprometimento da senha um problema.
Mesmo com acesso às ferramentas acima, as PMEs muitas vezes não têm os conhecimentos necessários para implementá-las e monitorizar os seus sistemas para garantir a segurança. É aí que um CISO virtual pode ajudar: por uma fração do custo de um CISO em tempo integral, as PMEs podem obter um nível semelhante de conhecimento em segurança para se manterem à frente de ameaças persistentes.
Para minimizar o perigo do phishing, como podem as empresas criar uma cultura de ceticismo e cautela entre os seus funcionários? Se implementarem campanhas simuladas de phishing, como poderão evitar a erosão da confiança dos funcionários na empresa? Como as empresas podem tornar os programas de treinamento mais eficazes?
Incutir uma cultura de hipervigilância numa organização será fundamental à medida que continuamos a ver um horizonte de ameaças crescente. Do meu ponto de vista, se uma empresa estiver reservando tempo para educar seus funcionários sobre os perigos do comprometimento de dados e como evitá-los, os ataques simulados de phishing não prejudicarão a confiança. Em vez disso, os funcionários chegarão a um ponto em que não pensarão mais duas vezes sobre uma solicitação questionável e ficarão confiantes na sua capacidade de contornar uma ameaça.
Uma empresa que deseja adotar uma abordagem séria à segurança cibernética deve ter treinamento e processos rígidos de funcionários para evitar ser vítima de ataques como phishing. O treinamento de conscientização sobre phishing é uma prática comumente utilizada entre organizações que lidam com dados confidenciais.
Algo que aconselho fortemente que as empresas façam é reavaliar os canais de comunicação interna que utilizam. Por exemplo, manter as comunicações em uma plataforma específica pode ajudar os funcionários a simplificar as solicitações de e-mail legítimas das falsificadas. Da mesma forma, um funcionário que raramente ou nunca se comunica com o CEO deve suspeitar imediatamente que uma solicitação de e-mail fraudulenta do CEO é suspeita. Antes de fazer qualquer movimento, o funcionário deve notificar instintivamente o seu gestor e considerar entrar em contato com o CEO a partir de um canal ou plataforma diferente para verificar a legitimidade da solicitação.
No caso de um ataque de phishing bem-sucedido, quais são as etapas recomendadas para uma organização realizar uma análise pós-incidente completa, aprender com a experiência e aprimorar sua postura de segurança no futuro?
Após um ataque de phishing bem-sucedido a uma organização, espera-se que muitas operações diárias mudem e que novos procedimentos e regras sejam implementados. Após um ataque de qualquer tipo, provavelmente haverá um período de “tempo de inatividade”, em que uma organização induzirá uma interrupção de serviço enquanto corrige e volta ao caminho certo. O potencial de tempo de inatividade, que pode resultar em atraso no atendimento ao cliente, perda de receita, etc., enfatiza a necessidade de um plano de continuidade de negócios (BC).
O objetivo de um plano BC é garantir que as organizações tenham planos de backup sólidos, permitindo-lhes continuar as operações e evitar a maior parte do tempo de inatividade após um ataque.
Para organizações menores com menos recursos, recomendamos que utilizem uma abordagem simplificada e enxuta que envolva a criação de contas e a alocação de identidades.
As empresas com um orçamento maior de segurança cibernética podem implementar um plano um pouco mais complexo, no qual podem sincronizar e-mails e repositórios de documentos por um período de 30 dias, incluindo arquivos completos de e-mails.
Para as empresas mais ambiciosas, o seu plano de BC ideal pode consistir na sincronização regular dos seus principais dados (ou seja, todo o histórico de e-mail), com práticas mais personalizadas integradas no plano. Esta abordagem é o que recomendamos a todos os nossos clientes, mesmo que não estejam atualmente equipados para incorporá-la.
Como bônus, os planos de continuidade de negócios são uma forma sólida de reduzir os prêmios de seguro de segurança cibernética de uma organização.
Além das perdas financeiras imediatas, quais são alguns dos custos indiretos e das consequências a longo prazo que uma empresa pode sofrer após ser vítima de um ataque de phishing, e como pode gerir proativamente esses impactos?
Existem várias maneiras pelas quais um ataque de phishing pode afetar diretamente uma organização (além das perdas financeiras imediatas). As empresas vítimas provavelmente gastarão mais tempo, energia e dinheiro do que o previsto para limpar a bagunça.
Algumas consequências adicionais que observei ao longo das minhas décadas de trabalho na indústria de segurança cibernética são:
- Interrupção das operações diárias (resultando em perdas financeiras adicionais) enquanto as equipes de TI trabalham para que tudo fique seguro e funcionando perfeitamente novamente
- Propriedade intelectual roubada e informações proprietárias para empresas que trabalham arduamente para manter uma vantagem competitiva
- Aumento do custo do prêmio de seguro para a organização após um sinistro
- Danos à reputação e perda de confiança do cliente a longo prazo
- Questões legais e regulatórias, dependendo do tipo de dados comprometidos, incluindo ações judiciais coletivas
Algo que muitos líderes não conseguem perceber – até que seja tarde demais – é que um ataque de phishing também pode ter um efeito a longo prazo na moral dos funcionários. Os ataques cibernéticos inesperados tendem a deixar executivos e gerentes em frenesi, que muitas vezes se espalha por toda a empresa. É fundamental que os gestores liderem com empatia e priorizem a cultura e os valores da empresa para manter o moral elevado.
Será cada vez mais imperativo que os líderes mantenham os riscos de curto e longo prazo na vanguarda das conversas sobre segurança cibernética.
Que tendências ou desenvolvimentos emergentes você prevê no mundo dos ataques de phishing e que medidas proativas as pequenas e médias empresas podem tomar para permanecerem resilientes contra essas ameaças em evolução?
Em geral, a principal coisa sobre a qual os líderes empresariais devem estar atentos quando se trata da sua estratégia de segurança cibernética é o surgimento constante de novas tecnologias. Com novas ferramentas como IA e mais organizações migrando suas operações para a nuvem, surgem novos cenários para os hackers comprometerem.
É importante que os líderes empresariais e tecnológicos estejam atentos às ameaças emergentes e crescentes das quais outras organizações podem ser vítimas. Uma das maneiras mais fáceis de garantir a segurança da sua organização é aprender com os erros dos outros.
O elo mais fraco em toda a segurança será o ser humano na frente do teclado. Educar os usuários sobre ataques novos e emergentes também ajuda a reduzir o impacto do phishing.
Para as empresas que procuram melhorar a educação e os processos de proteção contra ataques de phishing, devem começar com uma avaliação de risco como primeiro passo. As avaliações de risco, quando concluídas de forma proativa, podem prevenir violações de segurança ou perda de dados, identificando antecipadamente riscos e vulnerabilidades potenciais. Permite que as empresas se mantenham informadas sobre o seu estado de segurança e fornece planos intermináveis para reforçar a sua estratégia, independentemente de quão limitados sejam os seus recursos.
FONTE: HELP NET SECURITY