0
0
As empresas estão enfrentando o aumento dos custos, incluindo o seguro cibernético, que viu os prêmios aumentam surpreendentes 92% ano a ano em 2021 . O aumento dos custos se deve, em parte, a um aumento nos custos de interrupção de negócios, que são afetados principalmente pela capacidade dos agentes de ameaças de encontrar e destruir os backups e os dados de produção de uma organização, impedindo a recuperação oportuna.
Backups foram direcionados em 94% dos ataques e impactados em 68% dos ataques, de acordo com a Veeam ” Relatório de tendências de ransomware de 2022 .” Sem um backup para restaurar, um tempo de inatividade não planejado custa 35% mais do que o tempo de inatividade planejado, de acordo com a IBM . Uma abordagem proativa para proteger seu ambiente representa, na verdade, uma economia de custos.
Nos últimos dois anos, a sofisticação dos agentes de ameaças aumentou exponencialmente, mas as organizações não implementaram os controles técnicos e a configuração necessários para acompanhar o ritmo. O setor de segurança cibernética e muitos profissionais de segurança cibernética são orientados por políticas e conformidade, mas os hackers não vão atrás de suas políticas. Eles vão atrás de seus controles e configurações.
Como última linha de defesa, existem precauções como imutabilidade que podem ajudar seus backups a sobreviver , mas o sucesso ou fracasso dos métodos de segurança da maioria das empresas depende muito dos usuários — aqueles que não têm experiência em TI ou segurança. Infelizmente, os controles e as configurações técnicas da maioria das organizações não reduzem a probabilidade de os terminais dos usuários serem aproveitados para decretar danos.
Muitas organizações permitem (às vezes sem querer) uma variedade de software de reunião, software de acesso remoto, gerenciadores de senhas, navegadores, serviços de e-mail pessoal e ferramentas de compartilhamento de arquivos. Essa expansão tecnológica não autorizada leva a uma maior oportunidade para os agentes de ameaças coletarem as credenciais de seus usuários, exfiltrarem dados, obterem acesso a um endpoint ou obterem acesso remoto. A Cisco foi recentemente violada ao permitir que os usuários acessem serviços de e-mail pessoais e salvem senhas corporativas no navegador.
A maioria das violações segue uma progressão previsível. Aqui está um exemplo: um e-mail malicioso é acessado por um usuário, que clica em um link que fornece suas credenciais ou concede acesso local a um agente de ameaças. O agente da ameaça instala um Trojan de acesso remoto (RAT) no endpoint e coleta credenciais privilegiadas do endpoint por meio de um dumper de credenciais como Mimikatz , Dark Web ou um compartilhamento de rede. Em seguida, o agente da ameaça aproveita as credenciais privilegiadas para mover-se lateralmente pela rede, encontrar e exfiltrar os dados mais valiosos, destruir os backups e criptografar todos os dados de produção.
Então, como você evita se tornar vítima de métodos comuns de ataque?
Melhorar a educação
Todos os usuários precisam ser instruídos sobre o risco em evolução representado pelas ferramentas cotidianas e como os invasores as usam, especialmente o e-mail. De acordo com o ” Relatório de Investigações de Violação de Dados de 2022 ” da Verizon , os agentes de ameaças preferem e-mail para entrega de malware; 86% da entrega de malware é realizada por e-mail.
Os profissionais de TI também precisam de treinamento consistente. Muitas vezes, as vítimas acreditam que a violação que sofreram foi aleatória. Os profissionais de TI geralmente ignoram as vulnerabilidades e configurações incorretas de seu ambiente e como os hackers se tornaram sofisticados em explorá-los.
Fazer a segurança corretamente requer uma personalidade concertada, motivada e antipolítica para pressionar uma organização a tomar as medidas necessárias. Mesmo o bloqueio de serviços de e-mail pessoais dentro de uma organização provavelmente será recebido com resistência, mas isso precisa ser feito.
Obter uma avaliação
Encontrar um parceiro que possa realizar uma avaliação técnica completa do seu ambiente, aproveitando o conhecimento sobre violações é uma grande extensão do seu departamento de TI e um investimento que vale a pena. Os sistemas de TI geralmente têm configuração fraca e controles técnicos inadequados. No entanto, as organizações geralmente operam sem saber desses riscos aceitos.
Uma cadência regular de avaliações, pelo menos anualmente, é importante porque o risco está sempre mudando e os fornecedores estão continuamente lançando recursos e serviços atualizados. A adequação e configuração dos controles técnicos devem ser verificadas regularmente para que não comprometam sua postura de segurança.
Mesmo grandes fornecedores como a Microsoft têm padrões definidos de forma a tornar as organizações mais vulneráveis imediatamente. Recentemente, A Microsoft alertou sobre ataques de phishing em larga escala contra mais de 10.000 organizações. Alegadamente , os invasores conseguiram ignorar o recurso de autenticação multifator (MFA) do Office365 .
Se a MFA estiver configurada incorretamente , ela não protegerá sua organização e poderia até ser motivo para a negação de cobertura de seguro . Uma avaliação sinalizaria tais configurações incorretas. Se seus controles forem orquestrados corretamente, será mais difícil para um agente de ameaças aproveitar as credenciais coletadas para acesso.
Estabeleça funções
Em última análise, a segurança é trabalho de todos, mas os profissionais de TI e as equipes de segurança precisam ter responsabilidades claras e fazer parcerias não apenas entre si, mas também com os executivos. A política interna precisa ser deixada de lado para o bem maior de proteger a organização das ameaças.
Em alguns casos, por exemplo, a liderança não permite que a equipe de TI faça o que precisa ser feito para proteger adequadamente uma organização, adiando controles que podem parecer muito rígidos.
Muitas vezes também há uma tensão natural entre segurança e TI. Se os CISOs e as equipes de segurança forem solicitados a tornar um ambiente seguro após a construção da infraestrutura de TI, eles terão dificuldade em implementar a segurança aos poucos com base no que já existe. Você não pode colocar fita adesiva no seu caminho para um ambiente de TI seguro.
Depois de receber suas ordens de marcha, você precisa orientar seu plano de segurança para empilhar controles e proteger endpoints, entre outras coisas. Se um agente de ameaças obtiver acesso a um endpoint, a maioria das organizações terá perdido. Com a configuração e os controles técnicos corretos, você pode proteger melhor seus endpoints, credenciais, dados de produção e, por fim, seus backups.
FONTE: DARK READING