0
0
Nossa abordagem de conscientização de segurança é falha. E devemos mudá-lo.
À medida que os tanques russos chegavam à Ucrânia, CEOs e gerentes de TI nos Estados Unidos e em grande parte do mundo livre começaram a enviar e-mails alertando seus funcionários sobre ataques iminentes de spear phishing.
Fazia sentido: Spear-phishing foi o que os russos usaram em ucranianos muitas vezes na última metade de uma década, como quando desligaram a rede elétrica do paísem uma das noites mais frias de inverno. Foi também o que os russos usaram contra o Comitê Nacional Democrata e alvos nos EUA.
De um lado, as missivas de e-mail dos CEOs eram refrescantes. As pessoas levavam a sério a ameaça de phishing, o que não era o caso em 2014 , quando comecei a alertar sobre seus perigos na CNN.
Na outra extremidade, era sóbrio. Não havia muito mais que as organizações tivessem descoberto para fazer.
Enviar mensagens para alertar as pessoas foi o que o CEO da AOL recorreu em 1997 , quando o spear phishing surgiu e ganhou seu nome. Os hackers iniciantes da época estavam se passando por administradores da AOL e pescando informações pessoais dos assinantes. Isso foi há quase três décadas, muitas vidas em anos de Internet.
Nesse ínterim, as organizações gastaram bilhões em tecnologias de segurança e inúmeras horas em treinamento de segurança. Para contextualizar, há uma década, o Bank of America (BoA) estava gastando US$ 400 milhões em segurança cibernética. Agora, gasta US$ 1 bilhão por ano com isso. No entanto, milhares de contas de seus clientes na Califórnia foram invadidas no ano passado .
E BoA não está sozinha. Este ano, Microsoft, Nvidia, Samsung, LG e T-Mobile – que recentemente pagaram US$ 350 milhões a clientes por causa de uma violação em 2021 – foram hackeadas. Todos foram vítimas de ataques de spear phishing. Não há dúvida de que os funcionários dessas empresas são experientes e bem treinados na detecção de tais ataques.
Abordagem falha
Claramente, algo está fundamentalmente falho em nossa abordagem, quando você considera que, depois de tudo isso, os compromissos baseados em e-mail aumentaram 35% em 2021, e as empresas americanas perderam mais de US$ 2,4 bilhões devido a isso.
Uma grande parte do problema é o paradigma atual de treinamento de usuários . Ele gira principalmente em torno de alguma forma de instrução de segurança cibernética, geralmente após um teste de e-mail de phishing simulado. Os testes são enviados periodicamente e as falhas dos usuários são rastreadas – servindo como um indicador de vulnerabilidade do usuário e formando a espinha dorsal dos cálculos de risco cibernético usados por seguradoras e formuladores de políticas.
Há suporte científico limitado para esta forma de treinamento. A maioria aponta para o valor de curto prazo , com seus efeitos desaparecendo em poucas horas, de acordo com um estudo de 2013. Isso foi ignorado desde o início da conscientização como uma solução.
Há outro problema. A conscientização sobre segurança não é uma solução; é um produto com um ecossistema de fornecedores endinheirados pressionando por ele. Há legislação e política federal que o obrigam, alguns decorrentes do lobby de organizações de treinamento, tornando necessário que todas as organizações o implementem e os usuários o suportem.
Por fim, não há uma medida válida de conscientização de segurança . Quem precisa? Que tipo? E quanto é suficiente? Não há respostas para essas perguntas.
Em vez disso, o foco está em saber se os usuários falham em um teste de phishing sem um diagnóstico do motivo – o motivo por trás das falhas. Por causa disso, os ataques de phishing continuam e as organizações não têm ideia do motivo. É por isso que nossa melhor defesa tem sido enviar avisos por e-mail aos usuários.
Defenda com fundamentos
A única maneira de se defender contra o phishing é começar pelos fundamentos. Comece com a pergunta principal: o que torna os usuários vulneráveis ao phishing?
A ciência da segurança já fornece as respostas. Ele identificou fatores específicos de nível mental ou cognitivo e hábitos comportamentais que causam vulnerabilidade do usuário. Os fatores cognitivos incluem crenças de risco cibernético – ideias que temos em mente sobre risco online, como o quão seguro pode ser abrir um documento PDF versus um documento do Word, ou como um determinado sistema operacional móvel pode oferecer melhor proteção para abrir e-mails. Muitas dessas crenças, algumas falhas e outras corretas, governam quanta atenção mental prestamos aos detalhes online.
Muitos de nós também adquirimos hábitos de mídia, desde abrir todas as mensagens recebidas até rituais como verificar e-mails e feeds no momento em que acordamos. Alguns deles são condicionados por aplicativos; outros pela política organizacional de TI . Eles levam a reações irracionais a e-mails que aumentam a vulnerabilidade de phishing.
Há outro fator amplamente ignorado: a suspeita . É aquele mal-estar ao encontrar algo; aquela sensação de que algo está errado. Quase sempre leva à busca de informações e, armado com os tipos certos de conhecimento ou experiência, leva à detecção e correção de enganos.
Foi o que aconteceu com o ex-chefe do FBI. Robert Muller, depois de inserir suas informações bancárias em resposta a uma solicitação de e-mail, parou antes de clicar em Enviar. Algo não parecia certo. No retorno momentâneo à razão causado pela suspeita, ele percebeu que estava sendo phishing e mudou suas senhas bancárias.
Ao medir a suspeita junto com os fatores cognitivos e comportamentais que levam à vulnerabilidade de phishing, as organizações podem diagnosticar o que torna os usuários vulneráveis. Essas informações podem ser quantificadas e convertidas em um índice de risco, com o qual podem identificar aqueles que correm maior risco, os elos mais fracos e protegê-los melhor.
Fazer isso nos ajudará a defender os usuários com base em um diagnóstico do que eles precisam, em vez de uma abordagem de treinamento que está sendo vendida como uma solução – um paradigma que sabemos que não funciona.
Depois de bilhões gastos, nossa melhor abordagem continua enviando avisos por e-mail sobre ataques recebidos. Certamente, podemos fazer melhor. Aplicando a ciência da segurança, podemos. E devemos – porque o spear-phishing representa um perigo claro e presente para a Internet.
FONTE: DARK READING