Tanto em ameaças internas e comprometimento de contas quanto em ataques direcionados de phishing e malware, nosso pessoal continua desempenhando um papel preponderante nos ataques cibernéticos modernos. Basta um clique indevido ou um download precipitado para que nossas organizações fiquem sujeitas a perda de dados, danos à reputação e interrupção de serviços.
Para proteger nosso pessoal e defender nossos dados, precisamos quebrar a cadeia de ataque o mais cedo possível — antes que criminosos cibernéticos invadam nosso perímetro. Nesta postagem, explicaremos a importância de uma cultura de segurança na realização desse objetivo e o papel fundamental que os usuários desempenham nesse processo.
O fator humano na cadeia de ataque
A expressão “cadeia de ataque” ou “cadeia de morte”, cunhada originalmente pela Lockheed Martin, refere-se aos diversos estágios de uma ameaça cibernética. A ideia é observar detalhadamente como os perpetradores de ameaças fazem contato, como cargas maliciosas são entregues e executadas, como dados são vazados e assim por diante.
Quando um ataque é dividido em tais fases, as equipes de segurança podem avaliar seus mecanismos de detecção, controles de proteção e planos de resposta em cada estágio em vez de abordar uma ameaça cibernética como um único grande ataque amorfo a ser evitado.
Sabemos que ataques contra pessoas não são novidade. Os atacantes criam um perfil para estabelecer quem provavelmente tem acesso aos dados ou credenciais cobiçados. Após determinar quem serão suas vítimas, os perpetradores de ameaças procuram a melhor maneira de comprometer essas pessoas, seja diretamente, por e-mail ou redes sociais, ou utilizando terceiros confiáveis como arma.
Na maioria dos casos, o método de entrega é o e-mail, simplesmente por ser fácil, acessível e barato e por poder ser implementado em grande escala. É a ferramenta perfeita para os atacantes. Informações de redes sociais são frequentemente utilizadas nesse estágio para adequar as mensagens conforme os interesses da vítima, aproveitando ainda mais o elemento humano da exploração. Quando toda essa engenharia social é reunida, o usuário fica muito propenso a interagir.
Com uma conta comprometida, o atacante movimenta-se lateralmente dentro das redes, visando mais indivíduos para ampliar seus privilégios administrativos. Agora, porém, o malfeitor está armado com a legitimidade de uma conta interna “real” que os demais usuários nem imaginam que está comprometida.
A defesa começa com a conscientização
Ataques cibernéticos centrados em pessoas exigem uma defesa centrada em pessoas. E o primeiro passo no sentido de conseguir essa defesa é a conscientização. Os usuários precisam compreender os riscos que enfrentam e como devem se comportar diante deles. Isso é o mínimo.
Assim como precisamos compreender as noções básicas das regras e sinais de trânsito antes de conduzirmos um veículo, o seu pessoal precisa compreender noções básicas de segurança para que possam defender os seus dados.
Contudo, é claro que precisamos ir ainda mais longe. Uma coisa é ter conscientização; outra é o comportamento real.
Continuando com a analogia do trânsito, apenas saber que o limite de velocidade é de 50 km/h não significa saber exatamente quando ele se aplica — ou se ele será obedecido. É por isso que temos placas de sinalização, câmeras de multagem e guardas de trânsito. Seus equivalentes na cibersegurança são conteúdo de conscientização, testes de competência e simulações de phishing para determinar se o nosso pessoal está agindo como se espera.
Mas e quando ninguém está olhando? Como reduzir o risco de que nosso pessoal descumpra as regras quando a possibilidade de serem pegos em flagrante for mínima? Bem, por que tantos motoristas respeitam os limites de velocidade quando ninguém os está vigiando? Normalmente, a resposta é o hábito e as espectativas da sociedade — ou seja, sua cultura. Precisamos adotar essa abordagem também na cibersegurança.
A espinha dorsal da cultura de segurança
Um ponto de partida simples para a construção de uma cultura de segurança na sua organização é lembrar ao seu pessoal as “regras” e suas responsabilidades.
Quanto mais você vê uma placa de 40 km/h, mais você se conscientiza de que deve dirigir a 40 km/h. O mesmo se aplica ao treinamento regular e aos recursos visíveis nas melhores práticas de segurança. Este treinamento para conscientização quanto à segurança garante que o seu pessoal saberá o que fazer.
Em seguida, é preciso ter foco no porquê de sua importância. Discussões sobre a diferença de fatalidade entre os limites de velocidade de 40 km/h e 60 km/h, explicações sobre passagens de pedestre próximas a escolas ou índices de acidentes em um ponto crítico de trânsito são questões relacionadas às possíveis consequências de se dirigir em velocidade excessiva. Quando essa mensagem é assimilada, os usuários reconhecem que os comportamentos corretos não são apenas um ato de conformidade, mas algo de suma importância!
Finalmente, queremos ver o cumprimento generalizado dessas regras. Também queremos que a sociedade apoie quem decide cumprir as regras e pressione quem as descumpre. Essa pressão pode ser sutil, mas eficaz. O usuário não vai querer ser o infrator que atravessa um sinal vermelho enquanto todos os demais param.
A analogia não é perfeita — poucas são. Porém, para construir uma cultura, seja de segurança ou de trânsito, podemos aumentar as possibilidades de que as pessoas façam as escolhas certas, mesmo quando não estão sendo observadas pelo CISO (ou pela polícia!). Quando o seu pessoal estiver agindo dessa forma, todos na sua organização serão campeões da segurança. Todos preferirão tomar as decisões certas, tanto quanto possível, constituindo uma forte espinha dorsal para combater ameaças à cibersegurança.
Capacitação do seu pessoal para quebrar a cadeia de ataque
Uma cultura de segurança forte é, sem dúvida, a melhor defesa contra ataques cibernéticos direcionados e centrados em pessoas. Porém, ela não é uma solução rápida. Não é possível implementá-la imediatamente.
Primeiro, você precisa compreender qual é o seu nível de conscientização. Daí, você pode se concentrar em treinamento, acúmulo de conhecimentos e compreensão, criando a base da sua estratégia cibernética. Isso significa aprendizagem regular obrigatória, no contexto das ameaças vigentes, direcionada para aqueles que mais necessitam.
Quanto mais o seu pessoal souber sobre ameaças cibernéticas, o impacto destas e seu papel em mantê-las à distância, mais rapidamente os comportamentos inseguros mudarão. Somente a partir dessa base você poderá construir uma cultura de segurança capaz de quebrar a cadeia de ataque antes que o seu perímetro seja invadido.
Saiba mais sobre como a Proofpoint pode ajudar você a quebrar a cadeia de ataque. Além disso, não deixe de fazer o download do relatório State of the Phish de 2023 da Proofpoint sobre as maiores ameaças cibernéticas regionais e sobre como transformar os seus usuários em sua melhor defesa.