O cenário de ameaças evolui rapidamente. À medida que surgem novos métodos de ataque e técnicas de engenharia social, é essencial que seu programa de conscientização em segurança seja relevante, ágil e focado.
No nosso Relatório State of the Phish 2024, a maioria das organizações afirmou ter utilizado inteligência de ameaças do mundo real em 2023 para moldar seu programa de conscientização em segurança. Isso nos deixa felizes em ouvir! Na Proofpoint, sabemos que é essencial usar ameaças e tendências do mundo real para ensinar os funcionários sobre os ataques que eles enfrentarão. É igualmente importante garantir que seu programa não esteja ensinando tópicos de segurança que não são mais relevantes.
Neste artigo, discutimos quatro práticas essenciais para manter seu conteúdo de conscientização e treinamento em segurança sempre atualizado e orientado por ameaças:
- Analisar as tendências de ameaças reais para se manter atual e relevante
- Utilizar ameaças do mundo real para informar seus testes e treinamentos
- Atualizar seu plano de treinamento para que seja relevante e preciso
- Garantir que os profissionais de segurança estejam atualizados sobre as mudanças no conteúdo
Imagem do nosso sempre atualizado (viu o que fizemos aqui?) modelo de phishing que testa a personificação da marca.
O risco centrado no ser humano de não mantê-lo atualizado
Vamos primeiro falar sobre o que acontece quando os funcionários são treinados em conteúdos de ameaças desatualizados. Os resultados podem criar riscos significativos centrados no ser humano para a sua organização porque os funcionários podem abordar a segurança com comportamentos inseguros, como:
- Ter uma falsa complacência sobre seu conhecimento. As pessoas podem acreditar que estão bem-preparadas para identificar e responder a ameaças, levando a ações baseadas em suposições incorretas.
- Não responder efetivamente a ameaças direcionadas. As pessoas podem tomar decisões baseadas em suposições incorretas, aumentando a possibilidade de ataques bem-sucedidos específicos para seu papel ou indústria.
- Relatar incorretamente um incidente de segurança. Conteúdos de treinamento desatualizados podem fornecer procedimentos incorretos para relatar e responder a incidentes de segurança.
- Não estar em conformidade com os regulamentos da indústria. Conteúdos desatualizados podem não atender ao treinamento de conformidade exigido, expondo sua organização a possíveis penalidades legais e financeiras.
- Não estar engajado na cultura de segurança da sua organização. Se os funcionários perceberem a educação em segurança como desatualizada ou irrelevante, eles podem ver a responsabilidade pela segurança como uma perda de tempo profissional.
Agora vamos falar sobre nossas quatro práticas recomendadas para garantir que nada disso aconteça.
Imagem do treinamento AI Chatbot Threats (play video).
1: Analise tendências reais de ameaças para se manter atualizado e relevante
É essencial informar seu programa com inteligência sobre ameaças. Esses insights do mundo real ajudarão os funcionários a compreenderem o escopo e o impacto das ameaças que enfrentam e permitirão que as equipes de segurança adaptem seu treinamento e mensagens de acordo.
Para usar a inteligência contra ameaças de maneira eficaz, é essencial que os profissionais de conscientização de segurança trabalhem de forma colaborativa em toda a organização. Você deseja compreender as tendências de ataque observadas em tempo real pelos profissionais de segurança que monitoram, analisam e investigam ameaças cibernéticas. Pode ser sua equipe de resposta a incidentes ou o Centro de operações de segurança (SOC).
Na Proofpoint, temos o compromisso de nos manter atualizados sobre as ameaças mais recentes e transmitir essas informações aos clientes. Nossa solução de Conscientização de Segurança é baseada em insights provenientes da análise de mais de 2,6 bilhões de e-mails diariamente, do monitoramento de mais de 430 milhões de domínios e do rastreamento de centenas de grupos de ameaças para ficar à frente dos invasores. Fazemos isso por meio de uma colaboração poderosa com nossa equipe interna de serviços de inteligência de ameaças e de uma plataforma de ameaças integrada que vincula o monitoramento e a correção de e-mails à detecção e educação de riscos humanos.
Insights recentes de tendências do mundo real incluem:
- Ataques orientados por telefone. No Relatório State of the Phish Brasil 2024, informamos que a entrega de ataques orientados por telefone (TOAD) continua a prevalecer. Os pesquisadores da Proofpoint observaram uma média de 10 milhões de mensagens TOAD enviadas todos os meses em 2023 e mais de 13 milhões de ataques TOAD no pico em agosto de 2023.
- Phishing de QR Code. Nos últimos meses, nossa equipe de pesquisa observou um aumento no número de códigos QR maliciosos como alternativa a links e anexos. Esta técnica é particularmente perigosa porque apresenta um formato familiar num contexto de phishing desconhecido.
- Golpes generativos de IA. Vemos o aumento de métodos generativos de IA, como deepfakes e golpes de conversação. Os invasores podem usar modelos de IA para ataques baseados em mensagens altamente convincentes, como personalização para destinatários individuais e tradução fluente para vários idiomas.
O blog Proofpoint mostra a conexão do risco humano entre a conscientização sobre segurança e a pesquisa de inteligência sobre ameaças.
2: Use ameaças do mundo real para fundamentar seus testes e treinamentos
À medida que as pessoas se tornam mais sofisticadas na detecção de phishing (e todas as suas variações), os invasores encontram novas maneiras de incorporar conteúdo malicioso. É essencial que os profissionais de segurança transformem as ameaças do mundo real em iniciativas relevantes de formação e sensibilização. Ao treinar os funcionários sobre como detectar e responder às ameaças mais recentes, você fortalece as defesas gerais de segurança da sua organização.
Considere métodos como testes do mundo real com simulação de ameaças, treinamento breve sobre tópicos de tendência e comunicação oportuna aos funcionários sobre um ataque recente que foi detectado. Por exemplo:
- Execute simulações de phishing de código QR para equipes de folha de pagamento e finanças para explicar a tendência real de códigos QR maliciosos.
- Forneça vídeos de treinamento para funcionários de depósitos sobre o uso malicioso de USB, menos comum, mas ainda constante.
- Envie e-mails para toda a empresa e distribua protetores de tela sobre como ficar atento às ligações, tanto em casa quanto no trabalho, devido a golpes de conversação gerados por IA.
O Proofpoint Security Awareness fortalece a importante conexão entre educação e ameaças ao lançar continuamente novos conteúdos orientados por ameaças. Isso inclui Alertas de Ameaça, que são boletins semanais de notícias focados em um ataque específico identificado por nossos analistas de ameaças ou coletados através de pesquisas de código aberto. Também lançamos os Holofotes de Ataque mensais, que lançam um olhar mais amplo sobre ameaças particulares que são de natureza global e estão crescendo em prevalência ou que se espera que se tornem tendências em breve.
Imagem do vídeo Attack Spotlight sobre golpes de conversação (reproduzir vídeo).
3: Atualize seu plano de treinamento para que seja relevante e preciso
Até agora, nos concentramos na importância de incorporar tendências de ameaças relevantes e ameaças do mundo real em um treinamento de segurança. Mas adicionar mais conteúdo para abordar ameaças emergentes é apenas uma parte de um plano eficaz. Conteúdo novo e atualizações regulares também mantêm a cibersegurança em destaque e promovem uma cultura de segurança proativa.
Ao atualizar seu plano de treinamento, volte ao básico e considere esses cinco aspectos:
· Quem precisa ser treinado? Por exemplo, os funcionários do help desk estão treinados nas táticas mais recentes usadas para acessar contas? Sua equipe financeira está ciente de como os atacantes usam IA generativa para melhorar a mensagem em golpes de comprometimento de e-mail comercial (BEC)?
- O que você precisa treinar? Por exemplo, há regulamentos da indústria que certos cargos devem ser treinados? Houve um incidente de segurança ou tendência de ameaça que as pessoas devem estar cientes? O propósito do treinamento é relevante para todos ou apenas para alguns aprendizes?
- Onde você está executando suas iniciativas? Por exemplo, você sempre realiza treinamentos online ou presencialmente? Se sim, pode dizer se isso tem sido eficaz? Por quais canais você está entregando as mensagens para seus funcionários – eles percebem?
- Quando você está executando suas iniciativas? Por exemplo, você só realiza treinamentos uma vez por ano? Se sim, você pode considerar treinamentos mais frequentes para garantir que sempre entregue informações oportunas sobre as últimas ameaças.
- Como você está atualizando o conteúdo? Por exemplo, seus aprendizes estão assistindo ao mesmo conteúdo todos os anos? Seu treinamento de phishing requer uma atualização nos conselhos e orientações? Um padrão anterior era apontar bandeiras vermelhas como gramática e ortografia deficientes, no entanto, e-mails escritos com IA generativa agora podem facilmente evitar esses erros.
No Proofpoint Security Awareness, revisamos, atualizamos e removemos conteúdo regularmente conforme necessário. Por exemplo, removemos recentemente material sobre Covid-19 devido à sua relevância reduzida e atualizamos nosso conteúdo de LGPD para refletir mudanças recentes. Em nossa revisão, prestamos muita atenção à diversidade, equidade e inclusão (DE&I) na forma como os tópicos são moldados e os personagens são projetados. Testamos nosso conteúdo para acessibilidade para garantir que possa ser usado por governos federal, estadual e local.
Vemos essa atualização como um suporte para nosso desenvolvimento contínuo para agilizar o trabalho dos profissionais de segurança. O que nos leva a discutir nossa última melhor prática!
Nossa página inicial da Biblioteca de Conteúdo apresenta o conteúdo mais recente que é adicionado continuamente.
4: Garanta que os profissionais de segurança fiquem atentos às mudanças de conteúdo
Nós entendemos: os profissionais de segurança lidam com muito trabalho manual para a gestão de conteúdo. É importante minimizar o tempo e os recursos necessários para construir e expandir seu programa de conscientização. Muitas vezes, isso significa usar ferramentas de solução que otimizam o fluxo de trabalho de conteúdo com processos integrados e automação.
No Proofpoint Security Awareness, temos otimizado a Biblioteca de Conteúdo com melhorias contínuas em recursos como:
- Integração de um repositório central de conteúdo. Nossos templates de phishing, módulos de treinamento e material de conscientização compartilham uma visão unificada, para que você possa rapidamente desenvolver e implantar uma campanha de simulação de phishing e um treinamento de acompanhamento.
- Filtros de conteúdo expandidos para uma experiência aprimorada. Você pode encontrar, visualizar e acessar conteúdo mais facilmente, como sendo capaz de pesquisar por critérios como domínios, atribuições, simulações, material e idiomas.
- Um local central para visualizar atualizações de conteúdo. O reformulado Centro de Recursos possui uma seção dedicada às novidades em Alertas de Conteúdo e Ameaças, como ameaças detectadas pela nossa equipe de pesquisa e novos conteúdos lançados.
- Tornando mais fácil ver as mudanças de conteúdo. Por exemplo, novos botões de visibilidade mostram se o conteúdo da Proofpoint será aposentado ou está no fim do suporte (EOS).
Da esquerda para a direita: alertas da Central de recursos, filtros de conteúdo e botões de status de conteúdo.
Saiba mais a respeito da Proofpoint
Para que a educação em segurança adote a melhoria contínua, é essencial manter seu conteúdo relevante para as tendências de ameaças à segurança. É igualmente importante manter uma abordagem nova e flexível para produzir esse conteúdo e como ele é entregue.
A exposição a conteúdos relevantes orientados por ameaças ajuda a cultivar uma cultura preocupada com a segurança em sua organização. No caso de um incidente de segurança, os funcionários treinados nas ameaças mais recentes estarão mais bem preparados para responder de forma rápida e eficaz. Estes planos e conteúdos de formação podem fornecer conhecimentos, competências e procedimentos para que as pessoas possam lidar eficazmente com riscos potenciais e com as suas próprias vulnerabilidades.
Na Proofpoint, nosso objetivo é sempre ajudar os funcionários a ver a segurança cibernética como uma responsabilidade compartilhada e ajudar os profissionais de segurança a minimizar o risco humano para suas organizações. Veja exemplos de nosso conteúdo de conscientização sobre segurança aqui.