Como prevenir violações de dados em 2023
A chave para prevenir violações de dados no atual cenário de cibersegurança é entender exatamente como elas acontecem e cobrir toda a sua superfície de ataque. Deixe-nos guiá-lo através da anatomia da perda de dados e mostrar-lhe pontos fracos específicos que poderiam impactar sua segurança de dados.
Números de violação de dados em ascensão
Ano após ano, o número de violações de dados continua crescendo. De acordo com o Relatório Anual de Violação de Dados do Centro de Recursos de Roubo de Identidade 2021, em 2021 as organizações relataram 1.862 violações de dados, em comparação com 1.108 em 2020.
Embora as maiores violações de dados como Equifax ou Yahoo! façam as manchetes, não se trata necessariamente dos números. Para as pequenas empresas, uma quebra de segurança aparentemente menor pode ter sérias conseqüências, levando até mesmo ao fechamento. No caso de indústrias voláteis, o tipo de dados sensíveis perdidos, tais como números de cartões de crédito, informações financeiras ou dados médicos, podem incorrer em enormes multas, bem como ter um grande impacto sobre os proprietários deste tipo de dados.
O crescente número de violações de dados pode ser atribuído principalmente ao crescente interesse criminal pelos dados. Quanto mais nos aproximamos de uma sociedade digital, maior é o valor dos dados para os criminosos. Um vazamento de informações confidenciais, tais como números de previdência social, juntamente com outros dados pessoais e/ou PII, pode permitir que os criminosos cibernéticos assumam facilmente identidades no mundo digital.
A maioria das violações de dados é, de fato, resultado de atividades criminosas. Phishing e resgate são citados pelo Centro de Recursos contra Roubos de Identidade (ITRC) como as principais ameaças à segurança e causas de comprometimento de dados. O ITRC também afirma que houve mais compromissos de dados relacionados a ataques informáticos (1.603) em 2021 do que todos os compromissos de dados em 2020 (1.108).
Anatomia de um ciberataque
A falta de compreensão da segurança cibernética pode ser uma das principais razões pelas quais nem todas as organizações têm prevenção suficiente contra violações de dados. E isto poderia ser parcialmente atribuído à mídia, que se concentra em termos populares como phishing e resgate e faz muitos acreditarem que, se estiverem bem protegidos contra estes dois tipos de ataques cibernéticos, podem descansar a cabeça. Infelizmente, isso está muito distante da verdade.
Quase todo ataque cibernético é uma complexa cadeia de atividades que envolve não apenas computadores, mas principalmente humanos e suas fraquezas. Os hackers maliciosos mais famosos da história, como Kevin Mitnick, não eram apenas mestres dos computadores, mas, mais importante, mestres da engenharia social. Um ataque cibernético que leva a uma violação de dados pode levar muito tempo, mesmo vários meses, e pode significar que o atacante estabeleça retenções de recursos, faça reconhecimento e use muitas técnicas diferentes no caminho.
Por exemplo, um atacante pode começar por encontrar uma vulnerabilidade da web em relação ao XSS em um dos sites menores de propriedade da organização, como por exemplo um site de marketing. Ao mesmo tempo, eles iriam descobrir a estrutura organizacional e selecionar os principais usuários como alvos. Os usuários alvo seriam então atingidos por um ataque de phishing de lança que utilizaria o XSS previamente encontrado. A falta de prevenção contra perda de dados (DLP) tornaria possível ao usuário expor suas credenciais de login ao atacante. Então, o atacante verificaria se as mesmas credenciais funcionam para sistemas diferentes e poderia descobrir que eles poderiam obter acesso à principal aplicação web de negócios da organização. Este acesso não autorizado poderia levar o atacante a encontrar mais riscos de segurança, ganhando mais permissões e, finalmente, instalando um shell web que deixaria o atacante executar comandos usando o sistema operacional do servidor web. Isto, por sua vez, tornaria possível a instalação de ransomware.
Como você pode ver, o ransomware é apenas uma pequena etapa final do ataque e nenhuma quantidade de software de proteção de ransomware ajudaria se as etapas anteriores pudessem ser executadas pelo atacante. A mídia, e até mesmo o ITRC, tratam o ransomware como uma causa raiz das violações de dados (porque é um termo “sexy”), não se concentrando no fato de que o ransomware deve, de alguma forma, primeiro entrar nos sistemas através de fraquezas nos sistemas de computador e no comportamento humano.
Prevenção através de cobertura completa
Para evitar situações como o exemplo acima, as organizações devem certificar-se de que suas políticas de segurança se concentrem em uma proteção abrangente, e não estejam lá apenas para atender às exigências de conformidade. Infelizmente, muitas organizações chegam ao ponto de passar por auditorias e avaliações, o que resulta em muita da superfície de ataque ser coberta inadequadamente.
A segurança cibernética deve ser tratada exatamente da mesma forma que a segurança física – não há vantagem de instalar fechaduras extras na porta se a janela puder ser facilmente quebrada. O desafio para muitas organizações é o fato de que a segurança cibernética é um assunto muito complexo e é difícil encontrar todas essas janelas e portas. E a atual brecha de talento em cibersegurança não está ajudando as organizações que lutam para contratar gerentes de segurança bem instruídos e experientes.
Aqui estão algumas das áreas que muitas vezes são deixadas insuficientemente protegidas:
- O fator humano continua sendo o maior risco para a ciber-segurança. A educação ajuda a reduzir erros humanos, negligência, fraudes e phishing, mas mesmo se você treinar bem os funcionários, não ajudará a evitar atos maliciosos intencionais. O software de proteção contra malwares não é quase suficiente para impedir que os humanos causem danos através de seu comportamento intencional e não intencional. Ele deve ser combinado com outras soluções, tais como software de prevenção de perda de dados (DLP). A primeira impede a instalação de software malicioso no terminal, enquanto a segunda impede o compartilhamento manual de informações sensíveis fora da empresa, por exemplo, através de mídia social, bem como a transferência do disco rígido do laptop para mídia portátil sem proteção de dados suficiente (criptografia).
- Os primeiros estágios dos ataques cibernéticos concentram-se mais freqüentemente no fator humano, mas alguns deles começam por encontrar fraquezas nos sistemas de computação. Enquanto há poucos anos atrás era principalmente uma questão de segurança de rede e atualização de seus sistemas assim que os patches de segurança estavam disponíveis, a mudança para a nuvem e a abundância de tecnologias web não apenas em aplicações, mas também APIs e tecnologias móveis mudaram o foco para a segurança de aplicações web. Muitas organizações ainda vivem no passado e se concentram na segurança da rede, não tratando as vulnerabilidades e configurações erradas da web com a devida diligência e, em vez disso, pensando que uma VPN e uma firewall de aplicação web será suficiente. As organizações também lutam para entender as complexidades das infra-estruturas das nuvens e pensam que nomes extravagantes como CSPM e CWPP garantirão todas as camadas, deixando de fora a camada crítica de aplicação.
Outro problema é que os especialistas em cibersegurança muitas vezes não entendem a psicologia do usuário. Um exemplo claro disso é a freqüência com que as equipes de segurança cibernética não entendem a abordagem dos usuários em relação às senhas. Ao forçar os usuários a fazer senhas que incluem letras maiúsculas, números e caracteres especiais, eles acabam com a maioria das pessoas usando senhas semelhantes a “Senha1!”, que são triviais de quebrar e não são senhas fortes. Forçar os usuários a mudar as senhas a cada mês, mais ou menos, também os faz simplesmente mudar “Senha1!” para “Senha2!” e reutilizar suas senhas em todos os sistemas. Em vez disso, as organizações deveriam adotar novas tecnologias como autenticação multi-fator, bem como chaves biométricas e de hardware e promover soluções tais como gerentes de senhas entre seus usuários.
A receita do sucesso?
Não há uma receita simples para manter a melhor postura de segurança possível e evitar violações de dados em 2022. Sua melhor aposta é contratar as pessoas certas, garantir que você não esteja vivendo no passado e entender que para cobrir todas as suas bases você precisará de muitas tecnologias, soluções e medidas de segurança diferentes, e não é suficiente obter um pacote caro de um grande fornecedor de segurança que usa palavras grandes e extravagantes em suas campanhas de marketing.
Talvez DLP ou DAST não fossem necessários há 10 anos e você pudesse contar com um software antivírus e um firewall, mas no mundo da segurança cibernética a situação muda muito rapidamente e você tem que ter seu dedo no pulso. Desde que você se aproxime da segurança cibernética com uma mente aberta e certifique-se de que ela nunca se torne um silo em sua organização, você tem mais chances do que muitos de evitar uma violação de dados.