Translate

15 janeiro 2024

Nove Desafios e Futuras Tendências em Cibersegurança

Olá, meus Tripulantes Cibernéticos. Sejam muito bem-vindos a mais uma jornada pelo ciberespaço deste Comandante. Hoje, iremos comentar sobre os nove principais desafios e as tendências futuras em cibersegurança. 

Introdução

A evolução da tecnologia trouxe consigo a crescente complexidade das ameaças digitais, colocando a cibersegurança no centro das preocupações. À medida que a tecnologia avança, somos desafiados a enfrentar um mundo cada vez mais complexo e imprevisível no campo da cibersegurança. Os ataques cibernéticos se tornam cada vez mais sofisticados e as regulamentações globais estão em constante mudança. 

À medida que novas tecnologias emergem, desafios inéditos surgem no horizonte da proteção de dados e sistemas. Olhando para um futuro próximo, é crucial entendermos os desafios e as inovações que moldarão a cibersegurança nos próximos anos. Uma pesquisa do Cybersecurity Almanac, de 2022, revela que, se o cibercrime fosse medido como um país, seria a terceira maior economia do mundo, depois dos EUA e da China. Nesse contexto dinâmico e desafiador, exploraremos as nove tendências emergentes que moldarão o futuro da cibersegurança.

1. Escassez de profissionais de cibersegurança 

A escassez de profissionais qualificados em cibersegurança é um desafio persistente. Há uma lacuna enorme e crescente entre vagas e talentos disponíveis. A demanda por especialistas supera significativamente a oferta, destacando a necessidade de investimento em treinamento e formação. 54% dos profissionais de segurança cibernética acreditam que o impacto da escassez de competências na sua organização piorou nos últimos anos, segundo relatório da Enterprise Strategy Group. Aumentos salariais contínuos para aqueles que possuem a experiência necessária e maiores investimentos em programas de formação, desenvolvimento e melhoria de competências serão algumas apostas das empresas para lidar com essa escassez de profissionais da área.

2. Inteligência Artificial e Machine Learning no Ataque e na Defesa Cibernética

Atualmente, a Inteligência Artificial é indispensável para fortalecer a segurança cibernética em qualquer ambiente digital. Embora benéfica, tem sido explorada por hackers em ataques complexos, que incorporam IA, Machine Learning e outras tecnologias avançadas. Iremos presenciar ataques cada vez mais sofisticados e inteligentes, alimentados por Inteligência Artificial. 81% das pessoas estão preocupadas com os riscos de segurança apresentados pelo chatbot de IA generativa ChatGPT, da OpenAI, enquanto só 7% acham que ele melhorará a segurança na Internet, segundo uma pesquisa da Malwarebytes. Portanto, a estratégia mais eficaz para combater ciberataques é fortalecer as defesas com a mesma tecnologia empregada pelos hackers.

3. Crescimento das Ameaças Cibernéticas e do Cibercrime como Serviço (CaaS)

O crescimento exponencial das ameaças cibernéticas é um grande desafio. Até 2024, 75% dos CEOs serão pessoalmente responsáveis por incidentes de segurança, segundo relatório do Gartner. Ataques como ransomware, phishing e violações de dados tornaram-se cada vez mais sofisticados, visando desde usuários individuais até grandes corporações e infraestruturas críticas nacionais. Ataques de phishing continuarão sendo um desafio gigante para as empresas. O phishing é uma forma comum de crime cibernético em que os criminosos buscam obter informações sensíveis, como senhas, dados bancários ou outras informações pessoais, fingindo ser uma organização legítima. Lidar com essa situação dependerá em grande medida da conscientização de toda a organização, embora a implementação de IA e a adoção de modelos de confiança zero também desempenhem um papel cada vez mais importante.

Vale destacar que o Cibercrime como Serviço (CaaS) está se tornando predominante e esta tendência continuará nos próximos anos, permitindo que indivíduos sem conhecimentos técnicos realizem ataques cibernéticos usando kits e serviços disponíveis na dark web, ampliando o espectro das ameaças digitais.

4. Internet das Coisas (IoT) e a Expansão das Superfícies de Ataque

A proliferação de dispositivos IoT expandiu as superfícies de ataque, tornando redes domésticas e corporativas mais vulneráveis. Esses dispositivos muitas vezes carecem de segurança robusta, tornando-se alvos fáceis para invasores. 

5. Confiança Zero e autenticação multifator como regras

O conceito de confiança zero (zero trust) ganhou uma força significativa nos últimos anos. A abordagem de confiança zero afirma que é tudo uma questão de não confiar em nenhuma entidade dentro ou fora da rede. Ou seja, cada usuário é tratado como uma ameaça potencial, independentemente de sua localização. Até 2026, 10% das grandes organizações terão um programa de Zero Trust maduro e mensurável, segundo relatório do Gartner. Em 2024, esse modelo de segurança zero trust continuará sendo prioridade para proteger as empresas de ameaças internas, violações externas e movimentos laterais dentro da rede.

Além disto, em um futuro próximo, veremos cada vez menos o uso de apenas senhas para autenticação. A autenticação multifator será imprescindível para proteger contas e dados, adicionando uma camada extra de segurança ao exigir que todos os usuários forneçam informações que vão além de uma simples senha. Além disso, as organizações podem configurar um sistema de autenticação multifator para enviar alertas sempre que houver a detecção de atividades suspeitas de login. Isso ajuda as empresas a responder mais rapidamente a ataques cibernéticos, minimizando os prejuízos.

6. Blockchain e Segurança Cibernética

O blockchain, conhecido por sua natureza descentralizada e imutável, será cada vez mais explorado para reforçar a segurança cibernética. Suas características de registro e validação podem ser aplicadas em autenticação, garantindo a integridade dos dados nos próximos anos.

7. Proteção de Dados e Privacidade

A proteção de dados e a privacidade tornaram-se uma preocupação global, sendo esta uma tendência que deve se acentuar nos próximos anos. Regulamentações como GDPR e LGPD destacam a importância de se proteger informações pessoais, exigindo práticas mais transparentes e seguras por parte das organizações, prevendo pesadas sanções a quem não atender as regulamentações.

8. Segurança e resiliência cibernética como estratégia de negócio

A cibersegurança será uma prioridade estratégica e não ficará mais isolada no departamento de TI. Segundo um relatório do Gartner, 40% dos conselhos de administração das empresas terão um comitê de segurança cibernética dedicado até 2025. A pesquisa também previu que 70% dos conselhos incluirão pelo menos um membro com experiência na área até 2026. Essa inclusão possibilitará ir além da defesa reativa, criando estratégias mais eficazes contra ameaças.

Resiliência cibernética é diferente de segurança cibernética. Distinguir os dois termos será cada vez mais crucial para a estratégia de negócio nos próximos anos. Segundo previsão da Forbes, apesar do foco da segurança cibernética estar na prevenção de ataques, o crescente valor atribuído à resiliência por muitas organizações reflete a dura realidade de que, mesmo com a melhor segurança, não se pode garantir uma proteção 100%. Assim sendo, as medidas de resiliência são concebidas para assegurar a continuidade das operações mesmo após uma violação bem-sucedida. Desenvolver a capacidade de recuperação ágil e, simultaneamente, minimizar a perda de dados e o tempo de inatividade permanecerá como uma prioridade estratégica para os próximos anos. 

9. Ataques cibernéticos patrocinados pelo Estado

Os ataques cibernéticos não são feitos apenas por hackers desonestos. Podemos antecipar para os próximos anos um aumento significativo nos ataques cibernéticos e na espionagem patrocinados pelo Estado. A guerra na Ucrânia e em Israel, por exemplo, nos mostrou que as operações militares caminharão de mãos dadas com operações de guerra cibernética. Uma ameaça que deverá ser mais comum serão os ataques realizados por Estados. Com o avanço das guerras, muitos Estados vão lançar ataques cibernéticos contra seus inimigos, e a infraestrutura crítica, envolvendo sistemas tais como de energia, comunicações, água e transporte, é frequentemente considerada um alvo. Comprometer esses sistemas pode causar impactos significativos em um país. Portanto, os países precisarão fortalecer suas defesas de cibersegurança e cooperar em iniciativas internacionais. Abordamos este tema em um vídeo, contendo nossa análise do filme: "O Mundo Depois de Nós", que atingiu a lista TOP 10 da Netflix.

Conclusões

As tendências de cibersegurança para os próximos anos trazem desafios crescentes, como a escassez de profissionais qualificados e o aumento de ataques sofisticados impulsionados por IA. A evolução para uma abordagem de confiança zero, a ênfase na autenticação multifator e a distinção entre resiliência e segurança cibernética são essenciais. A cibersegurança torna-se cada vez mais uma prioridade estratégica nas empresas, exigindo colaboração global para enfrentar ameaças, especialmente aquelas patrocinadas pelo Estado. A preservação da integridade digital requer inovação, educação e uma abordagem proativa para garantir a segurança em um mundo digital interconectado.

À medida que a tecnologia avança, o cenário de cibersegurança continuará a evoluir. Enfrentar esses desafios requer uma abordagem multifacetada, combinando inovação tecnológica com estratégias de conscientização, regulamentações sólidas e colaboração entre os setores público e privado. A colaboração entre setores público e privado é fundamental para fortalecer a resposta a incidentes cibernéticos. Compartilhar informações e boas práticas pode ser a chave para mitigar o impacto de ataques sofisticados.

Por fim, ao nos adaptarmos a esse cenário em constante mutação, podemos fortalecer nossa postura contra ameaças digitais emergentes, garantindo a segurança, a proteção e a resiliência dos dados em um ambiente digital cada vez mais complexo.

Espero ter contribuído. Desejo a todos uma ótima semana!

Paulo Pagliusi, Ph.D.
Comandante Cibernético

12 janeiro 2024

O Mundo Depois de Nós: uma Análise do Comandante Cibernético


Olá, meus Tripulantes Cibernéticos. Sejam muito bem-vindos a mais uma jornada pelo ciberespaço deste Comandante.

Hoje iremos comentar sobre um recente filme que chegou à lista dos TOP 10 do Netflix: “O Mundo Depois de Nós”, com Julia Roberts e Ethan Hawke.

Nele, as férias de uma família numa casa luxuosa sofrem uma reviravolta, quando um ciberataque apocalíptico afeta todos os dispositivos e duas pessoas estranhas batem à porta.

Vale a reflexão sobre o impacto de uma guerra cibernética na sociedade e como os acontecimentos do filme se dariam na vida real.

Qual a possibilidade de um ataque digital em massa acontecer? Quais ataques cibernéticos poderiam, de fato, desestabilizar a vida em sociedade e parar uma nação inteira?

Celulares sem sinal, Internet que não funciona, bloqueio de canal de TV e GPS com defeito podem acontecer na realidade em determinados momentos.

Mas aviões caírem, carros autônomos se desgovernarem e navios atracarem a toda velocidade em praias pela incapacidade de comunicação e erros no funcionamento de software não são episódios do nosso dia a dia.

É desta forma que o filme nos mostra como estamos dependentes da tecnologia e o que poderia acontecer à vida humana caso todos os apetrechos digitais (e até veículos e satélites) fossem afetados por um ataque hacker global à nossa infraestrutura crítica, que desmontasse tudo aquilo considerado normal em nossa rotina.

O filme nos mostra que uma guerra digital pode ser uma nova forma de desestabilizar uma nação remotamente, afetando suas telecomunicações, Internet, sistemas de geolocalização, financeiros e de defesa, além de energia, água e transporte aéreo, terrestre e marítimo.

Nessa linha, a fim de se prevenir quanto a cenários como este, vale destacar que o Brasil realiza anualmente o Exercício Guardião Cibernético (EGC), o maior exercício cibernético do Hemisfério Sul. Sendo que representei formalmente a Marinha do Brasil, como Pesquisador Sênior do Laboratório de Simulações e Cenários, da Escola de Guerra Naval, no EGC 5.0, organizado pelo Comando de Defesa Cibernética (ComDCiber), na Escola Superior de Defesa, em Brasília, de 2 a 6 de outubro de 2023.

O exercício contou com 1.100 participantes de 150 órgãos públicos, agências reguladoras e grandes empresas da infraestrutura crítica nacional, pertencentes às áreas prioritárias de energia elétrica, petróleo, gás natural e biocombustíveis, finanças, comunicações, transporte, águas e saneamento, transportes aéreo, aquaviário e terrestre.

Voltando ao filme, um ataque cibernético em massa teria a capacidade de afetar mais os países avançados, pela maior dependência deles de tecnologia e maior superfície digital de ataque que possuem.

Mas o cenário que o filme retrata exigiria uma quantidade de ataques muito grande e coordenada, em todas as formas de comunicação e de orientação de um país, algo altamente improvável de ocorrer hoje.

Pois exigiria do atacante enorme capacidade de execução, coordenação e controle sobre muitos sistemas, ao mesmo tempo.

Na teoria, porém, qualquer sistema pode ser invadido e manipulado, caso esteja online, conectado, seja alcançável, rastreável, pois sempre pode haver alguma brecha. E, por meio desta, é provável que qualquer dispositivo conectado seja hackeado.

 Entendo que o assunto, pela sua importância, poderia ter sido mais bem explorado e o roteiro do filme ter um ritmo um pouco mais acelerado.

Apesar disto, a questão principal é a reflexão que o filme gera e, nisto ele atinge seu propósito. Na visão do filme, a catástrofe é a própria humanidade. Na primeira fase do programa, a meta seria isolar uma nação, desabilitando suas comunicações e transportes, para deixar o país alvo todo mudo e paralisado.

Em seguida, ocorreria o “caos sincronizado”, disseminando desinformação e ataques falsos para enfraquecer as defesas do país, tornando-as vulneráveis a extremistas e até mesmo ao próprio Exército.

A ausência de um inimigo claro levaria as pessoas a se voltarem umas contra as outras. Com todas essas etapas bem-sucedidas, a terceira fase do plano ocorreria automaticamente. A população entraria em uma guerra civil, sucumbindo ao colapso e à autodestruição.

O autor do livro em que o filme se baseia, Rumaan Alam, acredita que, em uma fase avançada do ataque, com oponentes cortando a comunicação, espalhando desinformação e sons estridentes, as pessoas começarão a se voltar umas contra as outras, em uma guerra civil iminente e o colapso total do país.

Quanto a este tal som estridente, trata-se de um zumbido capaz de provocar náusea, enxaqueca, pressão no crânio, fadiga, vertigem, perda de memória e de audição.

Há aqui uma clara referência a um acontecimento real, denominado síndrome de Havana, pois foram exatamente estes os sintomas, em 2016, de diplomatas da Embaixada dos EUA em Cuba, após ouvirem um forte som misterioso, havendo até suspeitas de ataque por radiação de micro-ondas.

Algo similar e também cercado de mistério ocorreu com membros do governo americano e seus familiares em Viena, Paris, Genebra, Hanói e Bogotá.

Em uma determinada cena do filme, a seguinte questão é levantada pelos protagonistas. Eles citam que, em maio de 2000, um universitário de Ciência da Computação filipino, chamado Onel de Guzman, criou o vírus I Love You, conhecido como “Bug do Amor”, uma das pragas mais devastadoras de que se tem notícia, para um trabalho da faculdade que fora rejeitado.

Guzman, então, decidiu soltar a mensagem com vírus no dia 4 de maio, na véspera da sua formatura. O malware vinha por e-mail com um arquivo anexo chamado “Love-letter-for-you” que, após execução, enviava automaticamente a mensagem para todos os endereços cadastrados da pessoa.

Ao todo, estima-se que o vírus – desenvolvido em Visual Basic Script – foi enviado para mais de 84 milhões de usuários em todo mundo e causou prejuízo de mais de US$ 8,7 bilhões, atingindo grandes corporações como a Ford e agências governamentais no mundo todo.

Se tal estrago pôde ser provocado acidentalmente em 2000, por um simples estudante filipino, imagine o que pode causar ao mundo de hoje um ataque cibernético bem planejado e coordenado, conduzido por um exército de cibercombatentes treinados, patrocinados por um Estado-Nação?

Espero ter contribuído. Desejo a todos um bom filme!

Quem quiser me assistir em vídeo, comentando sobre este filme, basta clicar aqui.

Paulo Pagliusi, Ph.D.
Comandante Cibernético

08 janeiro 2024

Dez Riscos Cibernéticos Nunca Comentados

 

Introdução

Estes riscos cibernéticos aqui tratados podem não aparecer em um relatório oficial de avaliação, mas todo profissional de segurança precisa levá-los em conta. A gestão de riscos tradicional inclui categorizar ameaças e riscos potenciais, avaliar a probabilidade de ocorrência e estimar os danos resultantes se tais riscos não forem atenuados. Os custos das defesas e controles são dimensionados em comparação com os danos potenciais. E as defesas, via de regra são implementadas se tiverem custo mais baixo do que simplesmente permitir que as ameaças se concretizem. Essa decisão, baseada em palpites, pode trazer efeitos danosos à organização. Há uma enorme dificuldade de se calcular a probabilidade de ocorrência de um risco e dos seus possíveis danos.

Essa avaliação sempre foi mais baseada em fatores subjetivos do que em uma tabela rígida de cálculo. Como estimar as chances de um ataque sofisticado de ransomware, DDoS ou de uma agente interno ocorrer em sua organização, ou que ativos ele poderá acessar, com precisão? Alguém pode provar que a probabilidade é de 20% contra 60% em um determinado período? Todos possuem tais problemas de estimativa, mas para trazer mais complexidade a essa avaliação, destacamos dez fatores que afetam a gestão de riscos, raramente discutidos abertamente, descritos os itens a seguir.

1. Isso nunca vai acontecer

Toda avaliação de risco é uma batalha entre se enfrentar algo que pode acontecer ou não fazer nada, principalmente se este algo nunca ocorreu antes. Muitos acreditam que não fazer nada não representa custos, e quem se esforça para fazer algo pode ser visto como desperdiçador de dinheiro. “Por que desperdiçar esse dinheiro? Isso nunca vai acontecer!”

Poucos têm problemas ao seguir a rotina e fazer o que sempre foi feito. É bem mais difícil ter a iniciativa e ser proativo, do que esperar o dano acontecer para tentar resolvê-lo, especialmente quando estão envolvidas significativas somas de dinheiro.

2. Risco político

Assumir proativamente os riscos leva ao próximo componente pouco comentado: risco político. Toda vez que os profissionais proativos querem defender a empresa de algo que nunca aconteceu antes, eles perdem um pouco do seu capital político. A única situação em que vencem é quando algo sobre a que estão sendo proativos, de fato, acontece. Se eles são bem-sucedidos e conseguem convencer a empresa a colocar controles e defesas cibernéticas para que o mal nunca aconteça, a situação negativa provavelmente nunca ocorrerá.

É uma vitória sem méritos. Quando conseguem proteger adequadamente a empresa, ninguém reconhece o valor de estar seguro e o esforço da negociação para se conseguir o investimento para mais controles. Cada vez que algo de ruim com que se preocupam nunca acontece, os profissionais de segurança são vistos como geradores de custos. Nesse contexto, perdem capital político.

Qualquer um que já participou de uma discussão sobre gestão de riscos certamente não deseja enfrentar muitas delas, pois nelas “queimam” um pouco (ou muito) de sua reputação. Então, os profissionais proativos calculam que batalhas querem travar. Com o tempo, os mais experientes escolhem menos batalhas. O instinto de sobrevivência é mais forte. Muitos apenas esperam o dia em que algo de ruim aconteça: não lutam mais contra os argumentos contrários, pois não querem se tornar bodes expiatórios.

3. Dizer “estamos protegidos”, sem estar

 Boa parte dos controles e defesas que as pessoas afirmam haver implementado em uma organização não são 100% eficazes. Muitos dos envolvidos no processo sabem disso. Os exemplos mais comuns são os patches e backups. A maioria das empresas afirma que instalou de 99% a 100% dos patches de atualização dos dispositivos. Na verdade, é difícil encontrar um dispositivo com os patches completamente atualizados, em qualquer empresa.

O mesmo vale para backups. Os ataques de ransomware revelam que a maioria das organizações não costuma fazer bons backups. Apesar de grande parte das organizações e dos seus auditores verificarem durante anos que os backups críticos são feitos e testados regularmente, basta um grande golpe de ransomware para mostrar o quão radicalmente diferente é a realidade.

Como uma pessoa encarregada dos backups pode testar tudo, quando não tem tempo nem recursos para fazê-lo? Para testar se um backup e uma restauração realmente funcionam, é preciso fazer uma restauração de teste de muitos sistemas diferentes, todos de uma vez, em um ambiente separado de homologação, que teria que funcionar como o ambiente de produção. Isso exige um grande comprometimento de pessoas, tempo e recursos, algo que a maioria das organizações não possui.

4. “Sempre foi assim”

É difícil lutar contra o argumento do “é assim que sempre fizemos”, especialmente quando nenhum ataque às vulnerabilidades da organização ocorre - ou é percebido - há décadas. Por exemplo, é comum encontrar organizações permitindo que senhas de acesso à sistemas tenham seis caracteres e nunca sejam alteradas.

Às vezes, é porque as senhas da rede de PCs precisam ser iguais às senhas conectadas a algum sistema mais antigo, de que a empresa depende. Todos sabem que o uso de senhas de seis caracteres não sendo alteradas com a devida frequência não é uma boa ideia mas, como nunca causaram problemas, então muitos se perguntam: por que mudar?

5. Interrupção operacional

Todo controle e defesa que se implementa pode causar um problema operacional na organização. É preciso, portanto, se preocupar com a possível interrupção operacional que cada controle ou defesa passíveis de serem implementados possam causar. Pois um remédio concentrado pode até ser amargo, mas não pode matar o paciente.

Quanto mais radical o controle, maior a probabilidade de se mitigar os riscos da ameaça que este controle combaterá. Mas também maior o nível de suspeita que se deve ter sobre a possibilidade dele provocar na organização uma séria e preocupante interrupção operacional.

6. Insatisfação dos usuários

Nenhum responsável por gestão de risco cibernético almeja irritar usuários, implementando controles que restringem o acesso deles à Internet e o que podem fazer em seus computadores. Ocorre, porém, que os usuários são responsáveis por um elevado percentual de todas as violações de dados (muitas vezes, por meio de phishing e engenharia social). Não é possível confiar apenas no treinamento de segurança e nos instintos dos usuários para se proteger uma organização. É preciso negociar com eles, com habilidade, as restrições e os controles de acesso.

7. Insatisfação dos clientes

Ninguém deseja implementar uma política ou procedimento que leve à perda de clientes. Clientes descontentes tornam-se clientes felizes de outras empresas. Qualquer solução que possa prejudicar a experiência do cliente deve ter uma profunda análise quanto a custos e benefícios de sua implantação, no que se refere à satisfação dos clientes. E com defesas e controles cibernéticos  isto não é diferente.

8. Uso da tecnologia de ponta

A maioria das pessoas não tentará uma solução de cibersegurança de ponta inovadora até que um grupo de pioneiros a adote. Não é muito cômodo estar de frente para o desconhecido. Os que adotam cedo uma tecnologia inovadora podem ser recompensados por chegarem cedo, e alcançar vantagens competitivas sobre aqueles que os seguirão.

Entretanto, como toda novidade, é preciso conhecer o mercado, o estado da arte da tecnologia e avaliar a confiabilidade e a experiência do fornecedor da solução, para que a inovação não vire um potencial desastre, expondo a organização à interrupção operacional ou a algum risco severo de segurança cibernética.

9. Risco de se chegar atrasado

Quase sempre enfrentamos algum risco cibernético que já aconteceu com outras pessoas e empresas (ou com sua própria organização). Muitas vezes se espera para ver que truques os hackers têm na manga, antes de se criar defesas e controles para combater estes novos riscos. Esperar primeiro para ver o que os cibercriminosos estão fazendo gera um atraso entre o momento em que o novo comportamento malicioso é detectado e as ações de avaliação da nova técnica, definição de novos controles e de defesa contra o ataque cibernético. Neste jogo de esperar para ver, você sempre estará atrasado.

10. Não há como se defender de tudo

Segundo a revista CSO Online (www.csoonline.com), em 2019 foram anunciadas mais de 16.500 novas vulnerabilidades públicas. Mais de 100 milhões de programas de malware exclusivos eram conhecidos. Todo tipo de hacker - desde os financiados por estados-nação a ladrões financeiros e adolescentes que conhecem como desenvolver scripts - está tentando invadir sua organização. É muito ataque, vindo de todas as direções, para se preocupar. 

Não há como como se defender de tudo, a menos que se tenha acesso a uma quantidade ilimitada de dinheiro, tempo e recursos. O melhor a fazer é avaliar quais os riscos mais importantes de serem tratados e ter uma plataforma moderna e robusta de segurança cibernética, além de processos de segurança implementados atingindo, assim, o grau de maturidade ideal para a devida proteção cibernética, ideal para cada organização.

Conclusão 

Estes dez fatores de riscos apresentados não são novidade, apenas não costumam ser discutidos abertamente pelas empresas. Mas sempre existiram e devem ser considerados quando avaliamos riscos cibernéticos e pensamos em estabelecer os controles necessários. 

Tudo aponta para o fato de que a avaliação e a gestão de risco cibernético são muito mais difíceis e complexos na prática do que aparentam ser na teoria. Como resultado, contar com especialistas em segurança cibernética é algo vital para as corporações. Quando consideramos todas as coisas com que um profissional de segurança precisa se preocupar e avaliar, é incrível o fato dele acertar na maior parte do tempo.

Enfim, essa é uma luta que precisa ser enfrentada diariamente. Para tal, procure sempre a assessoria de um especialista em cibersegurança - costumamos dizer que não há lugar para amadores no ciberespaço.  Conte com nossa experiência e conhecimento para ajudar a encontrar as melhores soluções e processos de segurança cibernética para sua empresa.

Paulo Pagliusi, Ph.D. in Information Security
Pagliusi Inteligência em Cibersegurança

02 janeiro 2024

Qual o orçamento ideal para cibersegurança da sua empresa?


A cibersegurança tornou-se uma das áreas mais críticas e discutidas no ambiente empresarial atual. Com o crescimento exponencial da digitalização e a globalização dos mercados, as ameaças cibernéticas tornaram-se cada vez mais sofisticadas e prejudiciais. Então, qual será o orçamento ideal para garantir a cibersegurança da sua empresa?

Antes de determinar um valor, é importante entender que o orçamento ideal depende de vários fatores, incluindo o tamanho da empresa, o setor em que atua, o volume e tipo de dados que gerencia, bem como a maturidade de seus sistemas e processos. Além disso, o cenário de ameaças está em constante evolução, o que exige uma revisão e adaptação periódica do orçamento.

Tamanho da Empresa

Pequenas empresas: As pequenas empresas podem não ter a mesma capacidade de orçamento das empresas maiores, mas também estão em risco e muitas vezes são consideradas alvos fáceis por ciberatacantes devido a possíveis lacunas em suas defesas. Portanto, podemos considerar um orçamento para cibersegurança entre 80 mil a 250 mil reais por ano.

Médias empresas: Estas empresas podem não ter o mesmo volume de dados que as grandes corporações, mas ainda assim são alvos atrativos para os cibercriminosos. O orçamento ideal para estas empresas pode variar entre 350 mil a 1,5 milhões de reais por ano.

Grandes empresas: Para corporações com operações globais e vastos ativos digitais, a cibersegurança é absolutamente crítica. Essas empresas podem considerar alocar entre 800 mil a 8 milhões de reais por ano.

Setor de Atuação

Empresas em setores como financeiro, saúde e defesa, que gerenciam informações sensíveis, devem priorizar ainda mais a cibersegurança. Nestes setores, um investimento mais robusto – até 40% do orçamento de TI – pode ser justificado.

Volume e Tipo de Dados

Empresas que lidam com grandes volumes de dados sensíveis ou pessoais precisam de soluções de segurança mais avançadas, como criptografia de ponta a ponta, sistemas de detecção de intrusão e de SIEM (security information and event management).

Maturidade de Sistemas e Processos

Se uma empresa está apenas começando sua jornada de cibersegurança, pode ser necessário um investimento inicial maior para estabelecer a infraestrutura, treinamento e processos adequados. Empresas com sistemas de segurança já maduros podem focar mais na manutenção e atualização contínua.

É essencial que as empresas reconheçam a importância crítica da cibersegurança e aloquem recursos suficientes para proteger seus ativos digitais. Por fim, o investimento em cibersegurança não deve ser visto apenas como um custo, mas como um investimento essencial para proteger a reputação, os ativos e a continuidade dos seus negócios.

A Pagliusi Inteligência em Cibersegurança 
disponibiliza serviços de cibersegurança personalizados para cada empresa. Contate-nos agora via e-mail: paulo@pagliusi.com.br

21 dezembro 2023

Engenharia Social com Superpoderes da IA

 

Por Paulo Pagliusi

Introdução

A IA vem fazendo um progresso surpreendente, abrindo um novo mundo de possibilidades. Os criadores de IA recentemente permitiram sua adoção de uma forma incrivelmente rápida, equipando chatbots avançados de IA (como Bard e ChatGPT) com a interface de usuário mais simples conhecida: uma janela de texto para consultar a máquina com prompts. Contudo, sob a perspectiva da segurança cibernética, a crescente popularidade dessas ferramentas generativas de IA introduziu uma escalada alarmante de ameaças de engenharia social.

Em artigo publicado em 29Nov23 pela TI Inside, verifica-se a probabilidade de que, em 2024, a engenharia social domine o cenário de ameaças e seja a tática predominante de infiltração usada em ataques cibernéticos. Os principais canais para a engenharia social devem incluir: (i) aplicativos de mensagens; (ii) mídias sociais; (iii) chamadas telefônicas; (iv) mensagens de texto; e (v) e-mail. Neste cenário, os hackers devem usar ainda mais a Inteligência Artificial (IA) para a exploração rápida de vulnerabilidades e a extração automatizada de informações valiosas.

O Fator Humano
O fator humano é frequentemente considerado o elo fraco na segurança da informação. Com o avanço da engenharia social potencializada pela IA, essa fragilidade se torna mais evidente. Os cibercriminosos podem utilizar técnicas persuasivas e manipulativas para explorar os indivíduos e fazê-los comprometer a segurança de suas organizações. Deste modo, a engenharia social potencializada pela IA representa um risco significativo para uma instituição. Essas tentativas enganosas podem levar os indivíduos de uma corporação a divulgar dados sigilosos, como senhas ou informações classificadas, ou a abrir links maliciosos que podem resultar em violações de segurança e exploração de ataques cibernéticos direcionados.

Como a IA pode fazer a Engenharia Social avançar

A engenharia social é a arte de manipular, influenciar ou enganar os usuários para obter controle sobre um sistema de computador. Agentes de ameaças, phishers (golpistas de phishing [1]) e engenheiros sociais – sendo eles próprios “empreendedores” – adotarão qualquer nova tática que lhes dê uma vantagem. Segundo a FORBES, há várias formas com que adversários podem aproveitar a IA para criar ataques avançados de engenharia social:

·       Os ataques de phishing tradicionais chegam com muitos erros gramaticais. Os phishers muitas vezes não são falantes nativos da língua que utilizam para atacar as pessoas. Usando ferramentas de IA como o ChatGPT, os invasores podem redigir e-mails extremamente sofisticados – com correção gramatical e ortográfica adequada – que parecem como se um humano os escrevesse, neutralizando o modo usual de percepção deste tipo de ataque pela incidência de erros de redação.

·       A IA pode ajudar a criar deep fakes (vídeos sintéticos e identidades virtuais falsas) que parecem muito realistas. Os golpistas podem imitar uma pessoa real (um executivo sênior, um cliente, um parceiro de negócios etc.), envolver a vítima em uma conversa e fazer com que ela revele informações confidenciais, realize transações financeiras ou espalhe desinformação.

·       Os agentes de ameaças podem clonar fala e áudio humanos para realizar tipos avançados de ataques de phishing por voz ("vishing"). A Comissão Federal de Comércio (FTC, na sigla em inglês) alertou sobre golpistas que usam tecnologia de clonagem de voz por IA para se passar por familiares e enganar vítimas para transferir dinheiro, a pretexto de sanar uma emergência familiar.

·       Ferramentas de IA também podem ser usadas como uma ferramenta para phishing. Por exemplo, usando uma técnica complexa chamada Injeção Indireta de Prompt, os pesquisadores manipularam com sucesso um chatbot do Bing para se passar por um funcionário da Microsoft e, em seguida, gerar mensagens de phishing que solicitavam informações de cartão de crédito dos usuários.

·       Usando agentes autônomos, bem como scripts inteligentes e outras ferramentas de automação, os agentes de ameaças podem realizar ataques de engenharia social altamente direcionados em escala industrial. Por exemplo, eles podem automatizar as etapas envolvidas, desde a seleção do alvo até a entrega do e-mail de phishing, passando por uma resposta semelhante à humana em um chat de conversação ou em um telefonema.

·       A IA também pode improvisar a partir de seus próprios aprendizados (distinguindo entre o que funciona e o que não funciona) e evoluir suas próprias táticas inteligentes de phishing em busca do melhor caminho a seguir.

O que as empresas podem fazer para se proteger desse risco emergente?

Os ataques cibernéticos baseados em IA provavelmente piorarão significativamente nos próximos cinco anos. Seguir as práticas abaixo recomendadas pode ajudar as corporações a mitigarem o risco de ataques de engenharia social baseados em IA:

1.     Treine usuários para detectar engenharia social.

O elemento humano é a peça mais crítica em um ataque de engenharia social. É fundamental que os usuários desenvolvam uma forma saudável de ceticismo e memória “muscular”, por meio de treinamento regular, testes de phishing e exercícios de simulação, para que os usuários aprendam a identificar, bloquear e relatar ações suspeitas logo quando estas surgem.

De acordo com o estudo de benchmarking da empresa KnowBe4, os usuários que passam mais horas em treinamento de segurança mostram uma taxa de sucesso significativamente maior se defendendo contra phishing, em comparação com aqueles que recebem menos prática. A porcentagem de usuários que são vítimas de golpes de engenharia social cai de 32,4% para 5%, após um treinamento mensal regular realizado por um ano, como o de conscientização em segurança e resistência a phishing para evitar danos causados por crimes cibernéticos, realizado pela nossa empresa, a Pagliusi inteligência em Cibersegurança.

2.     Implante controles de segurança baseados em IA.

Implemente ferramentas de segurança que aproveitem alguma forma de tecnologia de IA para analisar, detectar e responder a formas avançadas de engenharia social. Por exemplo, ferramentas que usam IA para inspecionar o conteúdo, o contexto e os metadados de todas as mensagens e URLs (na web, bate-papo e e-mail) para detectar sinais reveladores de phishing.

A IA pode ajudar a coletar e processar grandes quantidades de dados de várias fontes e aplicar modelos de aprendizado de máquina para detectar atividades não autorizadas e movimentos de ataques laterais. A IA pode ajudar na resposta a incidentes cortando a rede, isolando dispositivos infectados, notificando administradores, coletando evidências e restaurando backups.

3.     Implemente uma autenticação mais forte.

Uma solução de segurança que quase todo especialista em segurança recomenda é a autenticação multifatorial (MFA, na sigla em inglês). O MFA é uma ótima maneira de impedir que um invasor assuma a conta de uma vítima, mesmo que as credenciais dela tenham sido comprometidas.

As evidências revelam que as próprias soluções tradicionais de MFA são propensas à engenharia social. É por isso que é importante investir em MFA resistente a phishing, para que nenhuma IA nem um adversário humano possam aplicar engenharia social no MFA de uma vítima.

Conclusão

A tecnologia de IA vem avançando tão rapidamente que os hackers estão desenvolvendo seus próprios aplicativos de IA personalizados, projetados especificamente para levar a engenharia social para o próximo nível. 

As corporações devem, portanto, ficar atentas e considerar uma abordagem aprofundada de defesa cibernética – uma combinação de ferramentas de segurança baseadas em IA (uma arma secreta contra a engenharia social), coaching/treinamento, processos e procedimentos – porque a IA é bem capaz de criar uma engenharia social com superpoderes.


[1] Phishing é uma técnica de crime cibernético que usa fraude e engano para manipular as vítimas para que cliquem em links maliciosos ou divulguem informações pessoais confidenciais.