No artigo de novembro, comentamos sobre ferramentas que auxiliam e aumentam a proteção no elo mais fraco da “corrente” de cibersegurança: o usuário final. Mas mesmo com diversas ferramentas no ambiente e “agentes” instalados nos endpoints, ainda recebemos notícias de grandes fraudes, infecções e roubos de informações. Por quê? A resposta para essa dúvida está no simples fato de que a comunicação e a exploração acontecem entre “pessoas”, muitas vezes sobrepondo o fator tecnológico.
Se um atacante avançado realmente deseja obter vantagem financeira, dados confidenciais ou qualquer tipo de fraude, na maioria das vezes, o alvo final não será o ambiente tecnológico de uma empresa, mas os seus colaboradores.
Pensem comigo: seria mais fácil realizar uma busca no Linkedin, identificar as pessoas-chave da organização-alvo, entender quais são os seus interesses e gostos por meio de redes sociais e, a partir disso, bolar algum tipo de ataque de phishing e tentar realizar uma “invasão” remota? Ou seria mais fácil conseguir ultrapassar os milhões investidos em ferramentas de segurança para, depois de centenas de tentativas, ter a grande chance de obter acesso a um serviço ou servidor interno, para só depois começar a elevar o privilégio, identificar sistemas-chave, etc?
Com certeza a primeira opção, onde o requisito para realizar esse ataque nas maiorias das vezes não é técnico e sim mais “cara de pau” ou criativo, já que a possibilidade de se comprar malwares, ransomware e outros artefatos maliciosos na internet já é uma realidade.
E se o atacante pode ter acesso às pessoas da nossa organização, desde aqueles com menos privilégios de acesso até os “administradores”, como protegê-los? A verdade é: você não pode, isso depende 99,9% deles próprios. A partir do momento que entendemos (e aceitamos) isso, nossa missão como profissionais da área de segurança da informação se torna mais objetiva e clara (não fácil!).
Um estudo recente realizado pela Proofpoint mostrou dados alarmantes em uma análise feita com mais de seis mil profissionais dos mais diversos setores e cargos, em seis países diferentes, onde 33% dos entrevistados não sabiam ou erraram na explicação sobre o que era PHISHING. Em torno de 64% também não souberam dizer o que era RASOMWARE e 32% sobre o que era MALWARE.
Fizeram a seguinte pergunta para os entrevistados: “Caso você estiver em um local conhecido como um aeroporto ou hotel, é correto dizer que você pode confiar na internet disponibilizada nestes locais para você acessar e manter os seus dados seguros?” A resposta foi positiva para 39%.
Muitas vezes achamos que a pessoa sentada ao nosso lado ou até mesmo da nossa equipe saberia diferençar um e-mail fraudulento oferecendo uma televisão de 55” por 2.000 reais. Pode ser que sim, mas e se enviarem um e-mail se passando pela Netflix oferecendo apenas 10% de desconto nas mensalidades por 3 meses, eles saberiam também?
Novamente, a partir do momento que entendemos e aceitamos que a proteção do usuário final baseado nesses tipos de ataques depende mais deles do que de nós (profissionais de SI), é possível desenharmos planos e formas de conscientização através de treinamentos, simulações de ataques para aumentarmos cada vez mais o nível de entendimento sobre o assunto e formas de identificar uma fraude, um ataque de engenharia social ou uma promoção real!
Lembro, ainda, que aquele ataque de phishing simulado que você realizou há 6 meses na sua empresa não é o suficiente. Lembretes devem ser enviados, pelo menos, quinzenalmente. Compartilhar com os colaboradores exemplos de ataques de phishing ou engenharia social recebidos na sua empresa – e as ações tomadas para identificar que era uma fraude – é extremamente importante. Essas informações, junto com recomendações de melhores práticas, de como os colaboradores devem utilizar redes sociais, são tão importantes quanto as outras precauções.
Infelizmente, é por meio dessas pequenas brechas, dos pequenos “minutos” de descuido que os maiores ataques, vazamentos ou infecções acontecem. E é nossa responsabilidade realizar essa passagem de conhecimento!!
Caso tenham alguma dúvida adicional ou até alguns exemplos de materiais de conscientização, fiquem à vontade para entrar em contato. Espero ter esclarecido essas questões de alguma forma. Nos vemos no próximo mês!
Esta post foi modificado pela última vez em 19 de agosto de 2021 10:03