CISA – Orientação Cibernética para Pequenas Empresas

CISA – Orientação Cibernética para Pequenas Empresas. Os incidentes cibernéticos aumentaram entre pequenas empresas que geralmente não têm recursos para se defender contra ataques devastadores como ransomware. 

Como proprietário ou funcionário de uma pequena empresa, você provavelmente já se deparou com conselhos de segurança desatualizados ou que não ajudam a evitar os comprometimentos mais comuns. Por exemplo, é provável que você tenha ouvido conselhos para nunca fazer compras online usando a conexão wi-fi de uma cafeteria. Embora houvesse alguma verdade nesse medo há uma década, não é assim que as pessoas e as organizações estão comprometidas hoje. O cenário de segurança mudou e nosso conselho precisa evoluir com ele.

Este conselho é diferente.

Abaixo, o CISA oferece um plano de ação informado pela forma como os ataques cibernéticos realmente acontecem. O CISA dividiu as tarefas por função, começando pelo CEO. Em seguida, detalhou as tarefas para um Gerente de Programa de Segurança e a equipe de Tecnologia da Informação (TI). Embora seguir este conselho não seja uma garantia de que você nunca terá um incidente de segurança, ele estabelece as bases para a construção de um programa de segurança eficaz.

Papel do CEO

A cibersegurança é tanto sobre cultura quanto sobre tecnologia. A maioria das organizações cai na armadilha de pensar que somente a equipe de TI é responsável pela segurança. Como resultado, eles cometem erros comuns que aumentam as chances de um comprometimento. A cultura não pode ser delegada. Os CEOs desempenham um papel crítico ao realizar as seguintes tarefas:

1. Estabeleça uma cultura de segurança.  Faça questão de falar sobre segurança cibernética para subordinados diretos e para toda a organização. Se você tiver comunicações regulares por e-mail com a equipe, inclua atualizações sobre as iniciativas do programa de segurança. Ao definir metas trimestrais com sua equipe de liderança, inclua objetivos de segurança significativos que estejam alinhados com as metas de negócios. A segurança deve ser uma atividade de “todos os dias”, não ocasional. Por exemplo, defina metas para melhorar a segurança de seus dados e contas por meio da adoção de autenticação multifator (MFA) (mais sobre isso abaixo), o número de sistemas que você corrigiu totalmente e o número de sistemas dos quais você faz backup.
2. Selecione e dê suporte a um “Gerente do Programa de Segurança”.  Essa pessoa não precisa ser um especialista em segurança ou mesmo um profissional de TI. O Security Program Manager garante que sua organização implemente todos os elementos-chave de um forte programa de segurança cibernética. O gerente deve relatar o progresso e os obstáculos para você e outros executivos seniores pelo menos mensalmente, ou com mais frequência no início.
3. Revisar e aprovar o Plano de Resposta a Incidentes (IRP).  O Gerente do Programa de Segurança criará um IRP escrito para a equipe de liderança revisar. O IRP é o seu plano de ação antes, durante e depois de um incidente de segurança. Dê a atenção que merece em “tempo de paz” e envolva líderes de toda a organização, não apenas as funções de segurança e TI. Não haverá tempo para digerir e refinar durante um incidente.
   DICA PRO: Invoque o IRP mesmo quando suspeitar de um alarme falso. “Quase acidentes” geram melhorias contínuas no setor de aviação, e o mesmo pode ser verdade para o seu programa de segurança. Nunca deixe um quase-acidente ser desperdiçado!
4. Participe de  exercícios de mesa  (TTXs).  O Security Program Manager hospedará exercícios regulares de simulação de ataque chamados de exercícios de mesa. Esses exercícios ajudarão você e sua equipe a desenvolver os reflexos necessários durante um incidente. Certifique-se de que seus líderes seniores compareçam e participem.
5. Apoiar os líderes de TI.  Há lugares onde o apoio do CEO é fundamental, especialmente onde o programa de segurança precisa da ajuda de todos os membros da equipe. Assuma a propriedade de certos esforços em vez de pedir que a TI o faça. Por exemplo, não confie na equipe de TI para persuadir a equipe ocupada de que eles devem habilitar uma segunda maneira de entrar em seus e-mails habilitando a MFA. Em vez disso, faça você mesmo o anúncio da MFA para a equipe e acompanhe o progresso. Acompanhe pessoalmente as pessoas que não habilitaram a MFA. Isso cria uma cultura de segurança do topo.

Uma observação sobre MFA:  A autenticação multifator  (MFA) é uma abordagem em camadas para proteger suas contas online e os dados que elas contêm. É a ideia de que você precisa de mais do que uma senha para manter seus dados e contas seguros. Ao habilitar a MFA para seus serviços online (como e-mail), você fornece uma combinação de dois ou mais autenticadores para verificar sua identidade antes que o serviço conceda acesso. Formas comuns de MFA são mensagens de texto SMS enviadas para seu telefone, códigos de 6 dígitos gerados em um aplicativo de smartphone, notificações push enviadas para seu telefone e chaves de segurança físicas.

O uso de MFA protege sua conta mais do que apenas usar um nome de usuário e uma senha. Os usuários que habilitam a MFA são MUITO menos propensos a serem hackeados. Por quê? Porque mesmo que um fator (como sua senha) seja comprometido, usuários não autorizados não poderão atender ao segundo requisito de autenticação, impedindo-os de obter acesso às suas contas.

Papel do Gerente do Programa de Segurança

O gerente do programa de segurança precisará orientar os elementos do programa de segurança, informar o CEO sobre o progresso e os obstáculos e fazer recomendações. Estas são as tarefas mais importantes do Security Program Manager:

1. Treinamento.  Toda a equipe deve ser formalmente treinada para entender o compromisso da organização com a segurança, quais tarefas eles precisam executar (como habilitar a MFA, atualizar seu software e evitar clicar em links suspeitos que podem ser ataques de phishing) e como escalar atividades suspeitas.
2. Escreva e mantenha o  Plano de Resposta a Incidentes  (IRP).  O IRP especificará o que a organização precisa fazer antes, durante e depois de um incidente de segurança real ou potencial. Incluirá funções e responsabilidades para todas as principais atividades e um catálogo de endereços para uso caso a rede fique inativa durante um incidente. Faça com que o CEO e outros líderes aprovem formalmente. Revise-o trimestralmente e após cada incidente de segurança ou “quase acidente”. Precisa saber por onde começar? Consulte as páginas do CISA  sobre Noções básicas sobre o plano de resposta a incidentes com conselhos sobre o que  fazer antes, durante e depois de um incidente. 
3. Faça exercícios de mesa trimestrais (TTXs). Um TTX é um jogo de role-playing onde o organizador (possivelmente você!) apresenta uma série de cenários para a equipe ver como eles responderiam. Um cenário comum envolve um funcionário descobrindo que seu laptop está bloqueado por ransomware.  A CISA tem  dicas de exercícios de mesa de segurança cibernética  para você começar.
4. Garantir a conformidade com MFA. Sim – MFA novamente! A etapa mais importante que uma organização pode dar é garantir que todos os funcionários usem a MFA para fazer login nos principais sistemas, especialmente e-mail. Embora essa tarefa também esteja listada na seção de TI abaixo, é fundamental que várias pessoas revisem o status da MFA regularmente.

Além dos conselhos aqui, o CISA recomenda que você consulte as informações e os kits de ferramentas disponíveis na série Cyber ​​Essentials  para continuar a amadurecer seu programa.

Papel do Líder de TI

As principais tarefas para o líder e a equipe de TI incluem o seguinte:

1. Certifique-se de que a MFA seja obrigatória usando controles técnicos, não fé.  Algumas organizações instruíram seus usuários a se inscreverem na MFA, mas nem todos os usuários concluem essa tarefa. Muitas vezes, há lacunas de MFA para funcionários recém-integrados e para pessoas que migraram para um novo telefone. Você precisará procurar regularmente contas incompatíveis e corrigi-las. Sempre verifique as estatísticas de MFA.
2. Habilite o MFA para todas as contas de administrador do sistema.  Os administradores de sistema são alvos valiosos para invasores. Você pode supor que eles se inscreveriam reflexivamente no MFA. No entanto, a Microsoft relata que apenas 30% dos administradores globais do Azure Active Directory usam MFA. Em muitos compromissos, os invasores conseguiram se firmar na conta do administrador do sistema e, a partir daí, tiveram acesso completo a todos os ativos da empresa.
3. Remendo . Muitos ataques são bem-sucedidos porque as vítimas estavam executando um software vulnerável quando uma versão mais nova e mais segura estava disponível. Manter seus sistemas corrigidos é uma das práticas mais econômicas para melhorar sua postura de segurança. Certifique-se de monitorar o  Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA , uma lista das vulnerabilidades que vemos invasores usando em ataques reais. Priorize as vulnerabilidades no KEV. Além disso, sempre que possível, ative os mecanismos de atualização automática.
4. Executar e testar backups.  Muitas organizações que foram vítimas de ransomware não tinham backups ou tinham backups incompletos/danificados. Não basta agendar todos os sistemas importantes para ter um backup regular. É fundamental testar regularmente restaurações parciais e completas. Você terá que escolher uma cadência para os backups (contínuo, de hora em hora, semanal, etc.). Você também vai querer escrever um plano para a restauração. Algumas organizações que sofreram ataques de ransomware descobriram que o tempo para restaurar seus dados era significativamente maior do que o esperado, impactando seus negócios.
5. Remova os privilégios de administrador dos laptops dos usuários.  Um vetor de ataque comum é enganar os usuários para que executem software malicioso. O trabalho do invasor é facilitado quando os usuários têm privilégios de administrador. Um usuário sem privilégios de administrador não pode instalar software e esse tipo de ataque não funcionará.
6. Habilite a criptografia de disco para laptops.  Os smartphones modernos criptografam seu armazenamento local, assim como os Chromebooks. Os laptops Windows e Mac, no entanto, devem ser configurados para criptografar suas unidades. Considerando a quantidade de laptops perdidos ou roubados a cada ano, é importante garantir que sua frota de laptops esteja protegida.

É claro que existem muitas outras tarefas de TI que contribuem para um bom programa de segurança. Embora esta lista não seja exaustiva, ela contém as principais ações que você pode executar para lidar com os ataques mais comuns. 

Alto Nível na Postura de Cibersegurança

Quando especialistas em segurança dão conselhos de segurança cibernética, eles geralmente assumem que você está disposto a fazer apenas pequenas alterações em sua infraestrutura de TI. Mas o que você faria se pudesse remodelar sua infraestrutura de TI? Algumas organizações fizeram mudanças mais agressivas em seus sistemas de TI para reduzir sua “superfície de ataque”. Em alguns casos, eles conseguiram praticamente eliminar (SIM, DIZEMOS ELIMINAR!) a possibilidade de ser vítima de ataques de phishing. Parece interessante? Continue lendo!

On premisses vs nuvem

Uma grande melhoria que você pode fazer é eliminar todos os serviços hospedados em seus escritórios. Chamamos esses serviços de serviços “on-premise” ou “local”. Exemplos de serviços locais são armazenamento de correio e arquivo em seu espaço de escritório. Esses sistemas exigem muita habilidade para proteger. Eles também exigem tempo para corrigir, monitorar e responder a possíveis eventos de segurança. Poucas pequenas empresas têm tempo e experiência para mantê-las seguras.

Embora não seja possível afirmar categoricamente que “a nuvem é mais segura”, vimos repetidamente que organizações de todos os tamanhos não podem lidar continuamente com os compromissos de segurança e tempo de execução de serviços de armazenamento de arquivos e e-mail no local. A solução é migrar esses serviços para versões de nuvem seguras, como AWS, Google Workspace ou Microsoft 365 para e-mail corporativo. Esses serviços são criados e mantidos usando engenharia de classe mundial de segurança a um preço atraente. O CISA insta todas as empresas com sistemas locais a avaliar e migrar para alternativas seguras baseadas em nuvem o mais rápido possível.

FIDO: O padrão ouro do MFA

Qualquer forma de MFA é melhor do que nenhuma MFA. Qualquer forma de MFA (como mensagens de texto SMS ou códigos de autenticação) aumentará o custo do ataque e reduzirá seu risco. Dito isto, a única autenticação resistente a phishing amplamente disponível é chamada de “autenticação FIDO”. Quando um invasor eventualmente o engana para tentar fazer login em seu site falso para comprometer sua conta, o protocolo FIDO bloqueará a tentativa. O FIDO pode já estar embutido nos navegadores e smartphones que você já usa. Recomendamos que você saiba como o FIDO resiste a ataques de phishing . 

A combinação de um serviço de e-mail hospedado na nuvem, dispositivos seguros por padrão e autenticação FIDO aumentará drasticamente o custo para invasores e reduzirá drasticamente seu risco. Vale a pena considerar.

Recursos Adicionais

Além dos destacados acima, aqui estão alguns recursos adicionais disponíveis, sem custo, para ajudar a melhorar sua segurança cibernética.

Stopransomware.gov

Como parte da abordagem de todo o governo americano para combater o ransomware, a CISA criou  o StopRansomware.gov , um balcão único de recursos gratuitos para organizações de qualquer tamanho para se protegerem de se tornarem vítimas de ransomware. Se você sofreu um ataque de ransomware, recomendamos usar a seguinte  lista  de verificação do nosso  Guia de Ransomware . 

Ferramentas e recursos gratuitos de segurança cibernética

A CISA oferece uma lista de  ferramentas e serviços gratuitos de segurança cibernética  que servem como um repositório vivo de serviços de segurança cibernética fornecidos pela CISA, ferramentas de código aberto amplamente usadas e ferramentas e serviços gratuitos oferecidos por organizações do setor público e privado em toda a comunidade de segurança cibernética. 

Ferramenta de avaliação de segurança cibernética (CSET)

A Ferramenta de Avaliação de Segurança Cibernética (CSET) é uma ferramenta de autoavaliação de código aberto projetada para as partes interessadas instalarem em seus dispositivos de endpoint. Para os interessados ​​em usar a ferramenta ou participar da comunidade de código aberto da CISA, visite  https://github.com/cisagov/cset . Para baixar o arquivo, clique em  https://cset-download.inl.gov/ .

Considerações de gerenciamento de risco

Para empresas e organizações que estão pensando em usar um provedor de serviços gerenciados (MSP) para seus serviços de segurança, revise as  orientações da CISA  sobre importantes considerações de gerenciamento de risco.

Segurança na nuvem

Para empresas e organizações, considerando o uso de um provedor de serviços em nuvem (CSP), revise as  orientações da CISA  sobre segurança na nuvem.

Fonte: CISA 

Veja também:

• A anatomia de um ataque de ransomware
• Cyberflashing: O que é ? é ilegal?
• Bumble disponibiliza ferramenta de detecção de cyberflashing com código aberto
• VMware corrige vulnerabilidade crítica em produto em fim de vida
• Segurança é fator essencial para a maturidade da nuvem, afirma especialista
• Ransomware e medo de invasão, riscos às empresas no Brasil em 2022
• Falta de conhecimento e o buy-in limitado impedem implantações do Zero Trust
• Por que as lojas de varejo estão mais vulneráveis ​​do que nunca ao cibercrime
• Infosec ainda (principalmente) é um clube de meninos
• Backdoor furtivo do PowerShell disfarçado de atualização do Windows
• MS corrige sincronização de lista de bloqueio de driver vulnerável
• ThermoSecure: agora é possível quebrar senhas usando o calor dos dedos nos teclados