Como prevenir violações de dados em 2023

Como prevenir violações de dados em 2023. A chave para prevenir violações de dados no atual cenário de cibersegurança é entender exatamente como elas acontecem e cobrir toda a sua superfície de ataque. Deixe-nos guiá-lo através da anatomia da perda de dados e mostrar-lhe pontos fracos específicos que poderiam impactar sua segurança de dados.

Números de violação de dados em ascensão

Ano após ano, o número de violações de dados continua crescendo. De acordo com o Relatório Anual de Violação de Dados do Centro de Recursos de Roubo de Identidade 2021, em 2021 as organizações relataram 1.862 violações de dados, em comparação com 1.108 em 2020.

Embora as maiores violações de dados como Equifax ou Yahoo! façam as manchetes, não se trata necessariamente dos números. Para as pequenas empresas, uma quebra de segurança aparentemente menor pode ter sérias conseqüências, levando até mesmo ao fechamento. No caso de indústrias voláteis, o tipo de dados sensíveis perdidos, tais como números de cartões de crédito, informações financeiras ou dados médicos, podem incorrer em enormes multas, bem como ter um grande impacto sobre os proprietários deste tipo de dados.

O crescente número de violações de dados pode ser atribuído principalmente ao crescente interesse criminal pelos dados. Quanto mais nos aproximamos de uma sociedade digital, maior é o valor dos dados para os criminosos. Um vazamento de informações confidenciais, tais como números de previdência social, juntamente com outros dados pessoais e/ou PII, pode permitir que os criminosos cibernéticos assumam facilmente identidades no mundo digital.

A maioria das violações de dados é, de fato, resultado de atividades criminosas. Phishing e resgate são citados pelo Centro de Recursos contra Roubos de Identidade (ITRC) como as principais ameaças à segurança e causas de comprometimento de dados. O ITRC também afirma que houve mais compromissos de dados relacionados a ataques informáticos (1.603) em 2021 do que todos os compromissos de dados em 2020 (1.108).

Anatomia de um ciberataque

A falta de compreensão da segurança cibernética pode ser uma das principais razões pelas quais nem todas as organizações têm prevenção suficiente contra violações de dados. E isto poderia ser parcialmente atribuído à mídia, que se concentra em termos populares como phishing e resgate e faz muitos acreditarem que, se estiverem bem protegidos contra estes dois tipos de ataques cibernéticos, podem descansar a cabeça. Infelizmente, isso está muito distante da verdade.

Quase todo ataque cibernético é uma complexa cadeia de atividades que envolve não apenas computadores, mas principalmente humanos e suas fraquezas. Os hackers maliciosos mais famosos da história, como Kevin Mitnick, não eram apenas mestres dos computadores, mas, mais importante, mestres da engenharia social. Um ataque cibernético que leva a uma violação de dados pode levar muito tempo, mesmo vários meses, e pode significar que o atacante estabeleça retenções de recursos, faça reconhecimento e use muitas técnicas diferentes no caminho.

Por exemplo, um atacante pode começar por encontrar uma vulnerabilidade da web em relação ao XSS em um dos sites menores de propriedade da organização, como por exemplo um site de marketing. Ao mesmo tempo, eles iriam descobrir a estrutura organizacional e selecionar os principais usuários como alvos. Os usuários alvo seriam então atingidos por um ataque de phishing de lança que utilizaria o XSS previamente encontrado. A falta de prevenção contra perda de dados (DLP) tornaria possível ao usuário expor suas credenciais de login ao atacante. Então, o atacante verificaria se as mesmas credenciais funcionam para sistemas diferentes e poderia descobrir que eles poderiam obter acesso à principal aplicação web de negócios da organização. Este acesso não autorizado poderia levar o atacante a encontrar mais riscos de segurança, ganhando mais permissões e, finalmente, instalando um shell web que deixaria o atacante executar comandos usando o sistema operacional do servidor web. Isto, por sua vez, tornaria possível a instalação de ransomware.

Como você pode ver, o ransomware é apenas uma pequena etapa final do ataque e nenhuma quantidade de software de proteção de ransomware ajudaria se as etapas anteriores pudessem ser executadas pelo atacante. A mídia, e até mesmo o ITRC, tratam o ransomware como uma causa raiz das violações de dados (porque é um termo “sexy”), não se concentrando no fato de que o ransomware deve, de alguma forma, primeiro entrar nos sistemas através de fraquezas nos sistemas de computador e no comportamento humano.

Prevenção através de cobertura completa

Para evitar situações como o exemplo acima, as organizações devem certificar-se de que suas políticas de segurança se concentrem em uma proteção abrangente, e não estejam lá apenas para atender às exigências de conformidade. Infelizmente, muitas organizações chegam ao ponto de passar por auditorias e avaliações, o que resulta em muita da superfície de ataque ser coberta inadequadamente.

A segurança cibernética deve ser tratada exatamente da mesma forma que a segurança física – não há vantagem de instalar fechaduras extras na porta se a janela puder ser facilmente quebrada. O desafio para muitas organizações é o fato de que a segurança cibernética é um assunto muito complexo e é difícil encontrar todas essas janelas e portas. E a atual brecha de talento em cibersegurança não está ajudando as organizações que lutam para contratar gerentes de segurança bem instruídos e experientes.

Aqui estão algumas das áreas que muitas vezes são deixadas insuficientemente protegidas:

  • O fator humano continua sendo o maior risco para a cibersegurança. A educação ajuda a reduzir erros humanos, negligência, fraudes e phishing, mas mesmo se você treinar bem os funcionários, não ajudará a evitar atos maliciosos intencionais. O software de proteção contra malwares não é quase suficiente para impedir que os humanos causem danos através de seu comportamento intencional e não intencional. Ele deve ser combinado com outras soluções, tais como software de prevenção de perda de dados (DLP). A primeira impede a instalação de software malicioso no terminal, enquanto a segunda impede o compartilhamento manual de informações sensíveis fora da empresa, por exemplo, através de mídia social, bem como a transferência do disco rígido do laptop para mídia portátil sem proteção de dados suficiente (criptografia).
  • Os primeiros estágios dos ataques cibernéticos concentram-se mais frequentemente no fator humano, mas alguns deles começam por encontrar fraquezas nos sistemas de computação. Enquanto há poucos anos atrás era principalmente uma questão de segurança de rede e atualização de seus sistemas assim que os patches de segurança estavam disponíveis, a mudança para a nuvem e a abundância de tecnologias web não apenas em aplicações, mas também APIs e tecnologias móveis mudaram o foco para a segurança de aplicações web. Muitas organizações ainda vivem no passado e se concentram na segurança da rede, não tratando as vulnerabilidades e configurações erradas da web com a devida diligência e, em vez disso, pensando que uma VPN e uma firewall de aplicação web será suficiente. As organizações também lutam para entender as complexidades das infraestruturas das nuvens e pensam que nomes extravagantes como CSPM e CWPP garantirão todas as camadas, deixando de fora a camada crítica de aplicação.

Outro problema é que os especialistas em cibersegurança muitas vezes não entendem a psicologia do usuário. Um exemplo claro disso é a frequência com que as equipes de segurança cibernética não entendem a abordagem dos usuários em relação às senhas. Ao forçar os usuários a fazer senhas que incluem letras maiúsculas, números e caracteres especiais, eles acabam com a maioria das pessoas usando senhas semelhantes a “Senha1!”, que são triviais de quebrar e não são senhas fortes. Forçar os usuários a mudar as senhas a cada mês, mais ou menos, também os faz simplesmente mudar “Senha1!” para “Senha2!” e reutilizar suas senhas em todos os sistemas. Em vez disso, as organizações deveriam adotar novas tecnologias como autenticação multi-fator, bem como chaves biométricas e de hardware e promover soluções tais como gerentes de senhas entre seus usuários.

A receita do sucesso?

Não há uma receita simples para manter a melhor postura de segurança possível e evitar violações de dados em 2022. Sua melhor aposta é contratar as pessoas certas, garantir que você não esteja vivendo no passado e entender que para cobrir todas as suas bases você precisará de muitas tecnologias, soluções e medidas de segurança diferentes, e não é suficiente obter um pacote caro de um grande fornecedor de segurança que usa palavras grandes e extravagantes em suas campanhas de marketing.

Talvez DLP ou DAST não fossem necessários há 10 anos e você pudesse contar com um software antivírus e um firewall, mas no mundo da segurança cibernética a situação muda muito rapidamente e você tem que ter seu dedo no pulso. Desde que você se aproxime da segurança cibernética com uma mente aberta e certifique-se de que ela nunca se torne um silo em sua organização, você tem mais chances do que muitos de evitar uma violação de dados.

Por: Cristina Moldovan

Sobre mindsecblog 2553 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

13 Trackbacks / Pingbacks

  1. Anúncios do Google são usados para distribuir malware | Minuto da Segurança da Informação
  2. Como se defender de ataques DDoS com botnets | Minuto da Segurança da Informação
  3. Espírito de cooperação e pró-atividade das empresas pode reduzir valor das multas da LGPD | Minuto da Segurança da Informação
  4. A história do ransomware: prevendo o imprevisível | Minuto da Segurança da Informação
  5. ChatGPT pode ter exposto as informações de pagamento dos usuários | Minuto da Segurança da Informação
  6. A evolução do ransomware: dados não criptografados são mais valiosos | Minuto da Segurança da Informação
  7. Confira mitos e verdades sobre a metodologia DevOps | Minuto da Segurança da Informação
  8. Ataques cibernéticos em nuvem tiveram aumento de 95% em 2022 | Minuto da Segurança da Informação
  9. Oito dicas para proteger os dados na Internet | Minuto da Segurança da Informação
  10. Sanções reforça fiscalização da LGPD e intensifica necessidade da ISO 27001 | Minuto da Segurança da Informação
  11. Empresas que negligenciam a SI correm riscos que vão além do vazamento de dados | Minuto da Segurança da Informação
  12. Como a ISO 27001 pode ajudar as empresas no quesito segurança da informação? | Minuto da Segurança da Informação
  13. IA que imita o cérebro humano – a nova era da proteção de dados | Minuto da Segurança da Informação

Deixe sua opinião!