Mitigação de phishing pode custar às empresas mais de US$ 1 milhão por ano

Mitigação de phishing pode custar às empresas mais de US$ 1 milhão por ano. Uma das táticas mais antigas do crime cibernético ainda é uma das mais temidas – e com razão, já que as campanhas devem aumentar e se tornar mais sofisticadas nos próximos 12 meses.

O phishing continua a representar não apenas uma ameaça principal, mas também um custo significativo para as empresas, com algumas grandes organizações com uma equipe robusta de TI e segurança gastando US$ 1,1 milhão por ano para mitigar ataques de phishing, mostram novos dados.

As atividades de segurança relacionadas a phishing atualmente consomem, em média, cerca de um terço do tempo total disponível para as equipes de TI e segurança das organizações, de acordo com um relatório recém-publicado. Uma única mensagem maliciosa custa à organização uma média de cerca de 27 minutos e US$ 31 em mão de obra para mitigar, mas pode custar até US$ 85,33 se uma empresa levar 60 minutos para eliminar a ameaça, descobriram os pesquisadores.

Esse custo, combinado com as consequências de incidentes de phishing bem-sucedidos – que incluem perda de credenciais de conta, comprometimento de e-mail comercial e roubo de dados – significa que cerca de um terço das organizações consideram o phishing uma “ameaça” ou “ameaça extrema” para seus empresas, os pesquisadores escreveram no relatório, que foi encomendado pela empresa de segurança de e-mail Ironscales e conduzido e escrito pela Osterman Research .

É improvável que essa situação melhore tão cedo, já que os agentes de ameaças se tornam ainda mais sofisticados na forma como criam campanhas de phishing não apenas para atrair funcionários corporativos, mas também para dificultar a detecção de e-mails de phishing, descobriram os pesquisadores.

Segundo  o Dark Reading, as empresas devem estar alertas e começar a se preparar agora para lidar com ataques iminentes e “mais sofisticados e perniciosos” – ou esperar gastar ainda mais para lidar com phishing no futuro, disseram eles. “O tempo e o custo atualmente gastos na mitigação de phishing aumentarão, a menos que as organizações comecem a confiar em melhores proteções contra phishing”, escreveram os pesquisadores.

Carga Organizacional

A Osterman Research entrevistou 252 profissionais de TI e segurança nos Estados Unidos em junho de 2022 para o relatório, fazendo uma série de perguntas sobre como suas organizações lidam com phishing e o impacto que isso tem.

Os pesquisadores tentaram quantificar o custo real do negócio em termos de tempo e dinheiro gastos no combate ao phishing que as empresas estão incorrendo. Eles descobriram que, de fato, representa um investimento significativo que aumenta exponencialmente quanto mais funcionários uma organização possui e quanto mais e-mails de phishing uma empresa recebe.

Esse cache de e-mail de phishing no cenário de segurança atual pode ser impressionante, com algumas organizações maiores recebendo milhares de e-mails de phishing por dia, disseram os pesquisadores. “Claramente, nenhuma organização precisa lidar com apenas um único e-mail de phishing”, escreveram eles. “Com vários bilhões de mensagens de phishing enviadas globalmente todos os dias, o phishing é uma proporção significativa do volume geral de e-mails.”

Perda tempo e dinheiro

Em termos de tempo, 70% das organizações pesquisadas disseram que gastaram de 16 a 60 minutos por e-mail de phishing, representando o tempo desde a descoberta inicial de um e-mail potencialmente malicioso até a remoção completa do ambiente, disseram os pesquisadores.

Em média, a maioria das organizações gasta cerca de 31 a 45 minutos para mitigar uma mensagem de phishing, com 29% dos entrevistados relatando esse período em suas respectivas organizações. No geral, lidar com atividades relacionadas a phishing consome em média um terço das horas de trabalho disponíveis a cada semana para as equipes de TI e segurança em sua organização, de acordo com os entrevistados.

Os pesquisadores também tentaram quantificar o custo real do phishing para uma organização considerando vários fatores, incluindo os papéis que os entrevistados da pesquisa desempenham na mitigação do phishing em suas respectivas organizações, bem como seus salários individuais.

O que eles descobriram com base em seus cálculos foi que, anualmente, as organizações gastam, em média, US$ 45.726 em salários e benefícios pagos por profissional de TI e segurança para lidar com phishing, disseram eles.

Esse custo aumenta exponencialmente dependendo de quantos profissionais de TI e segurança uma organização possui, disseram os pesquisadores. Uma organização com cinco profissionais de TI e segurança está pagando atualmente US$ 228.630 do salário anual e benefícios pagos para lidar com phishing, por exemplo, enquanto uma organização com 25 profissionais de TI e segurança incorre em custos consideravelmente maiores por ano — ou cerca de US$ 1,14 milhão — para lidar com phishing .

Evoluindo Táticas

Para quem acompanha o cenário de segurança, dizer que os agentes de ameaças que se envolvem em phishing estão ficando mais sofisticados não é surpresa. Até agora, a maioria dos funcionários corporativos já está treinada para reconhecer e-mails potencialmente maliciosos, o que estimulou os cibercriminosos a adotar táticas mais complicadas e evasivas para garantir o sucesso.

Metade dos entrevistados citou três características emergentes dos emails de phishing que estão surgindo na empresa agora como mais preocupantes em termos de demonstração dessas táticas.

A primeira é o uso de técnicas adaptativas – também conhecidas como ataques polimórficos – que variam ligeiramente cada mensagem de phishing para diminuir a probabilidade de ser detectada como uma mensagem de phishing, disseram os pesquisadores. Essas mensagens “devem ser avaliadas uma a uma, em vez de serem capazes de corresponder usando assinaturas ou outros identificadores conhecidos ou treinados”, tornando-as mais difíceis de mitigar, de acordo com o relatório.

Outra é o uso de credenciais de contas comprometidas pelos agentes de ameaças – que são obtidas por ataques de phishing anteriores ou compradas na Dark Web – para sequestrar os tópicos de e-mail atuais para enviar mais e-mails de phishing. Essas mensagens também tendem a ignorar a detecção, uma vez que são enviadas da própria infraestrutura de e-mail da organização, “removendo muitos sinais de ameaça que podem ser avaliados quando as mensagens são originadas externamente”, observaram os pesquisadores.

Os atores de ameaças também estão usando outras técnicas avançadas de ofuscação nas quais “ameaças de carga útil e link são aninhadas, inicialmente apresentadas como benignas ou posteriormente baixadas”, o que também significa que as defesas de phishing precisam trabalhar mais para sinalizar e-mails potencialmente maliciosos, observaram os pesquisadores.

Microsoft Teams e Slack

Outra tendência emergente que pelo menos metade dos entrevistados relatou ter visto em seus ambientes é o phishing que se espalha além do email para ferramentas de comunicação e colaboração. Entre os novos vetores de ataque mais comuns estão aplicativos de mensagens e plataformas de compartilhamento de arquivos baseadas em nuvem, como Microsoft Teams e Slack, disseram os pesquisadores.

“À medida que o phishing se espalha para essas novas ferramentas – geralmente impulsionadas pelo comprometimento de credenciais de conta – os profissionais de TI e segurança terão que gastar ainda mais tempo abordando ameaças e buscando erradicar os agentes de ameaças de seus outros serviços”, disseram os pesquisadores.

Tudo isso contribui para que a empresa deva se antecipar ao esperado aumento iminente de ataques de phishing agora, se quiserem liberar a equipe de segurança cibernética para se concentrar em iniciativas mais estratégicas, disseram os pesquisadores.

Especificamente, eles aconselharam que as empresas “devem procurar soluções mais capazes que detectem e interrompam mais ataques de phishing, ofereçam detecção de ameaças polimórficas e aninhadas avançadas e protejam as ferramentas de comunicação e colaboração por meio de uma solução holística, em vez de se limitar a proteger apenas e-mail”.

Fonte: Dark Reading

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!