Um ano de trabalho remoto e as preocupações de cibersegurança

Um ano de trabalho remoto e as preocupações de cibersegurança, uma reflexão do que mudou, das ameaças e das soluções que podem nos salvar.

Este mês marca um ano desde que restrições de bloqueio sem precedentes foram introduzidas pela primeira vez em todo o mundo, enquanto os governos se esforçavam para tentar retardar a disseminação do COVID-19. No âmbito destas medidas, as empresas não essenciais foram obrigadas a fechar as suas instalações físicas e a mudar para modelos de trabalho digital / remoto, o chamado home office, para poderem continuar a funcionar. Isso precipitou uma mudança do “dia para a noite” para o trabalho remoto para um grande número de pessoas e organizações.

Um ano depois, e apesar do rápido desenvolvimento das vacinas COVID-19, a situação atualmente permanece muito semelhante, com o trabalho doméstico agora fazendo parte da vida diária de muitas pessoas. Como chegamos ao aniversário de um ano desde que os pedidos de permanência em casa foram emitidos, vale a pena refletir sobre os desafios de segurança cibernética que as organizações e indivíduos enfrentaram ao trabalhar remotamente durante este tempo, juntamente com a exploração do impacto que isso pode ter no futuro.

É justo dizer que, especialmente no início da pandemia, a mudança em massa para o trabalho doméstico pegou muitas organizações de surpresa, e elas tiveram que girar rapidamente para garantir que seus funcionários pudessem cumprir suas funções básicas enquanto não estivessem no escritório. Sarb Sembhi, CTO & CISO, explicou ao Information Security Magazine que “A primeira coisa era garantir que todos tivessem algo com que pudessem trabalhar. Em seguida, conectado a isso, estava tendo todo o software de que precisam para ter certeza de que podem fazer o trabalho, incluindo software de videoconferência.” A segurança era, portanto, muitas vezes uma preocupação secundária para as empresas neste momento e, sem dúvida, vem tentando recuperar o atraso desde então.

A arquitetura de perímetro tradicional, configurada para garantir que cada dispositivo, rede e endpoint dentro das paredes corporativas estejam seguros, evaporou. Em vez disso, os funcionários estavam espalhados por vários locais e conectados a diferentes redes, expandindo maciçamente a superfície de ataque para cibercriminosos. Anurag Kahol, CTO da Bitglass , observou: “Essa mudança teve (e continua a ter) implicações massivas para as equipes de TI e segurança. Em essência, a pandemia matou o perímetro e as estratégias de segurança legadas nas quais as organizações se apoiavam há anos”.

Seria um eufemismo dizer que Covid-19 causou grandes mudanças na vida cotidiana em todo o mundo. Assim como nos demais setores da indústria, no mundo da educação, salas de aula virtuais, com alunos e professores conectados pela Internet, tornaram-se comuns e a norma em muitos países.  A mudança do aprendizado presencial para o online não foi apenas algo que as pessoas foram obrigadas pelas circunstâncias a aceitar, gostem ou não, também ocorreu muito rapidamente. Pouca atenção foi dada aos problemas potenciais das salas de aula virtuais, uma vez que a ênfase era simplesmente colocá-las em prática rapidamente, para que o processo educacional fosse interrompido o menos possível. Isso torna um novo artigo do Centro de Política de Tecnologia da Informação de Princeton, um centro de pesquisa que estuda tecnologias digitais na vida pública, particularmente valioso.

Como reflexo deste cenário emergencial, a mudança para trabalhar em casa durante a pandemia do COVID-19 levou a um aumento nas campanhas de phishing móvel, com atacantes mirando em trabalhadores remotos cujos dispositivos não possuem proteções de segurança adequadas, de acordo com a empresa de segurança Lookout . Muitas dessas campanhas são projetadas para roubar credenciais bancárias dos usuários.

Os ataques de phishing para dispositivos móveis aumentaram 37% globalmente no primeiro trimestre deste ano, em comparação com o trimestre anterior, diz Lookout em seu novo relatório de pesquisa. 

Cerca de 22% dos usuários móveis de empresas encontraram uma tentativa de phishing no primeiro trimestre, em comparação com 16% no trimestre anterior, segundo a pesquisa, que a empresa diz ser baseada em dados e telemetria coletados de 200 milhões de dispositivos móveis em todo o mundo.

Clique e saiba mais sobre como a Sophos pode proteger os endpoints da sua organização

Segurança de endpoint

Uma das principais implicações dessa nova forma de trabalhar foi, portanto, um aumento substancial no número de dispositivos e endpoints, oferecendo vários caminhos para os sistemas das organizações. Como algumas empresas não conseguiram fornecer laptops corporativos a todos os funcionários, principalmente no início da crise, muitas pessoas foram forçadas a usar seus próprios dispositivos pessoais, como telefones e tablets, para fins de trabalho. Pete Pendlebury, diretor técnico da Cortex Insight, enfatizou a escala do problema: “Conseguir que as pessoas acessem remotamente sistemas e dados foi um dos maiores desafios para as empresas, porque nem todas as empresas tinham funcionários com laptops ou sistemas que permitiam o acesso remoto às redes corporativas. Isso deixou as empresas confusas e tomando decisões sobre segurança que normalmente não fariam.”

Apenas algumas arestas foram cortadas para que as empresas pudessem continuar operando. Uma preocupação comum era permitir que os funcionários trabalhassem com computadores e laptops pessoais que, até o início do ano passado, era algo que a maioria das empresas nunca teria sonhado em deixar as pessoas fazerem.

Nesse contexto, Brian Honan, CEO da BH Consulting , destacou o enorme desafio de garantir que todos os dispositivos usados ​​para fins corporativos sejam protegidos de forma adequada. “Como você garante que o gerenciamento de patches continue como antes? Como você enfrenta o desafio de gerenciar um dispositivo que é o dispositivo pessoal de alguém, portanto, você não pode aplicar seus patches em cima deles? ” ele perguntou. “Então, você tem o desafio de tentar implantar patches, software antivírus ou qualquer outra medida de gerenciamento de endpoint nesses sistemas.

De outra forma, os ataques de phishing para dispositivos móveis se tornaram um modelo cada vez mais bem-sucedido para os invasores, que geralmente usam sites falsificados, mensagens SMS, aplicativos obscuros e outras técnicas de engenharia social para atingir as vítimas.

Cada vez mais, os invasores estão adaptando suas campanhas especificamente para dispositivos móveis. Por exemplo, eles estão enviando URLs de phishing surpreendentemente semelhantes aos domínios originais, o que geralmente resulta em vítimas ignorando sinais de phishing reveladores que eles poderiam ter visto se usassem uma tela maior em um laptop ou dispositivo de mesa, de acordo com a Lookout.

Agora, mais do que nunca, os dispositivos móveis existem no cruzamento de nossas vidas profissionais e pessoais“, diz Schless gerente sênior de soluções de segurança da Lookout “Os dispositivos mudam entre trabalho e pessoal, dependendo da hora do dia, o que significa que as credenciais corporativas podem ser capturadas por um invasor que atinja uma vítima por meio de uma plataforma pessoal de mídia social ou aplicativo de mensagens de terceiros“.

Dispositivos IoT

Outro problema gira em torno do grande aumento de dispositivos IoT em residências nos últimos anos, que regularmente apresentam falhas de segurança. Sembhi explicou: “Acho que as pessoas se acostumaram com a ideia de ter novos dispositivos instalados pela casa e, definitivamente, houve um grande aumento no número de dispositivos na casa inteligente. Então você tem um ambiente onde a casa fica desprotegida, você está trazendo seu equipamento de trabalho para casa, você está trabalhando em casa e agora está instalando esses dispositivos vulneráveis ​​que agora podem ser usados ​​para atacar o ambiente de trabalho.

Isso não escapou da atenção dos criminosos cibernéticos, com um grande aumento no malware de IoT detectado no ano passado .

Podemos resumir internet das coisas em: IOT é uma revolução tecnológica que possibilita a conexão mútua entre coisas e entre coisas e usuários, utilizando a internet como meio para troca dessas informações.

Por isso, é de extrema importância para as empresas criarem mecanismos para interpretar os dados gerados e usarem isso a seu favor na hora de entender as necessidades desse novo mercado. Podendo oferecer não só melhores serviços, mas também uma melhor experiência e inovação para seus consumidores.

No entanto a segurança ainda tem sido uma grande preocupação nestes equipamentos. Vamos supor em uma casa que tenha todos os sistemas conectados, de eletrodomésticos a computadores, na mesma rede de dados, se um hacker conseguir descobrir uma vulnerabilidade em um desses sistemas, como a geladeira por exemplo, ele pode usar isso para conseguir acessar os demais dispositivos dentro da sua casa.

O grande problema por trás disso é que tendo acesso a esses dispositivos, o hacker poderá usar isso para roubar seus dados, mudar informações e até mesmo danificar o ambiente, causando inúmeros impactos e problemas para ao dono da casa.

Isso mostra que as questões de segurança e seus riscos são muito abrangentes, afetando toda a estrutura de uma sociedade.

A rápida adoção do Cloud

Para ajudar a continuar o fluxo de informações no ambiente de trabalho remoto, muitas organizações aceleraram a adoção da nuvem. Embora isso tenha ajudado as organizações a melhorar a produtividade, levantou questões adicionais de segurança. “A mudança para a nuvem destacou muitas deficiências nas estratégias de segurança na nuvem, especialmente quando se trata de proteger os dados financeiros e de clientes críticos que foram migrados para esses sistemas em nuvem”, observou Kevin Dunne, presidente da Pathlock .

Honan concordou, acrescentando que na pressa de migrar para a nuvem, os recursos de segurança adequados muitas vezes não eram habilitados, tornando as organizações muito mais vulneráveis ​​a ataques. “Segurança é algo em que você precisa pensar antes de se envolver com uma nova solução ou sistema, porque vimos clientes darem um salto muito rápido, configurando os sistemas com a intenção de apenas sobreviver como um negócio, mas se tornaram vítimas de cibercriminosos“, ele disse.

Embora a cloud tenha evoluído muito nos últimos anos, ainda existem riscos envolvidos. Uma das principais preocupações dos profissionais de cibersegurança é a proteção aos acessos em ambientes cloud.

A cloud hospeda dados de milhares e milhares de pessoas – incluindo terceiros, funcionários e clientes -, o que aumenta a superfície de ataque. Um ataque bem-sucedido pode ser fatal para várias empresas, e afetar diretamente a continuidade dos negócios.

Nos dias de hoje vemos diversos riscos inerentes ao mundo digital e suas facilidades, entre estes estão ameaças de invasão e ataques da internet (tratadas como Cybersecurity Risk) ; ameaças de vazamento de informações sensíveis e ameaças de indisponibilidades de serviços por motivos diversos. No entanto, entendemos que através de uma boa política de segurança, com algumas medidas técnicas e monitoração podemos reduzir bastante os riscos de uso do Cloud.

Embora muito se fale, ou especule-se, sobre problemas nos provedores de Cloud, dados publicados pelo instituto Ponemon aponta que as maiores falhas são devidas aos próprios usuários.

  • Apenas 38% dizem que a empresa possui uma política clara, com regras e responsabilidades definidas quanto a proteção dos dados em Cloud .
  • 57% dos pesquisados pelo instituto Ponemon dizem que suas empresas não gerenciam pro-ativamente os dados quanto as necessidades de aderência e privacidade de dados.

Corroborando com isto, o histórico de falhas que temos relatado aqui no Blog Minuto da Segurança nos mostram que as causas dos incidentes e vazamento de dados estão sempre lado do usuário e não do provedor.

Na realidade o que ocorre, é que enquanto muitas empresas se preocupam com o provedor de Cloud, deixam de fazer a lição de casa, acreditando que a segurança dos dados em Cloud  é de responsabilidade do provedor e que  “devido a própria natureza do negócio destes provedores eles devem ter um nível muito alto de proteção para sobreviverem no mercado“,  ou mesmo acreditam que medidas de controle de acesso limitadas a usuários e senhas e criptografia de transmissão de dados são suficientes para proteger os dados armazenados ou processados em servidores Cloud.

O Fator Humano

No modelo de trabalho remoto, com pessoas fisicamente separadas de outras áreas de seus negócios, incluindo equipes de TI, as organizações agora dependem muito mais das ações de funcionários individuais para permanecerem seguras. “À medida que os trabalhadores mudavam para um cenário de trabalho em casa, a responsabilidade passou para o indivíduo de ser diligente e cuidadoso com a segurança de dados”, descreveu Trevor Morgan, gerente de produto da comforte AG . “Os funcionários precisam garantir que usam VPNs (que, a propósito, têm suas próprias vulnerabilidades) para comunicações de rede protegidas com o escritório doméstico quando em redes domésticas ou pontos de acesso Wi-Fi de cafeteria, que eles mudam as senhas com mais frequência e que policiam seus próprios hábitos de acesso e armazenamento de dados ”.

Não é de surpreender que essa dependência cada vez maior de funcionários tenha sido explorada por criminosos cibernéticos, principalmente pelo enorme aumento de ataques de engenharia social no ano passado, com a pandemia COVID-19 se mostrando uma tremenda isca. Ao longo da crise, as consequências financeiras da crise têm sido um ponto de discussão constante, com a ameaça de licença ou despedimento pairando sobre a cabeça de muitas pessoas. Esse cenário deixou as pessoas mais vulneráveis ​​a clicar em links em e-mails de phishing relacionados a tópicos como pacotes de ajuda financeira apresentados por governos. “Isso criou uma incerteza nas mentes dos funcionários sobre de onde eles conseguiriam o dinheiro para sobreviver”, explicou Sembhi.

Os ataques de phishing, em particular, têm sido vistos como um portal eficaz para os sistemas das organizações por malfeitores e tem sido um tema constante da pandemia. Martin Jartelius, CSO em Outpost24 , observou: “Phishing em todas as suas formas continuará a avançar em 2021, especialmente com o espaço de trabalho em casa começando a borrar as linhas para muitos entre trabalho e vida pessoal. Isso oferece maiores oportunidades para que os hackers façam Phish / Smish / Vish nos gatekeepers de nossos dados de funcionários que trabalham em casa e ficam separados dos firewalls seguros do ambiente de escritório.

Saiba mais sobre phishing em Quais tipos de Phishing você Conhece?

Além disso, vários estudos mostraram que uma grande proporção da equipe remota regularmente se envolve em comportamentos inseguros , como compartilhamento de dispositivos, o que coloca sua organização em maior risco de ataque.

Com o surto de COVID-19, os cibercriminosos estão cada vez mais alvejando trabalhadores remotos e com campanhas de phishing, causando um verdadeiro surto durante a pandemia. Os cibercriminosos estão cada vez mais alvejando organizações que agora têm mais funcionários remotos e menos equipe de TI e segurança prontos para mitigar ataques e invasões de hackers, dizem especialistas em segurança.

Clique e saiba como a MindSec pode ajudar sua empresa na conscientização de segurança dos colaboradores

Os especialistas em segurança citam os ataques de phishing como uma das maiores ameaças nesse novo ambiente e alertam que os esforços existentes para proteger os funcionários costumam ser inadequados.

Os ataques de phishing estão aumentando e os funcionários em casa podem ser especialmente vulneráveis“, afirmam os advogados Jonathan Armstrong e André Bywater em nota de cliente. “Expressamos preocupações antes de que muitos treinamentos de phishing ‘prontos para uso’ não sejam adequados ao objetivo. É importante garantir que os funcionários sejam treinados e tenham lembretes regulares. As organizações que usam o [Office 365] podem ser especialmente vulnerável neste momento. “

Para ajudar, muitas organizações estão lançando materiais gratuitamente. Por exemplo, o SANS Institute SANS lançou grandes partes de seus materiais de conscientização comercial.

Mas com os ataques de phishing que atacam os medos de coronavírus já estão aumentando, muitas organizações estão tentando recuperar o atraso 

Como muitos golpes de phishing, esses e-mails buscam preocupações do mundo real para tentar induzir as pessoas a fazerem coisas erradas” , diz o National Cyber Security Center  do Reino Unido , observando que os setores de shipping, transporte e varejo estavam sendo direcionados. “Consulte nossas orientações sobre como lidar com e-mails suspeitos para saber mais sobre como detectar e lidar com e-mails de phishing“, acrescenta, referindo-se às diretrizes mais recentes para manter os funcionários protegidos quando trabalham em casa.

É extremamente importante, neste novo ambiente, garantir que a equipe esteja mais consciente da segurança e dos comportamentos básicos de segurança cibernética. As organizações devem “desenvolver uma cultura de segurança e privacidade de dados. As pessoas precisam entender que são as zeladoras dos dados valiosos e muitas vezes confidenciais de sua própria organização, muitos dos quais também consistem em informações de clientes ”, observou Morgan.

Uma nova abordagem para a segurança

Tudo isso significa que as organizações estão operando em um cenário mais perigoso. Embora inicialmente parecesse que a mudança para o trabalho remoto seria apenas uma medida temporária, ela continua a persistir em todo o mundo. As indicações são de que, para muitos trabalhadores, o trabalho remoto (ou pelo menos híbrido) se tornará a norma para além da crise atual. Como observou Sembhi, a pandemia provou que as pessoas estão capaz de trabalhar com muita eficácia em casa, e é provável que tanto a equipe quanto as organizações estejam muito mais abertas a essa abordagem no futuro, especialmente se ela puder economizar em custos indiretos. “Aprendemos que somos mais resilientes como indivíduos do que jamais pensamos que éramos”, comentou ele. “Vamos aguentar muito e fazer o que precisa ser feito, enquanto o pensamento anterior era: se deixarmos as pessoas trabalharem em casa, saberemos que estão trabalhando”.

Nessa realidade, as arquiteturas de segurança precisam se ajustar, com um modelo de confiança zero (Zero Trust) agora visto como essencial pelos especialistas em segurança. Isso pode ajudar a reduzir o ônus sobre os funcionários individuais, com gerenciamento de acesso e monitoramento em seu coração. Dunne afirmou: “As organizações precisam considerar fortemente uma abordagem de confiança zero para a segurança, que pode garantir que os danos sejam limitados, mesmo no caso de contas privilegiadas serem comprometidas. Racionalizar os aplicativos, identidades, acesso e funções em uma estrutura gerenciável e compreensível é a base de uma arquitetura de confiança zero. A partir daí, as organizações podem implementar políticas mais investigativas e preventivas para garantir que o acesso concedido está sendo usado como deveria.

Garantir que a equipe esteja mais consciente da segurança e dos comportamentos básicos de segurança cibernética também é extremamente importante neste novo ambiente. As organizações devem “desenvolver uma cultura de segurança e privacidade de dados. As pessoas precisam entender que são as zeladoras dos dados valiosos e muitas vezes confidenciais de sua própria organização, muitos dos quais também consistem em informações de clientes ”, observou Morgan.

Um modelo de Zero Trust (confiança zero) é uma estrutura de segurança que fortalece a empresa removendo a confiança implícita e impondo autenticação estrita de usuário e dispositivo em toda a rede.

As estratégias tradicionais de segurança de TI, como VPNs e firewalls, criam um perímetro em torno da rede que permite que usuários e dispositivos autenticados atravessem a rede e acessem recursos com facilidade. Infelizmente, com tantos usuários trabalhando remotamente e tantos ativos sendo colocados na nuvem, confiar apenas na abordagem de perímetro está se tornando menos eficaz , menos eficiente e mais perigoso.

Um modelo de Zero Trust, por outro lado, oferece forte proteção contra os tipos de ataques que afetam as empresas hoje , incluindo o roubo de ativos e identidades corporativas. Adotar a confiança zero permite que as organizações façam o seguinte:

  • proteger os dados da empresa ;
  • aumentar a capacidade de fazer auditoria de conformidade;
  • menor risco de violação e tempo de detecção;
  • melhorar a visibilidade do tráfego da rede; e
  • aumentar o controle em um ambiente de nuvem.

Um modelo de Zero Trust oferece suporte à microssegmentação – um princípio fundamental da segurança cibernética. A microssegmentação permite que a TI bloqueie os recursos da rede para que as ameaças em potencial possam ser facilmente contidas e não se espalhem por toda a empresa. As organizações podem aplicar políticas granulares impostas pelo acesso baseado em funções para proteger sistemas e dados confidenciais.

Clique para saber mais como o Stealth implementa a proteção Zero Trust

Sinais positivos para o futuro?

Há sinais de que as organizações estão realmente começando a reconhecer a necessidade de restringir suas defesas de segurança cibernética para proteger uma força de trabalho híbrida. “No geral, as organizações tiveram um desempenho relativamente bom em se ajustar às condições impostas pela pandemia”, disse Oliver Tavakoli, CTO da Vectra . “As primeiras semanas da pandemia consistiram puramente em mudanças causadas pela adrenalina, que se pensava ser de natureza temporária. Assim que todos estavam com três meses de pandemia, ficou claro que as condições durariam um pouco e as organizações aceleraram alguns projetos que já estavam em fase de planejamento para chegar a uma postura melhor.”

De acordo com o mantra ‘a necessidade é a mãe da invenção‘, parece provável que as organizações serão forçadas a implementar modelos de confiança zero para gerenciar essa forma de trabalhar. Bindu Sundaresan, diretor da AT&T Cybersecurity , comentou: “A cibersegurança está mais relacionada a risco e resiliência. A ideia de segurança ser uma responsabilidade compartilhada e uma maior conscientização entre as organizações será vista.

Do lado do fornecedor, também não é fantástico esperar um crescimento em novas soluções de segurança cibernética que protegem as forças de trabalho híbridas daqui para frente. Sembhi disse: “Espero ver tecnologias nos próximos seis, nove ou 12 meses que nos permitam trabalhar em casa com muito mais eficácia e segurança, com menos preocupações”.

Além disso, a conscientização e o conhecimento sobre segurança cibernética dos funcionários devem melhorar naturalmente, pois eles são forçados a assumir mais responsabilidade por sua própria segurança cibernética. Tom Pendergast, diretor de aprendizagem da MediaPro , acrescentou: “A mudança para o trabalho remoto vai melhorar a perspicácia de segurança cibernética do funcionário comum. Afinal, quando se trata de cibersegurança, todos que de repente se viram trabalhando em casa tiveram que passar por este processo de assumir mais propriedade e controle sobre sua segurança: eles tiveram que cavar em suas configurações de Wi-Fi, eles tiveram que dominar as conexões remotas , etc.

Da escuridão do COVID-19, um período que infligiu enormes prejuízos à saúde e à economia em grande parte da sociedade, alguns aspectos positivos em potencial surgiram. Uma delas é uma forma mais flexível de trabalhar e, para facilitar isso de forma eficaz, as organizações estão cada vez mais conscientes da necessidade de aprimorar sua postura de segurança. “Acho que agora muitas empresas aprenderam que TI e tecnologia são essenciais para sua sobrevivência e elevaram a prioridade da segurança cibernética para a alta administração / conselho”, afirmou Honan. No entanto, ele explicou que a segurança deve garantir o aproveitamento máximo dessa situação, trabalhando o mais colaborativamente possível com a organização, seguindo a abordagem de Walt Disney de “sim, se” em vez de “não, porque” ao responder a iniciativas de transformação digital .

Fonte: Information Security Magazine

Veja também:

About mindsecblog 2776 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. Um ano de trabalho remoto e as preocupações de cibersegurança
  2. Bolsonaro veta venda de dados pessoais pelo Serpro
  3. 5 Coisas que seu CEO deveria saber sobre Cibersegurança
  4. 533 milhões telefones de usuários do Facebook vendidos na web
  5. Lei que criminaliza o Stalking é sancionada pelo Presidente Jair Bolsonaro

Deixe sua opinião!