O que você entendeu sobre os recentes ataques cibernéticos que semearam o pânico na França e na Itália? Além dos aspectos técnicos, vale considerar o quadro geral: o cibercrime cresce em quantidade e qualidade.
E o seu crescimento também acelera. A ascensão dos sistemas em nuvem, uma força de trabalho que começa a realizar tarefas remotamente, técnicas de engenharia social cada vez mais avançadas: os “atacantes” têm cada vez mais armas.
Como os combatemos?
Os profissionais de segurança cibernética têm a tarefa de lidar com cada vez mais ameaças. Além disso, eles também devem multiplicar seus esforços para educar e conscientizar: uma parte dos ataques cibernéticos depende de como testamos a segurança de nossos computadores.
Aqui estão as cinco principais ameaças cibernéticas que causam danos hoje e como as equipes de segurança podem impedir que os ciberataques violem dados críticos de negócios.
O inimigo número um no campo dos ataques cibernéticos: você
Segundo o relatório do Open Web Application Security Project (OWASP) 2021, a gerenciamento de acesso errado é classificado como a principal ameaça: em 2017 ficou “apenas” em quinto lugar. E faz sentido, se você pensar bem: o mais simples para um invasor não é “invadir” um sistema, mas tirar vantagem de quem deixa as portas abertas. E só Deus sabe quanto tempo perdemos alterando senhas, redefinindo-as. Acima de tudo, esquecê-los. Se você não acredita em nós, dê uma olhada nisso pesquisa por ExpressVPN o que explica muito claramente.
O acesso de todos os funcionários de uma empresa representa um risco potencial à segurança dos dados da empresa. Os gestores devem realizar verificações rigorosas de autorização de dados, monitorando constantemente se as informações estão nas mãos certas. Solução: a filosofia “Confiança zero” não é apenas uma frase circunstancial, mas representa o método mais adequado para se proteger contra ataques cibernéticos.
Fraude de phishing e engenharia social
Os golpes de phishing são uma forma popular de ataque cibernético de engenharia social. Os criminosos exploram as emoções dos utilizadores, como o medo e o sentido de urgência, para roubar informações e dinheiro. Entre os mais populares: pedidos de doações em sites falsos, pedidos de alteração de credenciais de login de bancos ou serviços de streaming. Outros “truques” eficazes incluem informações falsas de entrega de correio ou solicitações falsas de chefes e colegas.
Um relatório recente da Abnormal Security sobre ameaças de e-mail mostrou que, de janeiro a junho de 2022, o fenômeno aumentou em impressionantes 48%. Literalmente milhões desses e-mails chovem, e alguém sempre morde a isca. Solução: Melhorar drasticamente a educação em segurança cibernética.
Falta de profissionais adequados
A escassez de talentos entre os profissionais de segurança está enfraquecendo as empresas, que muitas vezes desconhecem o perigo. As demissões de integrantes da equipe de segurança são verdadeiros bumerangues, deixando verdadeiros prados para quem realiza ataques cibernéticos.
Solução (parcial): a automação torna-se crucial para compensar a escassez de pessoal. Existem ferramentas que ajudam você a realizar testes de segurança mais rápidos e direcionados, identificando lacunas de forma proativa: elas não vão resolvê-las completamente, mas pelo menos não vão deixar você completamente descoberto.
Internet das coisas
A Internet das Coisas (IoT) que multiplica a conectividade e a troca de dados representa um novo território para os cibercriminosos que procuram aceder a informações privadas. A IoT está intrinsecamente ligada às nossas vidas pessoais e abrange uma ampla gama de dispositivos, desde os nossos eletrodomésticos até às máquinas industriais. Até mesmo dados médicos e pessoais confidenciais.
Solução: A atualização constante de software e firmware é essencial para prevenir ataques cibernéticos e corrigir vulnerabilidades. Proteger sistemas e dispositivos com senhas complexas e alteradas regularmente ajuda a evitar configurações padrão, um terreno fácil para ataques de negação de serviço distribuída (DDoS).
A proteção por senha não é infalível, é claro, mas pode ajudar muito.
No entanto, com a legislação da UE já a propor mandatos rigorosos para a segurança cibernética até 2024, os países estrangeiros também estão a lutar para cumpri-los. É apenas uma questão de tempo até que os EUA ordenem às empresas IoT que reforcem a sua segurança cibernética. Talvez (não tenho certeza) as coisas melhorem.
Ataques cibernéticos com Ransomware como serviço
Malware pay-per-use, mais conhecido como ransomware como serviço (RaaS), é uma ameaça crescente em gangues de crime cibernético organizado. Para dar um exemplo: no ano passado, a Vice Society, um grupo cibercriminoso, atacou um distrito escolar inteiro em Los Angeles bloqueando sistemas e exigindo resgates.
As autoridades recusaram-se a pagar, altura em que os “criminosos cibernéticos” vazaram 500 GB de dados privados de estudantes e professores. Segundo um estudo recente da Sophos, o custo médio de recuperação de um ataque de ransomware em 2021 foi de US$ 1,4 milhão, um preço que a maioria das empresas e organizações simplesmente não pode pagar.
Solução: A melhor maneira de fortalecer a infraestrutura de segurança de organizações e empresas e prevenir ataques cibernéticos de ransomware é testar, monitorar e implementar continuamente colaborações com hackers éticos.
Um futuro de ataques cibernéticos?
As manchetes das notícias sobre ataques cibernéticos são galopantes e a gravidade dos ataques continua a aumentar.
E é positivo: a consciência do problema será cada vez mais massificada, e isso é bom, porque cabe a cada um fortalecer a sua segurança informática através do conhecimento e treinamento. À medida que a tecnologia continua a se desenvolver, as ameaças à segurança cibernética se infiltrarão em novos meios.
Conhecimento é poder: arme-se.