O velho ditado “uma corrente é tão forte quanto seu elo mais fraco” é regularmente relembrado em discussões sobre segurança cibernética. Não poderia ser mais adequado - exceto na arena cibernética, cada link é representado por um funcionário individual. Isso cria muitos pontos fracos potenciais para os invasores sondarem. E eles o fazem, implacavelmente. Infelizmente, a mudança para o trabalho remoto em massa durante o curso da pandemia transformou um problema antigo em um desafio ainda maior para as equipes de segurança cibernética.
Agora que as organizações estão definidas para desenvolver uma mistura híbrida de trabalho doméstico e de escritório para a maioria dos funcionários, este é um desafio que não pode mais ser ignorado. As apostas são simplesmente altas demais.
A escala da ameaça interna
Embora usuários internos mal-intencionados sejam um problema crescente, o maior problema está relacionado a funcionários negligentes ou descuidados. Humanos são os que clicam em links, definem senhas, configuram sistemas de TI e codificam software. Eles são naturalmente propensos a erros e podem ser manipulados por engenharia social. Portanto, naturalmente, eles representam um risco cibernético principal para as organizações e uma grande oportunidade para os agentes de ameaças. Em um mundo hipotético livre de erros humanos, é difícil imaginar que o setor de segurança cibernética valha a estimativa de US$ 156 bilhões que vale hoje.
Como o erro humano contribui para o risco de segurança? Algumas estatísticas merecem destaque:
- Cerca de 85% das violações envolveram um elemento humano no ano passado, de acordo com a Verizon;
- Quase 19% das violações envolveram “erros diversos”;
- Cerca de 35% das violações incluíram engenharia social;
- Ataques de phishing aumentaram 11% de 2020 para 2021;
- Quase US$ 2 bilhões foram perdidos no ano passado para ataques do tipo Business Email Compromise (BEC), nos quais os usuários são induzidos a transferir fundos corporativos para o fraudador;
- Dispositivos perdidos representam uma ameaça importante, mas não quantificada. Mais de 000 foram perdidos ou roubados apenas dos departamentos do governo do Reino Unido em 2020;
- O impacto financeiro de tais ameaças é debatido. No entanto, uma estimativa afirma que uma violação interna custou, em média, às organizações globais cerca de US$ 11,5 milhões em 2019, um aumento de 31% em relação aos números de 2017.
O impacto financeiro de tais ameaças é debatido. No entanto, uma estimativa afirma que uma violação interna custou, em média, às organizações globais cerca de US$ 11,5 milhões em 2019, um aumento de 31% em relação aos números de 2017.
Como os agentes de ameaças estão mirando trabalhadores remotos
Com a pandemia, surgiram novas oportunidades para focar nos funcionários. Quase da noite para o dia, as organizações mudaram de sistemas de TI centralizados, protegidos por políticas, processos e tecnologia comprovados para uma força de trabalho distribuída. Os funcionários não estavam apenas usando redes e dispositivos domésticos potencialmente inseguros, mas também podem estar mais distraídos com a vida doméstica, especialmente aqueles que têm compromissos com crianças. Mesmo aqueles que não o fizeram sofreram por estarem mais isolados, tornando mais difícil verificar rapidamente e-mails suspeitos com colegas ou equipe de TI.
O estresse também desempenhou um papel potencialmente importante aqui, aumentando o risco interno. De acordo com um relatório da ESET produzido no ano passado em parceria com a empresa consultora de psicologia empresarial The Myers-Briggs Company, mostrou que 47% dos entrevistados estavam um tanto preocupados com sua capacidade de gerenciar o estresse durante a crise. Funcionários estressados podem ser mais propensos a entrar em pânico e clicar em um link malicioso ou deixar de relatar uma violação potencial ao setor de TI, alertou o relatório. Longas horas de trabalho podem ter um efeito semelhante. Dados oficiais do Escritório Nacional de Estatísticas do Reino Unido revelaram que os trabalhadores domésticos ficavam em suas mesas por, em média, cinco horas a mais do que os colegas que trabalhavam no escritório em 2020.
O relatório da ESET teve mais conclusões sobre o assunto, incluindo:
- Os CISOs relataram um aumento de 63% no crime cibernético desde o início dos lockdowns;
- Embora 80% dos entrevistados tivessem uma estratégia de trabalho remoto em vigor, apenas um quarto disse que era eficaz;
- Cerca de 80% disseram que o aumento do risco cibernético causado por fatores humanos é um desafio;
- 80% das empresas disseram que um aumento do risco de segurança cibernética causado por fatores humanos representa algum tipo de desafio.
Junto com o phishing, outras ameaças de trabalho híbrido, incluindo:
- Sequestro de RDP, que é cada vez mais usado por atores de ransomware. Isso é facilitado por credenciais fracas ou previamente violadas;
- Sistemas sem patch (por exemplo, VPNs, laptops);
- Wi-Fi e/ou dispositivos domésticos inteligentes sem senhas fortes;
- Uso de dispositivos compartilhados, situação na qual colegas de trabalho ou filhos visitam sites arriscados e baixam involuntariamente software potencialmente malicioso.
Como proteger o ambiente de trabalho híbrido
Com um retorno parcial ao escritório, com um pouco de esperança, alguns desses desafios desaparecerão. Menos estresse e isolamento podem impactar positivamente os esforços de redução de risco. Mas também há a possibilidade de a equipe trazer os maus hábitos aprendidos durante a crise de volta ao trabalho - junto com qualquer malware oculto nos dispositivos. O transporte de laptops entre a casa e o trabalho também pode aumentar o risco de perda ou roubo de dispositivos.
No entanto, há coisas que as equipes de segurança podem fazer para minimizar os riscos associados ao novo ambiente de trabalho híbrido. Isso inclui:
- Ser obrigatório o uso de autenticação multifator (MFA) para todas as contas e dispositivos;
- Políticas para exigir que atualizações automáticas sejam ativadas em todos os dispositivos;
- Senhas fortes para todos os dispositivos domésticos, incluindo roteadores;
- Testes psicométricos para ajudar a identificar onde existem fraquezas humanas. Essa inteligência pode ser usada para desenvolver protocolos de segurança melhores e tornar o treinamento mais personalizado e eficaz;
- Avaliação/auditoria rigorosa de fornecedores e suas capacidades para mitigar ameaças internas;
- Ferramentas de prevenção de perda de dados;
- Segmentação de rede;
- Restringindo direitos de acesso ao princípio de privilégios mínimos;
- Usar o modelo Zero Trust para limitar os danos que podem ser causados por incidentes internos;
- Modificar a cultura de trabalho para que os que estão em casa não se esgotem.
O gerenciamento de riscos internos tem tudo a ver com tentar proteger o elo mais fraco do comprometimento. Com as políticas e processos de melhores práticas apoiados pela tecnologia certa, há esperança para um ambiente de trabalho híbrido mais seguro.