Pesquisa da Proofpoint sobre o fator humano nos critérios de risco cibernético mostra que, diante de ameaças simples, mas ainda eficazes, CISOs devem coordenar seus planos de resposta entre tecnologia e gestão de pessoas
A Proofpoint divulgou hoje (14) os resultados da mais recente pesquisa “Human Factor”, mostrando que os anos seguintes à pandemia de COVID-19 abrigaram um intenso retorno de operações cibercriminosas contra diversas verticais de negócio. Essa dinâmica se explicou pela forte retomada de operações das empresas. De acordo com o levantamento, apenas a tecnologia não é suficiente para garantir a Segurança e as pessoas precisam ser vistas como uma camada a mais de proteção, através de treinamentos adequados.
“Nós mesmos somos muito vulneráveis. Como não podemos ser atualizados por patches corretivos, precisamos atingir alto nível de Segurança com treinando, usando metodologias próximas ao cotidiano do usuário e sendo avaliados para conhecermos as carências de preparação. Os CISOs precisam abordar cada vez mais o fator humano nas suas estratégias de defesa”, alerta Marcelo Bezerra, Gerente de Engenharia da Proofpoint, em entrevista à Security Report.
O estudo também apontou que muitos dos mais importantes ciberataques do mundo ainda se baseiam em métodos simples, utilizando especialmente técnicas de engenharia social para enganar usuários a cederem acessos aos atacantes. É o caso de campanhas de phishing de desvio de MFA, capazes de viabilizar ações eficientes e lucrativas até a criminosos pouco técnicos. Apenas esse tipo de estrutura de phishing foi responsável por mais de um milhão de mensagens maliciosas por mês no último ano.
A pesquisa ainda reafirma o alto nível de risco dos serviços de nuvem todos os dias. 94% dos contratantes de cloud sofrem ao menos um ataque de precisão ou força bruta em seus armazéns todos os meses, bem-sucedidos ou não. Especialmente as ações de tentativa e erro, baseadas em pulverização de senhas, saltaram de 40 milhões em 2022 para quase 200 milhões apenas no início deste ano.
“Outro exemplo interessante é o uso dos serviços macros em arquivos Office como forma de disseminação de malwares. Essa estratégia se mostrou eficiente por quase trinta anos e só perdeu força recentemente, com a Microsoft realmente implantando regras rígidas de uso. Isso mostra uma mentalidade dos criminosos de continuar aplicando o mesmo plano enquanto ele demonstrar resultado, por mais simples que seja”, explica Bezerra.
Ação coordenada
A pesquisa “Human Factor” ainda trouxe uma nova abordagem para os dados coletados. A proposta mais recente da Proofpoint era demonstrar com os números que lidar com riscos humanos dentro das corporações exige um enfrentamento coordenado entre noções de vulnerabilidade, ameaças e privilégios. Assim, o estudo buscou mostrar como essas três questões se correlacionam.
Segundo a análise, a vulnerabilidade diz respeito ao nível de exposição que os usuários se colocam durante suas navegações na rede, enquanto as ameaças envolvem a capacidade dos agentes hostis de atacar com sucesso os indivíduos expostos e os privilégios tratam do nível de alcance dos acessos comprometidos. As relações entre esses pilares podem variar, gerando em suas intersecções alvos fáceis, expostos demais ou mais interessantes. Já a coordenação dos três desafios dará luz aos alvos mais iminentes, os quais os CISOs precisarão se dedicar mais a mitigar.
Esses três tópicos de atenção dos líderes de Cibersegurança formam uma cadeia de ação comum e independente de qualquer variação nos métodos: o agente hostil explora um acesso inicial por uma vulnerabilidade, se aproveitando do fator humano em 75% das vezes; a partir dali ele passa a escalonar privilégios dentro da rede até atingir um patamar alto o suficiente para concretizar o ataque desejado.
“É necessário, portanto, centrar esforços em ações coordenadas, capazes de enfrentar esses três obstáculos ao mesmo tempo. Não basta apenas investir em tecnologia sem ajustar isso a um plano de cuidado com os funcionários também. No fim das contas, o foco da proteção de sistemas não são as máquinas em si, mas sim as pessoas que as operam”, encerra Bezerra.
