O phishing continua representando uma ameaça para as empresas de qualquer setor.
Dados do relatório Strategic Security Survey produzido pela Dark Reading apontam que, em 2021, 53% das organizações citaram o phishing como causa direta de incidentes de segurança (em 2020 o percentual era de 51%). Para 58% das empresas ouvidas, o phishing é a principal causa de preocupação no que se refere à segurança de endpoints e para 48% esta seria a causa mais provável de um incidente, caso ele ocorra.
Boa parte dos grandes incidentes de 2020 e 2021, sejam aqueles envolvendo ransomware e suas variações, ou o comprometimento e vazamento de dados via software malicioso podem ser, em grande parte, atribuídos a erros internos causados por phishing.
Atualmente existem ferramentas capazes de identificar ameaças em anexos suspeitos como documentos de texto, planilhas e outros arquivos. Essas ferramentas permitem que, a partir de regras previamente estabelecidas, os emails suspeitos sejam quarentenados e analisados pelos times de segurança.
No entanto, criminosos encontraram meios de burlar esse processo ao embarcar conteúdo malicioso em arquivos com formato .eml (que são interpretados como emails legítimos). Estes arquivos possuem código capaz de disparar um link ou solicitar credenciais da vítima.
Este é apenas um exemplo de como o phishing é uma ameaça extremamente versátil, podendo se adaptar de acordo com a vítima e com os interesses do atacante.
A complexidade dos ataques recentes reforça a importância de evitar a abordagem simplista de culpar a vítima pelo incidente, ou mesmo de colocar os profissionais no papel de “elo mais fraco da organização”
Um estudo conduzido na Universidade de Strathclyde publicado no Wall Street Journal mostra que funcionários de empresas que foram vítimas de phishing se mostram dispostos a colaborar na resolução de um incidente e na prevenção a novos casos, caso seu “erro” seja acolhido com compreensão e suporte.
Segundo a Dra. Karen Renaud, uma das autoras do estudo, “qualquer um pode ser vítima de uma mensagem de phishing e, quando isso acontece, essa pessoa já vai se sentir mal o suficiente. Expô-la ainda mais não vai ajudar”.
A abordagem mais correta é envolver os colaboradores na segurança da empresa antes mesmo que um incidente ocorra. Mas isso, em si, não é possível sem desafios.
Há praticamente um consenso de que conscientizar profissionais (e a população em geral) para a importância da proteção dos dados – seus e das organizações nas quais trabalham – é de suma importância.
No entanto, essa prática ainda não é amplamente difundida. Em muitos casos, campanhas de conscientização só são lançadas quando é tarde demais, após a companhia (ou um player do mesmo mercado) ter sido alvo de algum incidente.
Nos EUA, um survey sobre treinamentos em cibersegurança conduzido neste ano pela National Cybersecurity Alliance detectou que 64% dos participantes não teve acesso a nenhum tipo de aconselhamento ou treinamento sobre cibersegurança.
Mas apenas aumentar o número de treinamentos e campanhas não é, em si, uma “bala de prata” contra incidentes causados por phishing.
É preciso ir além da “conscientização” como conceito estrito e buscar uma real mudança de postura no que se refere ao trato das informações com as quais lidamos todos os dias. Não se trata apenas de “estar ciente de que há riscos” mas de empoderar os colaboradores para identificar e agir diante de uma potencial ameaça.
Nesse sentido, é fundamental que haja planejamento na criação de uma conscientização profunda para o problema e que considere todas as nuances do negócio. Afinal, os riscos aos quais o departamento de recursos humanos está exposto não se aplicam ao departamento financeiro, por exemplo. O mesmo vale para diferentes verticais: cada uma tem seu próprio nível de exposição e riscos.
No que diz respeito aos treinamentos, é vital que eles não sejam um evento isolado no calendário. Deve-se criar uma rotina de ações educativas que contemplem as particularidades do negócio e o dia-a-dia de cada indivíduo dentro da organização.
Finalmente, é preciso identificar e mapear o desenvolvimento de cada indivíduo e área no que se refere aos conhecimentos sobre sua responsabilidade na proteção da empresa como um todo e em sua capacidade de identificar riscos e agir quando necessário.
A KnowBe4, parceira de tecnologia da Tempest, oferece uma plataforma SaaS (Software as a Service) que realiza simulações de phishing e treinamentos educativos para gerenciar efetivamente esse problema.
Essa solução realiza simulações de ataques customizáveis em diversos meios, explorando técnicas de engenharia social para aguçar a curiosidade dos colaboradores e testar sua reação diante dos ataques mais sofisticados.
Na solução, cada setor é educado de uma maneira distinta, com treinamentos desenhados de acordo com a realidade de cada equipe, de executivos a profissionais de recursos humanos ou do departamento pessoal.
Ao fim de cada campanha, seu time de segurança terá acesso às métricas (como o número de usuários que clicaram na simulação, número de cliques por dispositivo mobile ou desktop, entre outras), além de, recomendações e insights que ajudam na tomada de decisão para tornar a sua empresa mais segura.
Faça o download do datasheet: Como Criar Um Firewall Humano Através Da Conscientização.
Para saber mais sobre esta e outras soluções dos nossos parceiros, entre em contato conosco no link
4G e Inteligência Artificial são as fronteiras de mudança tecnológica nos próximos três anos, aponta estudo da Tempest
A importância da aplicação do Gerenciamento de Vulnerabilidades e Conformidades na proteção dos negócios
Ameaças cibernéticas de 2021 e tendências para 2022 foram tema da primeira edição do Tempest Live Sessions deste ano. Assista!