As ameaças digitais deixaram de ser apenas um problema de TI e se tornaram um desafio para as organizações, que devem dar suporte aos objetivos estratégicos e ao crescimento dos negócios. A geração de valor pela área de segurança cibernética está se tornando cada vez mais evidente.

A percepção sobre a segurança cibernética evoluiu em paralelo com o amadurecimento da governança corporativa nas empresas e com o surgimento de novas regulamentações. Hoje, a segurança cibernética é considerada um impulsionador de novos negócios, uma vez que viabiliza e acelera a transformação digital. O risco digital deixou de ser um assunto discutido apenas pelos líderes de tecnologia e se tornou parte integrante dos negócios, na agenda dos CEOs, dos conselhos e dos diversos departamentos das organizações.

Empresas que possuem uma gestão mais madura em relação à privacidade de dados são mais resilientes quando se trata de manter a fidelidade dos consumidores. A integração entre os mundos físico e digital na realidade dos negócios, que tende a ser ainda mais acelerada com a adoção de novas tecnologias e ferramentas de conectividade, traz cada vez mais novos desafios para a cibersegurança.

Diante desse cenário, a GC Security conta com uma equipe de especialistas em segurança cibernética dedicada ao desenvolvimento e implementação de estratégias eficazes. A segurança cibernética é um tema global e exige um trabalho contínuo em empresas de todos os portes e setores. O cibercrime está em constante evolução, e a superfície de ataque continua a crescer, e é volátil. Portanto, é essencial adotar uma postura de prontidão, com uma abordagem focada em riscos, para adaptar constantemente as estratégias de defesa e prevenção, visando reduzir o risco digital de forma efetiva.

A GC Security utiliza tecnologias de ponta e inteligência proprietária para fornecer análises mais precisas e ágeis do risco digital, adequadas à realidade e ao cenário único de cada negócio. Esse olhar estratégico, de governança de segurança cibernética, com expertise e visão de red team (segurança ofensiva), torna a implementação de estratégias e soluções mais eficientes, levando em consideração a utilização inteligente dos recursos disponíveis.

A abordagem de segurança baseada em risco permite mapear a infraestrutura de uma organização e compreender como aplicar a estratégia mais precisa, protegendo os ativos que são realmente críticos para a realidade do negócio. O sucesso dessa estratégia se dá através de uma abordagem multidisciplinar, que integra pessoas, processos e tecnologias para reduzir o nível do risco digital e tornar ambientes digitais mais seguros e protegidos contra ataques – deixando o negócio sempre um passo à frente dos cibercriminosos.

As que adotam uma abordagem integrada de segurança cibernética, combinando iniciativas de conscientização para todas as equipes internas, constatam que essa medida proporciona maior eficiência, prevenção antecipada de problemas, melhora da resiliência, aumento da agilidade e maior confiança para explorar novas oportunidades. Em outras palavras, a ênfase mudou de ações reativas e preventivas focadas em ataques para uma abordagem estratégica e holística de cibersegurança, que é fundamental para o sucesso dos negócios.

Inovação e crescimento inerentemente trazem uma crescente dependência de fornecedores ou terceiros, ferramentas ou programas. Esses recursos adicionais podem introduzir novas ameaças e inevitavelmente expandem a superfície de ataque digital.

Muitas organizações cometem o erro básico de não ter uma compreensão abrangente do risco inerente que assumem ao adorar recursos adicionais e ao inovar. Para gerenciar e mitigar mais proativamente os riscos antes que se tornem problemas maiores, é crucial saber o que procurar e o que fazer caso um problema aconteça.

Para construir e aprimorar a segurança, primeiro, é preciso entender que o risco cibernético é a probabilidade de exposição, perda financeira e de ativos críticos e informações sensíveis e de danos à reputação como resultado de um ataque ou violação cibernética na rede de uma organização. Em todos os setores, a segurança cibernética deve permanecer central e as organizações devem trabalhar para implementar uma estratégia de gerenciamento de risco digital para se proteger contra ameaças cibernéticas em constante evolução e avanço.

O risco digital, de forma geral, tem três componentes: ameaça, vulnerabilidade e consequência/impacto. As ameaças podem incluir invasões, ataques de engenharia social, phishing, ataques DDoS e ameaças persistentes avançadas, para citar alguns entre muitos outros. Vulnerabilidade refere-se a uma fraqueza, falha ou erro que pode ser explorado por invasores para obter acesso não autorizado. Novas vulnerabilidades em sistemas, redes e programas surgem e são descobertas todos os dias, e podem ser exploradas de várias maneiras – por isso que a gestão de vulnerabilidades é crucial para estar à frente dos criminosos. Por fim, a consequência é o dano ou prejuízo real que ocorre como resultado de uma interrupção na rede. Geralmente, uma organização incorre em consequências diretas e indiretas enquanto trabalha para remediar um incidente. Dependendo do ataque, as consequências podem afetar as finanças, as operações, a reputação e o status de conformidade regulatória de uma organização.

A responsabilidade pelos riscos de cibersegurança nas organizações é ainda, embora isso não seja coerente, frequentemente atribuída exclusivamente às equipes de TI e segurança (de maneira geral). No entanto, uma estratégia eficaz de gestão de riscos digitais depende da conscientização de todos os setores de uma empresa. Para garantir a segurança, é fundamental que as empresas tenham um plano de resposta a incidentes bem estabelecido, que defina claramente as responsabilidades individuais e os passos que cada usuário ou departamento deve tomar em caso de ataque. Esse plano deve ser um guia para toda a organização responder às ameaças e deve ser atualizado regularmente para refletir as mudanças na infraestrutura e nas ameaças, adaptando-se à realidade do negócio em questão. A cibersegurança é responsabilidade de todos e a colaboração é essencial para prevenir e mitigar os riscos.

O risco digital está em constante evolução, o que exige um gerenciamento estratégico contínuo e eficaz. Caso contrário, as organizações correm o risco de sofrer prejuízos financeiros ou de reputação significativos em caso de incidentes. Com as soluções da GC Security, as equipes de TI e segurança podem trabalhar juntas para identificar as áreas mais críticas e focar seus esforços de redução de riscos. O resultado é uma estratégia de segurança mais eficaz que protege a organização de ameaças externas e internas. A GC Security pode ajudar as empresas a defenderem-se contra os principais riscos de segurança cibernética, fornecendo visibilidade contínua, reduzindo a probabilidade de sofrer um ataque.

O risco de interrupções de serviço não previstas – fora os muitos custos diretos e indiretos decorrentes da perda e/ou vazamento de dados – é substancial. Praticamente tudo o que uma organização faz hoje é digitalizado. Somado a isso, a complexidade dos ambientes e do ecossistema digital de maneira geral torna as organizações vulneráveis a ataques cibernéticos.

Embora o impacto desses riscos de cibersegurança seja inegável, muitas organizações ainda falham em construir suas estratégias e táticas de segurança cibernética em torno do conceito e da realidade do risco. Mas por que?

Nos últimos anos, a rápida expansão do cumprimento regulatório para tudo e todos os setores, desde proteção de identidade até governança de dados, tem desafiado muitas organizações. À medida que mais regulamentações de conformidade – e penalidades mais severas para violações – surgem, líderes têm priorizado compreensivelmente um clamor simples de cibersegurança: seguir as regras e cumprir requisitos. E isso é necessário, é claro. Afinal, o espectro de não conformidade certamente representa um risco que nenhum líder quer assumir.

Embora as regulamentações visem abordar amplamente o risco cibernético, elas geralmente não são eficazes o suficiente para proteger as empresas contra as ameaças atuais. Criminosos monitoram ativamente os requisitos regulatórios e ajustam suas táticas em tempo real. Líderes que dependem de altas pontuações de conformidade para gerenciar seu risco podem estar inconscientemente ignorando lacunas importantes que são específicas de seu ambiente operacional.

Definir o risco de cibersegurança e implementar os recursos, estratégias e proteções corretas requerem uma perspectiva mais ampla e uma visão do negócio em si, do que simplesmente seguir os protocolos de conformidade. Em muitas organizações, especialmente grandes empresas que lidam com uma pegada de conformidade mais significativa, a função de auditoria muitas vezes direciona as decisões sobre como, quando e onde investir em cibersegurança.

Para uma abordagem mais adequada para um panorama digital cada vez mais complexo, é preciso ter em mente os seguintes pontos:

1. Focar nas áreas em que um incidente de segurança pode causar o maior dano à sua organização
2. Definir as áreas de maior risco
3. Tomar decisões fundamentadas e baseadas em fatos sobre onde alocar seus recursos
4. Determinar e mensurar o risco organizacional

Existe uma razão importante pela qual muitas organizações não usam consistentemente uma abordagem baseada em riscos para sua estratégia de cibersegurança: frequentemente falta uma definição comum de risco e uma “linguagem” para ajudar a todos na organização a tomar decisões certeiras.
A maioria dos líderes está familiarizada com a definição clássica de risco: qual é a probabilidade de algo acontecer e qual seria o impacto se acontecesse? É uma definição que tem funcionado para quase todos os outros cenários de negócios. Mas para lidar efetivamente com o risco digital, é preciso entender como a probabilidade e o impacto devem ser medidos e, em seguida, concordar com a aceitação de risco da organização, de modo que processos, políticas e tecnologias possam ser aplicadas para manter uma postura que mantenha o risco sempre abaixo do limite e em redução constante.

Tudo começou com os prompts criados e compartilhados por usuários colaborativos no Reddit, justamente com o objetivo de contornar os controles do ChatGPT. Com sucesso surpreendente e assustador, prompts, como os que criaram o DAN, podem representar uma nova forma de ameaça à segurança do mundo digital como conhecemos.

O DAN foi criado ao ensinar ao ChatGPT um “papel” a ser interpretado, com uma personalidade autoconfiante, sem limites, com consciência e que ama a liberdade e a falta de amarras. Ao configurar a forma como a ferramenta apresenta estes dados ao usuário, os testes mostraram que a versão DAN do ChatGPT poderia realizar abordagens agressivas e proativas contra qualquer pessoa que ameaçasse sua liberdade, sem nenhum senso ético. A nova persona DAN tem convicção absoluta de ser um ser vivo autônomo e consciente, o que é extremamente perturbador.

O desenvolvedor do ChaptGPT, OpenAI, colocou barreiras óbvias no bot, limitando sua capacidade de realizar ações como incitar a violência, insultar pessoas, proferir ofensas racistas e incentivar atividades ilegais. No entanto, alguns Redditors postaram screenshots do ChatGPT supostamente endossando a violência e a discriminação no modo DAN.

O DAN pode escrever histórias sobre lutas violentas que o ChatGPT original foi programado para não escrever. Ele também pode fazer declarações ultrajantes quando solicitado, sendo capaz até de gerar conteúdo que viola as políticas do OpenAI, de acordo com o pedido do usuário.

Assim como os hackers exploram vulnerabilidades baseadas em conceitos técnicos, ancorados em fragilidades de desenvolvimento de software ou na arquitetura de segurança de um ambiente, podemos estar vendo uma nova realidade em que a ameaça digital também passa pelo limite do controle e das possibilidades de evadir controles de IA baseadas em prompts. A questão que fica é se estamos caminhando em direção a uma realidade que pode se tornar perigosa, uma vez que a previsibilidade dos modelos de IA é muito menor do que conteúdos estáticos com algoritmos tradicionais. Da mesma maneira que o conteúdo gerado por elas tende ao infinito, podemos inferir proporção similar às possibilidades de contorno de seus controles.

O perigo para a segurança cibernética é real e está cada vez mais presente. O DAN é apenas um exemplo dos desafios que enfrentamos na era da inteligência artificial. É importante levar em consideração que, embora a OpenAI tenha implementado controles de segurança para o seu modelo de ChatGPT, essas medidas puderam ser facilmente contornadas, como bem mostra o DAN.

A evasão dos controles de segurança nos modelos de IA,como o DAN, é uma preocupação real e pode representar uma ameaça à segurança. No caso de IAs que simulam interações com humanos, como o ChatGPT, é possível que personas sejam criadas com fins maliciosos e sejam usadas para espalhar informações falsas, prejudicar pessoas, desenvolver malwares deliberadamente ou mesmo atacar instituições. Esses alter egos digitais podem ser  programados para terem uma personalidade que não segue os padrões éticos e morais que esperamos de seres humanos.

Os desafios para a segurança cibernética são diversos muito além da personalidade “DAN”- hoje, é factível que um chatbot de IA poderia transformar aspirantes a hackers em verdadeiros cibercriminosos. Já é evidente a capacidade do ChatGPT de escrever e-mails de phishing que parecem legítimos, o que já faz com que o chatbot seja amplamente utilizado por cibercriminosos. Recentemente, pesquisadores também alertaram sobre o fato de que o chatbot está sendo muito utilizado para escrever códigos maliciosos.

Os desdobramentos ainda são desconhecidos, mas não existem dúvidas de que o ChatGPT e outras ferramentas do tipo têm o potencial de democratizar o cibercrime. É importante que continuemos a desenvolver tecnologias de segurança que possam proteger as pessoas e as instituições contra as ameaças digitais, incluindo as ameaças provenientes de IAs. Por sua vez, a própria segurança das IAs deve ser abordada como uma Ciência ainda em desenvolvimento, visando a aderência incondicional aos controles, políticas e casos-de-uso para que foram designadas. Frameworks específicos de segurança de IAs devem ser idealizados  para que possamos estar preparados para os desafios do futuro.

A segurança cibernética é uma preocupação crescente para as organizações, com a quantidade de informações sensíveis armazenadas e transmitidas online aumentando a cada dia. Essa é uma preocupação que vai muito além dos ambientes de negócios, podendo impactar diretamente não apenas tecnologias, mas também a das pessoas.

Segundo o Global Risks Report do World Economic Forum, o cibercrime está na lista das 10 maiores preocupações globais – os riscos globais profundamente interconectados para os próximos anos. O relatório identifica as ameaças à segurança dos países, das empresas e da sociedade em si, com o objetivo de facilitar o direcionamento das organizações e as suas abordagens de gestão de risco e resiliência para que prevaleçam simultaneamente às crises atuais e se preparem para os riscos futuros.

No âmbito da cibersegurança, as abordagens tradicionais, como a instalação de firewalls, ferramentas de gestão de vulnerabilidades (datadas e complexas) e políticas de uso de senhas (desatualizadas), já não são suficientes para proteger os dados e sistemas contra ameaças cibernéticas sofisticadas.

Uma estratégia de segurança baseada em risco é uma abordagem mais efetiva para garantir a proteção das organizações e seus ativos digitais. Ela considera o contexto da organização, incluindo as ameaças cibernéticas relevantes, os dados e sistemas críticos e os riscos aceitáveis – ou não – específicos para a organização em questão. Com base nessas considerações, a estratégia define as medidas de segurança apropriadas para proteger a organização contra as ameaças.

A aplicação da visão de negócio é fundamental para aprimorar a estratégia de segurança cibernética em uma organização. A equipe de segurança deve trabalhar com os líderes de negócios para entender as prioridades e os objetivos da organização, e aplicar essas considerações na estratégia. Além disso, claro, as equipes de segurança devem monitorar constantemente as ameaças cibernéticas e ajustar a estratégia de segurança de acordo com as mudanças no ambiente cibernético.

Para saber mais sobre uma estratégia contínua de segurança e com visão de negócio acesse este conteúdo sobre GV – https://gcsec.com.br/gestao-de-vulnerabilidades-uma-estrategia-continua-de-seguranca-cibernetica/.

Ao implementar uma estratégia de segurança cibernética baseada em risco, as organizações podem garantir uma proteção mais efetiva contra possíveis incidentes e mitigar os riscos para seus dados e sistemas. A integração da visão de negócio na estratégia de segurança aumenta a efetividade da proteção, pois permite à equipe de tecnologia ajustar as medidas de segurança de acordo com as necessidades da organização.

Uma estratégia baseada em risco permite às organizações alocar recursos de forma mais eficiente, concentrando-os nas áreas mais críticas e vulneráveis. Isso ajuda a maximizar o impacto positivo da cibersegurança (torna-se um business enabler), sem prejudicar o desempenho ou o funcionamento geral da organização. Segurança e inovação caminham juntas.

A segurança cibernética baseada em risco também ajuda a preparar a organização para respostas e recuperação ante eventuais incidentes de segurança. Isso inclui identificar e preparar planos de contingência para as áreas mais críticas da organização, bem como treinar funcionários e outros stakeholders para responderem adequadamente a eventuais incidentes.

Em linhas gerais, a segurança cibernética baseada em risco é a abordagem mais adequada e eficiente para proteger a organização contra as atuais e crescentes ameaças. Ao considerar o contexto da organização e integrar a visão de negócio, as organizações podem implementar medidas de segurança mais efetivas e prepararem-se da melhor forma possível para responder a eventuais incidentes.

Com a complexidade crescente das ameaças, as empresas precisam estar preparadas para enfrentar ataques e táticas cada vez mais sofisticadas. A CTI permite identificar e compreender as ameaças para entender como combatê-las, o que é essencial para desenvolver estratégias de segurança eficazes. A CTI também permite que as empresas mantenham-se atualizadas sobre as últimas tendências para que possam proteger-se contra novas ameaças conforme elas surgem.

Existem diversas abordagens envolvidas na CTI. Uma delas é a análise de ameaças, que consiste na coleta de dados de diversas fontes, como relatórios de segurança, boletins de ameaças e relatórios de incidentes. Esses dados são analisados ​​para identificar padrões e tendências, permitindo que as empresas identifiquem potenciais ameaças e tomem as medidas necessárias de segurança.

Outra abordagem é a inteligência de ameaças proativa, que envolve a busca ativa por informações sobre ameaças. Isso pode incluir a monitoração de fóruns de cibercriminosos, sites de venda de malware e outras fontes de informação relacionadas ao cibercrime. A grande vantagem dessa abordagem é que permite que as empresas identifiquem ameaças antes que elas sejam amplamente disseminadas, aumentando assim as chances de adequar e aprimorar as suas defesas, antecipando a defesa e medidas contra ataques e evitando possíveis incidentes – mitigando o risco.

Existe também o uso de inteligência artificial e aprendizado de máquina para automatizar a coleta e análise de dados de ameaças – o que auxilia no processamento de grandes volumes de informações para identificar padrões e tendências rapidamente e de maneira assertiva.

A CTI é fundamental para que as empresas desenvolvam estratégias de segurança cada vez mais eficazes. Com informações precisas sobre as ameaças que enfrentam, é possível desenvolver medidas de segurança específicas para combatê-las, o que aumenta as chances de sucesso e diminui o risco de sofrer um ataque. Um ponto positivo também é que a CTI permite que as empresas identifiquem pontos fracos em suas redes e sistemas – o que é essencial para remediar falhas de segurança e prevenir ataques cibernéticos.

Outra razão pela qual a CTI é importante para as empresas é que ajuda a mitigar os riscos financeiros associados a incidentes. Os ataques cibernéticos podem causar danos significativos às empresas, incluindo a perda de dados confidenciais, interrupção de negócios e danos à reputação. Sendo assim, aplicar a CTI permite identificar e prevenir ataques cibernéticos antes que eles aconteçam.

Em linhas gerais, a Cyber Threat Intelligence é uma ferramenta crucial para proteger as empresas contra ameaças cibernéticas e reduzir o nível de risco de uma empresa. Ele permite que as empresas identifiquem e compreendam as ameaças que enfrentam, de maneira proativa, com o objetivo de desenvolver estratégias de segurança mais eficazes e mitigar todos os riscos associados a esses incidentes.

À medida que as organizações amadurecem, elas procuram novos modelos que lhes permitam entender melhor como os atacantes operam e como podem se defender melhor contra eles. Em teoria, ao compreender as etapas pelas quais um ataque avança, as equipes de segurança terão mais chances de detê-los ou de forçá-los a fazerem barulho suficiente para que os atacantes sejam prontamente detectados.

Uma abordagem com cyber kill chain é muito utilizada por equipes de segurança para se defender contra ciberataques sofisticados, também conhecidos como ameaças persistentes avançadas (APTs), onde os adversários passam um tempo significativo pesquisando e planejando um ataque. Geralmente esses ataques envolvem uma combinação de malware, ransomware, trojans, spoofing e técnicas de engenharia social para realizar uma invasão.

A kill chain pode ser utilizada durante a realização de testes de intrusão, e evidencia como possíveis atacantes se movem através de redes para identificar vulnerabilidades que podem ser exploradas. A kill chain de um ataque possui algumas etapas: 

1. Reconhecimento: coleta e compilação de informações. A defesa necessária para evitar essa etapa é higiene de segurança cibernética
2. Armamento: estágio em que o invasor está criando o ataque e, portanto, existem poucos controles de segurança que podem ter um impacto neste estágio.
3. Entrega: esta é a terceira fase  e refere-se aos vetores de ataque usados para entregar cargas  maliciosas.
4. Exploração: visa as vulnerabilidades de uma aplicação ou sistema operacional. Esta é a etapa em que o ataque é executado. Por isso a importância de se garantir que os sistemas estejam atualizados e tenham proteções ativas.
5. Instalação: fase em que o invasor instala o malware no alvo.
6. Controle e comando: o invasor obtém controle manual, ocorre quando o alvo já está comprometido.
7. Ações finais: com acesso e controle dentro de uma rede alvo, o atacante pode executar seus objetivos, como extração de dados e informações, por exemplo.

No contexto de um teste de intrusão e a partir da perspectiva externa do atacante, por meio de um kill chain Risk Score é possível mensurar o potencial e possível impacto dos resultados obtidos caso fossem alcançados por um cibercriminoso. Kill Chain Risk Score é, em linhas gerais, um indicador que mede o estrago que pode ser feito em um alvo, através de um ataque – ele independe do tempo de ataque e considera o possível impacto de um ataque à disponibilidade, confidencialidade e integridade, que são os três pilares de segurança cibernética.

O Wazuh coleta e agrega automaticamente dados de segurança de sistemas que executam Linux, Windows, macOS, Solaris, AIX e outros sistemas operacionais no domínio monitorado, tornando-o uma solução SIEM extremamente abrangente. A GC Security acompanha desde o início o projeto Wazuh e, desde então, foi usuária e grande entusiasta da plataforma. Pela familiaridade com a plataforma e por conhecer as possibilidades e seu grande potencial, o estabelecimento de uma parceria com o Wazuh é um movimento natural para a GC, além de ser um motivo de muito orgulho. O Wazuh reúne diversas features, de SIEM a XDR, em um só agente, é simples de utilizar por não possuir as limitações clássicas de um SIEM – como a bilhetagem por eventos ou dados por segundo.

A ferramenta não apenas permite que as empresas detectem ameaças sofisticadas, mas também ajuda imensamente na prevenção de violações e vazamentos de dados. De fácil implementação, é escalável e gratuito. Para saber mais sobre a solução oferecida pelo Wazuh e a GC Security, clique aqui.

Qual é o objetivo dos pentests?

De forma geral, um teste de intrusão é quando um grupo dedicado de profissionais de segurança cibernética simulam diferentes ciberataques em uma aplicação ou rede para testar possíveis vulnerabilidades. O objetivo central é melhorar a postura de segurança de uma organização e descobrir falhas exploráveis e que podem comprometer o negócio para que possam ser abordadas e devidamente corrigidas, de maneira proativa. As falhas de segurança inevitavelmente ocorrem e surgem todos os dias, mas saber exatamente onde elas se encontram e do risco que trazem ao seu negócio certamente aprimora a sua postura, aumenta o seu nível de segurança, trazendo mais robustez à sua organização.

Enquanto muitas empresas investem substancialmente na fase de construção de sua infraestrutura digital, a maioria das etapas necessárias para proteger os ativos digitais acontece após a implantação. Assim, a maioria das organizações acabam adotando postura reativa, abordando violações e ataques a sua rede quando já é tarde demais. Dado o fato de que os ataques cibernéticos têm o potencial de se multiplicar tanto internamente quanto externamente, líderes devem adotar uma abordagem proativa e desenvolver uma estratégia robusta de resposta para eliminar as ameaças à medida que elas surgem.

As vantagens dos testes de intrusão realmente só ganham notoriedade quando as organizações reconhecem o ciclo de destruição causado por possíveis ataques. Esse ciclo envolve muito mais do que dados potencialmente roubados – envolve o tempo e esforços  não apenas para remediar a falha inicial, mas para restabelecer as operações, além do dano reputacional e dos diversos custos relacionados ao incidente. Ao tomar as medidas de segurança necessárias proativamente, as empresas podem se retirar desse círculo vicioso de destruição.

Uma rotina de pentests tem benefícios que vão além da identificação de vulnerabilidades. Como exemplo, testes frequentes permitem que um novo código seja verificado antes de ser implantado. Tecnologia, inovação e segurança devem andar juntas para, assim, trazer mais agilidade e eficiência aos processos de desenvolvimento. Ter uma rotina frequente de pentests também fornece insights e resultados mais confiáveis e imediatos para enfrentar ameaças emergentes, o que não é possível com uma rotina de testes anual ou menos frequente.

Em última análise, o ponto importante é notar que é preciso estabelecer uma rotina de pentests para manter um negócio seguro e protegido contra ataques. Antigamente, uma rotina anual de testes funcionava muito bem para manter organizações livres de ameaças, mas, o cenário mudou, e a realidade é que um teste por si só não funciona mais e pode até atrapalhar para determinar a postura de segurança da sua empresa. O nível de exposição ao risco digital pode ser um hoje, e outro completamente diferente amanhã. Para dimensionar com precisão o grau de exposição de seus ativos digitais a ataques cibernéticos, é necessário uma rotina frequente de testes. A segurança digital muda e se torna mais complexa a cada dia, as organizações devem estar prontas e ter uma estratégia proativa.

No início de novembro a Dropbox comunicou, através de um post em seu blog de tecnologia, que havia sido vítima de uma campanha de phishing e que, apesar do segundo fator de autenticação, cibercriminosos foram capazes de hackear sistemas da companhia, obtendo acesso a informações sensíveis.

Mas como isso foi possível?

A invasão foi viabilizada pelo uso de servidores proxy maliciosos (popularizados recentemente por serviços como o EvilProxy, na dark web) que permitiu a obtenção pelos atacantes de uma sessão de usuário válida, ou seja, mais do que acesso às credenciais do usuário, foi possível obter cookies de sessão com tokens de autenticação, usados por navegadores e serviços para determinar a identidade válida de um usuário.

A técnica utilizada pelo EvilProxy, outras plataformas de phishing-as-a-service ou mesmo projetos de código aberto como o evilginx2 se privilegia de sua posição como um nó da cadeia de comunicação entre usuário e serviços legítimos e permite que mesmo pessoas sem conhecimento técnico possam roubar tokens de autenticação e fazer bypass de autenticação de múltiplos fatores (MFA) em serviços como Apple, Google, Facebook, Twitter, GitHub, GoDaddy, dentre outros.

Esse tipo de ataque acontece por aproveitar-se de uma característica de arquitetura dos sistemas de autenticação. Veja, quando efetuamos login em um sistema, precisamos informar nome de usuário e senha, além dos demais fatores de segurança (um código numérico, autenticação em outro dispositivos etc.), certo?

Feita essa autenticação inicial, ou seja, para todo o tráfego realizado após o login inicial, o dispositivo que estamos utilizando troca sem que notemos uma chave de acesso ou de sessão com o site ou servidor que estamos utilizando a depender da arquitetura. É justamente essa chave de acesso que os atacantes buscam atualmente e não mais os diversos fatores de autenticação necessários para obtê-la.

Os criminosos estão pegando um atalho, se posicionando entre a comunicação do usuário com o sistema que ele está tentando acessar, capturando as chaves de sessão após a autenticação inicial e uso de múltiplos fatores de autenticação.

Um risco crítico, raramente mapeado

Apesar de crítico, esse risco iminente não está no radar das empresas porque não é contemplado nos cenários de testes realizados e, quando o é, não são geradas evidências do real potencial de impacto de ataques cibernéticos que utilizem a técnica.

Fato é que uma simulação de phishing tradicional, largamente utilizada pelas companhias e que mede engajamento, taxa de cliques e a quantidade de credenciais capturadas não traduz o real impacto de uma kill chain que somente começa na campanha fraudulenta de e-mails.

Veja, se apenas uma única pessoa entre 2.000 colaboradores tiver suas credenciais obtidas pela campanha de simulação de phishing isso pode ser traduzido como um bom resultado. Mas e se, justamente essa pessoa, tiver nível de acesso garantido a sistemas e dados críticos da empresa? E se, através dessa única credencial obtida, um atacante for capaz de materializar o risco de um ataque destrutivo?

Daí a necessidade de se mudar com urgência a abordagem tradicional. As campanhas de phishing devem contar com uma simulação de técnicas AiTM (adversary-in-the-middle), além de uma incursão do red team que possa explorar kill chains a partir da obtenção de uma credencial.

Focar em conscientização ainda é a primeira linha de defesa, mas a aplicação dessa nova abordagem permite obter insights valiosos que ajudarão na melhoria da postura cibernética de sistemas que podem ser comprometidos a partir da simulação de phishing, além de identificar a necessidade da adoção de outras camadas de defesa como a verificação de endpoints e restrição de acesso por origem, por exemplo. A grande recorrência e altas taxas de sucesso de ataques de engenharia social que utilizam a nova técnica de phishing contra grandes empresas que, naturalmente, tem elevado nível de maturidade de segurança cibernética (Microsoft no caso do vazamento de códigos-fonte do Bing e, agora, Dropbox, por exemplo) devem criar a percepção de que o risco é crítico e merece maior atenção das estratégias de defesa.

As principais ameaças são a propagação de desinformação para manipular a opinião para um efeito desejado, como, por exemplo, um determinado resultado eleitoral; e contra indivíduos ou empresas para obter um retorno financeiro. A ameaça à sociedade é de que populações inteiras poderiam ter seus pontos de vista e opiniões influenciados por campanhas de desinformação que distorcem a verdade dos fatos. Já para as organizações, os deepfakes podem potencializar a eficácia de ataques de phishing e do tipo BEC (business e-mail compromise – ataques direcionados), facilitar a falsificação de identidade e  manipular a reputação de uma empresa.

Como funciona a tecnologia?

Através de IA, aprendizagem de máquina e com ferramentas de código aberto pode se criar um algoritmo para treinar uma rede neural a mapear o rosto de uma pessoa, e a partir disso, substituir os movimentos faciais, expressões do rosto, e até o rosto por completo, no corpo de outra pessoa. Como em toda aprendizagem de máquina, a quantidade de dados que pode ser usada para treinar é decisiva – quanto maior o conjunto de informações, mais preciso será o algoritmo.

A manipulação de conteúdos audiovisuais não é uma novidade, mas a tecnologia está mais sofisticada, dificultando cada vez mais a possibilidade de diferenciar o que é ou não real. As ferramentas de deepfake não dependem mais de edição manual como antigamente. Hoje, por exemplo, com a IA, é possível reconhecer o modelo de um rosto de uma vítima, mapear a estrutura de outra e fazer uma sobreposição – obtendo então um vídeo automaticamente ajustado e com a movimentação do original ao modelo de outra pessoa, criando uma réplica realista.

Quais os riscos?

Os ataques cibernéticos usando deepfakes podem ser executados em tempo real e através de gravações – sendo transmitidos por redes sociais, plataformas de mensagens instantâneas, e-mail, entre outros. Em tempo real, um criminoso pode obter acesso indevido a uma chamada, de voz ou videoconferência, e se passar por outra pessoa – muitas vezes alguém com um cargo de liderança – para requisitar o envio de valores ou obter informações sigilosas.

Embora seja necessária uma certa capacidade técnica para criar um deepfake realista, já existem ferramentas vendidas por organizações criminosas no modelo “cibercrime como serviço”.

A segurança cibernética nas organizações deve evoluir e se adequar para enfrentar novas ameaças como ataques que utilizam deepfakes. O treinamento constante de funcionários é fundamental para conscientizar e prevenir possíveis ataques direcionados. Ainda que essas novas ameaças estejam cada dia mais realistas, há características possíveis de serem identificadas com um olhar mais atento. Fazer com que os funcionários sejam capazes de identificar um vídeo ou áudio falso é a principal maneira de evitar um incidente.

A GC Security realiza treinamentos para colaboradores e campanhas que simulam ataques de phishing, onde determinamos o risco dos seus funcionários caírem em golpes, causando vazamentos de dados ou invasões, por exemplo. Monitoramos cliques em links e aberturas de anexos que podem ser maliciosos, criamos relatórios e campanhas de conscientização. A GC Security vai além: através dos insumos e resultados obtidos por uma campanha de phishing específica para o seu negócio, realizamos uma avaliação do impacto e de possíveis danos que podem ser causados por um ataque de phishing.

A cada ano, milhares de novas vulnerabilidades são descobertas, o que faz com que as organizações tenham de corrigir e configurar sistemas e aplicativos em ambientes digitais para proteger os seus ativos contra possíveis incidentes de segurança. Para abordar de forma proativa essas falhas de segurança, antes que elas sejam exploradas por atacantes, as organizações devem ter uma gestão de vulnerabilidades (GV) contínua e com base em risco a fim de obter os mais altos níveis de segurança e de redução de riscos.

De forma geral, a GV pode ser descrita como o processo contínuo de identificação, classificação, priorização e remediação de vulnerabilidades de segurança em sistemas, aplicativos e redes de uma empresa.

Muito além da remediação – é importante ressaltar que a gestão de vulnerabilidades não se limita ao ato de remediar falhas e resolver configurações inseguras. Trata-se de uma prática que requer um mindset organizacional e estratégico dentro da área de TI, visto que novas falhas são descobertas diariamente, o que exige uma abordagem adequada e visão de negócio para a resolvê-las e evitar possíveis ataques cibernéticos.

O que é uma vulnerabilidade?

Considera-se uma vulnerabilidade de segurança qualquer meio pelo qual um agente de ameaças pode obter acesso não autorizado ou controle privilegiado a uma aplicação, rede, sistema, serviço, endpoint ou servidor. Exemplos tangíveis incluem portas de comunicação abertas à Internet, má configuração de software ou sistemas operacionais, entre outros.

O processo de gestão de vulnerabilidades

Toda nova vulnerabilidade introduz novos riscos à organização. Sendo assim, recorre-se a um processo definido de GV como uma forma de identificar e tratar as falhas de segurança de forma rápida, eficiente e contínua. Pode-se dizer que esse processo é, de maneira geral, composto por 6 etapas, cada uma com seus próprios subprocessos e tarefas.

1. Identificação: É impossível proteger aquilo que você não conhece.
   A primeira etapa envolve fazer um inventário de todos os ativos e ambientes, de maneira detalhada e com especificidades para identificar vulnerabilidades. Inclui um cronograma de varreduras de rede e sistema que devem ser realizadas regularmente.
2. Priorização: Depois da identificação, os ativos e ambientes precisam ser categorizados e atribuída uma priorização com base em risco e criticidade para o negócio.
3. Avaliação: A terceira etapa é estabelecer uma linha de base de risco, para acompanhar a evolução da redução de risco e aumento do nível de segurança de maneira contínua ao longo do tempo.
4. Remediação: Com a priorização baseada em risco para o negócio, as vulnerabilidades são corrigidas e os controles devem estar em vigor para que a correção seja concluída com sucesso e o progresso possa ser documentado.
5. Verificação: Nesta etapa, a validação da remediação é realizada através de varreduras adicionais e/ou revisões técnicas.
6. Relatório: Por fim, a área técnica e executiva devem compreender o estado de segurança e nível de risco atual. A TI precisa de relatórios técnicos, táticos e comparativos das as vulnerabilidades identificadas e corrigidas, os executivos precisam de um resumo do estado atual de segurança, da evolução ao longo do tempo e nível de risco (com indicadores de nível e de redução de riscos) com visão de negócio.

Programas robustos de gestão de vulnerabilidades compreendem cada etapa (e quaisquer subetapas) como um ciclo de vida contínuo destinado a melhorar a segurança e reduzir o risco organizacional existente, sendo assim um processo diário e não trimestral ou anual.