logo

Phishing: os problemas com treinamento de usuários

Email e a web estão envolvidos em impressionantes 91% dos ciberataques, no entanto, as ferramentas de segurança atuais não impedem os ataques comuns de phishing e as explorações baseadas em navegadores.

Os ciberataques continuam a aumentar drasticamente tanto em número quanto em gravidade. Diversos relatórios e estudos mostram isso. O último que li mostrava que 50% dos incidentes relacionados a Engenharia Social são ataques do tipo BEC – Comprometimento de Email Corporativo. O Ransomware está presente e 24% das violações considerando empresas de todos os setores e tamanhos no mundo todo. Destas violações, 94% delas são relacionadas a intrusão de sistemas. Na análise do relatório, o Ransomware continua a ser uma das top 3 preocupações e que são prioridade nos sistemas de segurança para 91% das empresas. Os vetores mais comuns para este tipo de ataque são o e-mail, o software de compartilhamento de desktop e as aplicações web. Este relatório é Verizon 2023-data-breach-investigations-report-dbir. Para ilustrar ainda mais, vejam estas outras informações: 

 

  • Brasil é o segundo país com maior número de ataques cibernéticos no mundo, perdendo apenas para a China. (FGV/Deloitte)
  • Em média, uma empresa brasileira sofre um ataque cibernético a cada 47 segundos. (IBM)
  • Durante a pandemia houve um aumento de 98,7% nos ataques de phishing no Brasil. (Psafe)
  • O Brasil é o país que mais sofreu golpes com link falso pelo WhatsApp em 2022. (Kaspersky)
  • Ranking de ameaças brasileiro segue diferente do que é registrado globalmente, com ataques envolvendo roubo de dados e acesso remoto representando quase 40% do total de fevereiro. (Check Point)
  • 48% das ameaças ganham acesso às redes empresariais através de ataques via downloads web. (Sans Institute) 
  • Mais de um terço dos ataques cibernéticos realizados no Brasil contra empresas e usuários comuns envolvem o uso de malware para roubo de dados.
  • Estima-se que em 2022 o Brasil respondeu sozinho por mais da metade (55%) dos roubos de credenciais na América Latina, região que, no período, registrou mais de 6 milhões de ocorrências desse tipo. (Appgate)
  • Mais de 112 terabytes (TB) de dados foram expostos no ano passado no Brasil, volume que representa cerca de 43% dos 257 terabytes registrados em todo o mundo. (Tenable)
  • • No Brasil, o ransomware foi a causa de mais 52% dos ciberataques, contra 35,4% da média global.(Tenable)

 

As soluções e processos de segurança atuais são ineficazes contra a crescente onda de ataques de phishing


As defesas atuais de cibersegurança têm se mostrado ineficazes na prevenção de ataques baseados em navegação, como os ataques de phishing. Malwares avançados, incluindo os exploits de navegador zero-day reportados pelo Google, sites de phishing copiados de forma surpreendentemente realista que surgem diariamente, downloads de arquivos e anexos de e-mail armados, frequentemente conseguem escapar das soluções de proteção de endpoint existentes e das camadas de segurança de rede. Uma vez que o código malicioso de um site é executado no navegador local de um dispositivo, a batalha está efetivamente perdida. Técnicas tradicionais de segurança na web e e-mail são incapazes de conter essa tendência. Vamos entender por que isso é verdade. A maioria dos sites maliciosos usa criptografia para ocultar ameaças. Por exemplo, 72% dos links de phishing levam os usuários a sites que utilizam criptografia para mascarar os malwares que eles contêm. 


A maioria das organizações não decripta o tráfego antes da inspeção devido ao impacto significativo no desempenho que isso causa, então elas estão "voando às cegas" em relação ao tráfego criptografado. Mesmo cientes do risco, muitas empresas percebem que sua tecnologia de escaneamento de ameaças, que funciona comparando as varreduras de tráfego com variantes de malwares conhecidos, não seria capaz de detectar as ameaças zero-day de qualquer maneira. Então, por que se preocupar?


Em vez disso, eles optam por limitar drasticamente o acesso à web ("Bloquear todos os sites não categorizados devido à limitação do histórico de reputação") ou simplesmente aceitar o fato de que serão atacados com sucesso e alocar recursos para tentar conter as violações após um incidente inicial.


É claro que ambas as abordagens são propostas fracassadas. Fale com qualquer CIO e você ouvirá como a restrição de acesso à internet ("bloquear excessivamente") em nome da segurança é uma fonte constante de tensão com as áreas de negócios da empresa. Por outro lado, abrir o acesso à internet, sob pressão das áreas de negócios, deixa a porta aberta para ransomware e outras ameaças sofisticadas que escapam das proteções legadas, comprometem os endpoints e se movem lateralmente pela rede.


Nesse cenário, os profissionais de segurança basicamente dependem dos próprios usuários finais para fazerem parte da estrutura de segurança, esperando que o treinamento e o bom senso os mantenham longe de problemas. Infelizmente, a história mostrou que os usuários finais frequentemente são o elo fraco. Hoje em dia, as estratégias de defesa de "não abrir emails suspeitos" e "não baixar documentos da web" realmente não funcionam, e parecem até que instigam uma parte dos usuários com a sensação do risco. 


Então, resumidamente, os riscos da navegação web dos usuários de sua empresa são:

 

  • Navegadores com configurações inseguras
  • Navegadores desatualizados
  • Exposição a websites maliciosos e aplicações
  • Usuários pouco treinados com hábitos inseguros de navegação
  • Pacotes de instalação de softwares por downloads trazem várias aplicações que aumentam os riscos 
  • Uso intenso de webmails que trazem mensagens com anexos e links 
  • Engenharia Social

 

Você pode depois consultar um pouco mais a respeito dos riscos do uso de navegadores mesmo com o uso de tecnologias de prevenção e detecção de ataques: 

 

  • Exploração de vulnerabilidades
  • Plug-ins maliciosos
  • DNS Poisoning
  • Sequestro de Sessão
  • Man-in-the-middle 
  • Exploração de Aplicações Web

 

Como tratar todos esses riscos, prevenindo qualquer tipo de ataques desta natureza e que atinjam os endpoints e seus ativos? 


Existe uma tecnologia que é um “game changer” eliminando ataques de phshing e outras riscos associados aos navegadores. É o Isolamento Remoto de Navegadores (RBI – Remote Browser Isolation)Ele oferece uma abordagem fundamentalmente diferente para garantir o uso seguro da web e do e-mail. RBI muda drasticamente o cenário no jogo contínuo de “gato e rato” cibernético, tirando o usuário da equação de segurança e permitindo o acesso à web para que os funcionários possam se manter produtivos e seguros. Baseado no conceito militar de "air-gapping" (isolamento) de sistemas sensíveis da internet, RBI pode ser facilmente implantado. Pense no Remote Browser Isolation como uma abordagem de segurança Zero Trust para a web. RBI é uma maneira de "levar o conceito de Zero Trust ("não confiar em nada, sempre verificar e aplicá-lo às interações do usuário fora de uma organização, garantindo que todas as coisas potencialmente ruins fiquem isoladas do lado de fora da sua rede. RBI move a atividade de navegação (por exemplo, a renderização de uma página da web) para longe do endpoint, isolando-a na nuvem. Essa abordagem isola os pontos finais da internet, garantindo que eles permaneçam completamente protegidos. A abordagem inovadora e sem agente permite que os usuários acessem a web normalmente usando o navegador nativo. No entanto, o aplicativo do navegador local, sem o conhecimento do usuário, se comunica com um navegador baseado na nuvem do RBI, que de fato renderiza (ou executa) o código da página da web. Cada sessão do navegador é executada em um contêiner de nuvem isolado e seguro que é destruído após a sessão de navegação. Apenas informações de renderização seguras são transmitidas para o dispositivo, não o código da web potencialmente perigoso. Os endpoints (e as redes e aplicativos aos quais estão conectados) são isolados de 100% do malware oculto em sites, incluindo as ameaças zero-day mais sofisticadas que visam vulnerabilidades do navegador da web. No entanto, os usuários podem interagir com os sites que usam, assim como fazem ao navegar diretamente pelo navegador local - apenas sem riscos.


As empresas podem optar por impedir que os usuários façam download de documentos da web e anexos de e-mail, optando, em vez disso, por permitir que sejam visualizados apenas em um ambiente isolado. Alternativamente, o RBI integrado ao Content Disarm and Reconstruction (CDR) pode escanear arquivos em busca de vírus e remover qualquer conteúdo ativo arriscado, entregando-os aos usuários com a funcionalidade de arquivo nativa desejada.


No front de e-mail, as empresas podem estabelecer políticas que efetivamente eliminam o risco de malware de phishing e roubo de credenciais. Os sites de phishing, por sua natureza, geralmente têm uma vida útil curta e são "novos" na internet, criados e desativados para evitar serem identificados como sites maliciosos. Como resultado, eles são classificados pelos mecanismos de URL como "não categorizados". O RBI renderiza todos os sites não categorizados lançados a partir de URLs incorporados em e-mails no modo "somente leitura", impedindo assim que os usuários sejam enganados a inserir suas credenciais para sites, aplicativos em nuvem, bancos de dados e assim por diante.


RBI verdadeiramente oferece uma abordagem Zero Trust ("não confiar em nada, sempre verificar") para o acesso à web. Ao mover a mecânica da navegação na web para fora do endpoint e para a nuvem de isolamento remoto, as organizações estão adotando a abordagem de que nenhum site é seguro o suficiente para trazer seu conteúdo diretamente para o navegador do dispositivo local. Essa abordagem elimina as explorações zero-day, inclusive as criptografadas, que visam vulnerabilidades do navegador local por meio de phishing, engenharia social, ataques direcionados, downloads maliciosos e outros ataques sofisticados. E, como o RBI protege as organizações contra usuários que clicam em links em e-mails de phishing (ou seja, o "fator humano" incontrolável na cibersegurança), ele resolve o problema de phishing que tem desafiado CISOs e CIOs por tantos anos.


As empresas podem usar o serviço em nuvem RBI com soluções existentes de NGFW (Firewall de Próxima Geração) e Gateway da Web para aplicar o isolamento a categorias específicas de sites (por exemplo, sites não categorizados, mídias sociais, webmail) ou para estabelecer políticas de isolar todo o tráfego da web de determinados usuários, como equipes de TI, executivos e outros que são alvos frequentes de hackers que desejam acessar os dados confidenciais e credenciais em seus dispositivos. E para empresas que precisam de um nível de segurança mais alto, toda a navegação na web, inclusive o tráfego para sites "confiáveis" na lista de permissões que potencialmente podem conter malware, pode ser isolada como opção pelo RBI.


A solução traz benefícios operacionais para os departamentos de TI e Segurança. Por exemplo, ao eliminar ameaças que visam as organizações por meio de vetores da web e e-mail, o RBI reduz o número de ameaças de rede às quais os analistas SOC e os caçadores de ameaças precisam responder, permitindo que sejam mais eficientes e eficazes. Além disso, pessoal de Operações de Rede e Help Desk não precisam mais perder tempo e esforço respondendo a tickets de problemas de usuários que solicitam alterações de política para permitir o acesso a sites dos quais foram bloqueados. Um benefício final é observado na área de Conformidade de Riscos e Privacidade. O RBI oferece uma solução para o desafio de gerenciamento de cookies e configurações de privacidade para usuários corporativos. Ao encerrar uma sessão do navegador, o conteúdo do contêiner baseado em nuvem isolado é excluído, garantindo que cookies indesejados, alterações nas configurações de privacidade e código de site nunca cheguem à infraestrutura corporativa. 


Finalizando, o treinamento dos usuários deve continuar aprimorado com comunicações e exemplos efetivos. Inclusive há empresas especializadas neste tipo de treinamento e deve fazer parte do contrato de trabalho de seus funcionários, imputando também responsabilidades aos usuários. O RBI pode mitigar falhas, más interpretações e até mesmo ações intencionais de usuários. O RBI mitiga as falhas que soluções tradicionais de prevenção e detecção de ameaças web. Então, dentro do seu plano de SI o RBI deveria ser parte ativa. Por que ainda não é? 


Quer saber mais sobre o RBI? contate a fiandeira tecnologia – fiandeira@fiandeira.com.br 


A criptografia é essencial para a proteção de dados

30 abr., 2024
Criptografia: Protegendo Seus Dados com Eficiência

Olhando para o Futuro da Cibersegurança com o Gartner

Por Luis Figueiredo 28 mar., 2024
Previsões e Tendências Fascinantes do Gartner para a Cibersegurança
Formas geométricas em cores neon representando dados não estruturados protegidos por uma caixa forte

Dados não estruturados: como gerenciar e blindar as informações mais valiosas de sua empresa

Por Luis Figueiredo 14 fev., 2024
Os dados não estruturados representam cerca de 80% do volume total de dados gerados globalmente e muitas vezes contêm informações sensíveis que precisam ser protegidas
Share by: