* Por Leonardo Cooper
Na luta contra o crime cibernético, as empresas devem esperar que as coisas continuem piorando antes de melhorar.
Com mais de 2.7 bilhões de dispositivos on-line em 2017, as empresas perceberam que a superfície de ataque – ou o número de vulnerabilidades exploráveis - expandiu-se significativamente. E com mais coisas a serem protegidas, o ano começou com 918 violações de dados relatadas durante os primeiros seis meses, um aumento de 164% em relação ao ano anterior. O ano terminou com vários ataques devastadores, incluindo a violação da Equifax e muitos ataques do malware WannaCry.
Infelizmente, a solução para este problema ainda não está à vista. Mais de 2.8 bilhões de dispositivos IoT estão entrando em operação neste ano de 2018, e as violações de dados individuais custam, em média, 1.3 milhões a empresas maiores e 117.000 a pequenas e médias empresas, de acordo com o Relatório do Kaspersky Lab.
Os dias em que um antivírus e um firewall eram suficientes para proteger uma empresa já se foram há muito tempo. As empresas precisam estar preparadas para as ameaças atuais. Então, vamos dar uma olhada em algumas maneiras pelas quais as empresas podem ter certeza de que estão protegidas atualmente:
Com mais portas para bloquear, certifique-se que você controla as chaves do reino
Uma superfície maior de ataque significa que as empresas devem demonstrar maior cuidado ao definir e gerenciar os privilégios de acesso dos usuários. Essa necessidade é exemplificada pelo fato de que, de acordo com um relatório da empresa de pesquisa Forrester, 80% das violações de dados envolvem hackers obtendo acesso a credenciais de usuários privilegiados.
Consequentemente, as empresas devem prestar atenção especial ao gerenciamento de identidades privilegiadas e acesso (PAM) – ou seja, monitorar os direitos de acesso para usuários privilegiados com acesso administrativo aos sistemas críticos. Com o gerenciamento cuidadoso dessas credenciais privilegiadas, as empresas podem eliminar uma das principais vias e vetores que os hackers usam para comprometer seus sistemas e roubar informações.
A empresa vigilante, implantará soluções de gerenciamento das senhas e dos acessos, além de aprovar políticas para garantir o uso correto dessas soluções. Um negócio cauteloso também terá como objetivo conceder o mínimo de acesso possível sem inviabilizar as operações do dia-a-dia.
Não conte com Inteligência Artificial ou Blockchain para salvá-lo – não ainda
No que diz respeito à segurança cibernética, há muita propaganda em torno das tecnologias de IA e Blockchain no momento – e por um bom motivo: no futuro, as duas serão armas eficazes na guerra contra o cibercrime.
No entanto, enquanto cerca de dois terços das empresas globais usarão Blockchain em alguns anos, e o número de empresas que usam IA crescerá de 38 para 62% este ano, a noção de que uma empresa pode confiar inteiramente nessas tecnologias para proteger seus dados, está equivocada.
Isso porque o principal responsável pela grande maioria das violações de dados é a falta de atenção aos princípios básicos de segurança – como treinar funcionários para reconhecer ameaças, monitorar o comportamento dos funcionários no acesso aos dados que podem ser usados para ganhos financeiros e revogar o acesso imediatamente quando os funcionários deixam a empresa. Cerca de 90% dos ataques, de fato, ocorrem por causa de um simples erro humano.
Em outras palavras, embora o cibercrime seja uma questão complexa, o maior passo que uma empresa pode dar na direção certa não precisa ser complicado. Inteligência Artificial e Blockchain podem algum dia fornecer balas de prata, mas por enquanto as empresas devem priorizar as medidas tradicionais de segurança e utilizar novas tecnologias para complementar essas medidas defensivas mais básicas.
Atualize seu software: hoje e todos os dias
Falando em negligenciar medidas simples de segurança, as consequências de ignorar as atualizações de software foram mais uma vez ressaltadas pelos ataques globais de ransomware global em 2017.
O ataque de ransomware “WannaCry” de Maio de 2017, que criptografou dados de cerca de 300.000 computadores em todo o mundo, explorou uma vulnerabilidade pela qual a Microsoft havia fornecido uma correção meses antes por meio de uma atualização de software – o problema foi que muitos usuários não atualizaram seus sistemas. Na esteira do ataque, meios de comunicação, empresas de tecnologia e empresas de segurança cibernética em todo o mundo insistiram para que as pessoas atualizassem seus sistemas para evitar tais catástrofes. A chamada, mais uma vez, não foi ouvida por muitos – e um segundo ataque, apelidado de “Petya” e explorando a mesma falha de segurança, atacou computadores cujos sistemas permaneciam desatualizados no mês seguinte.
Embora as consequências de não atualizar possam ser drásticas, o PC Trends Report Q1 da Avast de 2017 revelou que 52% dos aplicativos PC mais populares do mundo permaneciam desatualizados. No entanto, atualizar o software da sua empresa é a única maneira de corrigir os furos de segurança descobertos mais recentemente. Muitas vezes, não atualizar aplicativos simples como Flash e Java, é o que deixa as pessoas mais vulneráveis a ataques.
Para manter seus dados seguros, mantenha seus softwares atualizados.
Virando a maré
Embora muitas vezes se considere que este é um jogo invencível entre os mocinhos e os hackers – que ficam sempre a um passo à frente – pois exploram alguma vulnerabilidade recém descoberta de software/hardware, os chamados “ataques de dia zero” são relativamente raros.
Ao avaliar o estado da guerra contra o cibercrime, portanto, é fundamental lembrar que a maioria dos ataques são executados por criminosos que usam “a mesma velha caixa de truques” contra empresas que não atualizaram seus softwares e/ou estão vigilantes noções básicas de segurança.
Então não se desespere. Em vez disso, comece fazendo as coisas básicas de segurança, pode ser um longo caminho para proteger sua empresa e virar a maré na luta contra o cibercrime.
*Leonardo Cooper é o fundador da VaultOne, uma solução de segurança cibernética para todas as empresas.
