Mesmo os usuários podem ser um grande perigo. Por isso, o score de risco e os treinamentos podem ser determinantes na sua segurança.
Recentemente assistimos o evento de Security Leaders 2020 e chamou nossa atenção uma afirmação que um dos palestrantes fez. William Telles, comentou que embora a proteção dos endpoints siga sendo importante, temos que dar mais atenção que normalmente damos ao score de risco dos próprios usuários.
Assim que você proteger os endpoints e aplicar diversas ferramentas para proteger contra ataques externos, ainda fica uma vulnerabilidade importante, e uma da qual não é possível ter controle completo: os funcionários.
Ter conhecimento do score de risco dos usuários ajuda as empresas a tomarem conhecimento dos seus ativos digitais e riscos associados.
Uma vulnerabilidade que todas as empresas têm
Nem toda empresa possui todo tipo de vulnerabilidades. Aquelas que contam com soluções robustas de segurança possuem menores brechas que uma empresa com soluções mais simples. Porém, todas as empresas possuem sim uma vulnerabilidade em comum: os próprios usuários.
Segundo estatísticas da Verizon, 94% do malware ataca através de email, e quem tem acesso aos emails? Os colaboradores.
Por outro lado estão as possibilidades de acesso que muitos dos usuários têm e que, aliás, é lógico que tenham. Como parte do trabalho, os usuários precisam de permissões para acessar informações e dados sensíveis. Tomando isto em consideração existem dois métodos de vazamentos possíveis: ou que o próprio usuário comece a vazar dados ou que um criminoso descubra as credenciais de acesso de um colaborador e use esses dados para se infiltrar no sistema.
Tecnologias que ajudam a identificar o score de risco
Existem vários tipos de ferramentas e tecnologias que podem ajudar na identificação das vulnerabilidades que um usuário pode representar. Da mesma forma, existem outras ferramentas que ajudarão a diminuir o score de risco geral. Explicamos a continuação.
Treinamentos dinâmicos e efetivos
É clichê e repetitivo falar que a conscientização e treinamento dos usuários é o mais importante, mas é a realidade. A conscientização deveria começar a partir da admissão de um colaborador em uma empresa com ajuda de treinamentos periódicos que deveriam se estender ao longo da trajetória da pessoa dentro da empresa. Existem vários tipos de ferramentas de treinamento, mas as mais recomendadas são aquelas que contam com simulações inteligentes de phishing, a principal forma de ataque à empresas.
Existem várias plataformas para executar esse tipo de simulações, como Flipside, Hacker Rangers e PhishX, mas a que nós recomendamos é KnowBe4, uma plataforma criada na USA especializada na simulação de ataques através de email com múltiplas possibilidades de templates para criação de ataques realistas. A melhor parte é a possibilidade de extrair relatórios para entender que tipo de email representa um maior perigo. Além disso, será possível ver a evolução à medida que os funcionários são treinados para “ficarem mais espertos” na identificação das ameaças e subirem de nível.
Data Loss Prevention (DLP)
Mediante este tipo de ferramenta será possível controlar como os usuários compartilham informações e dados, a parte mais importante é que além de dar unicamente os acessos necessários dependendo da função de cada usuário, criam-se políticas para evitar que os dados sejam compartilhados pelos usuários de forma indevida.
O melhor recurso deste tipo de ferramenta é a análise comportamental, implementação de IDM (Identity Management). Trata-se de uma função que analisa periodicamente o comportamento do usuário ao acessar dados sensíveis para determinar seu score de risco. São analisados aspectos como forma de acesso, frequência por semana, em quais horários, etc. Assim, no momento de esse usuário apresentar um comportamento diferente, a ferramenta emite um alerta.
Este é um dos melhores recursos existentes em matéria de segurança da informação atualmente, pois permite prever uma situação indesejada antes que aconteça. Claro que não resolve todos os problemas, e por isso não se pode deixar de usar outras ferramentas e recursos de proteção, mas resolve a maior parte dos problemas, como afirmou William Telles, Chief Information Security Officer (CISO) da empresa Autoglass no recente evento Security Leaders 2020.
Este recurso funciona de ótima forma em ferramentas de Data Loss Prevention, mas ele não está limitado a esse tipo de ferramenta; ele também está presente em outras como Antimalware e Firewall, dependendo da tecnologia do fabricante.
Respondendo à pergunta “Quais são os melhores softwares de DLP?” explicamos que, como é de esperar, existem vários fabricantes, mas nós recomendamos a Forcepoint. Claro que também existem muitos aspectos importantes antes de determinar “o melhor software”, até porque a mesma plataforma não será a melhor para todas as empresas (dependendo do porte da empresa, Forcepoint talvez não seja a mais indicada), mas de forma geral podemos colocar essa como indicação do que é uma ferramenta de DLP eficiente.
Se você estiver na dúvida de qual plataforma de DLP se adapta ao seu negócio, fale conosco.
O teste de penetração ou intrusão (O pentest)
O pentest não está tão relacionado com o score de risco do usuário e sim com o score de risco da empresa em geral, mas cabe mencionar aqui como uma tecnologia importante, pois tomando em consideração que os usuários podem ser a maior vulnerabilidade de uma empresa, nunca é demais realizar este tipo de teste de intrusão para avaliar a pontuação de risco que a empresa tem de forma geral.
Além disso, embora o pentest não levante informações sobre os usuários individualmente, possui sim o teste do tipo caixa branca, na qual os pentesters assumem o papel de criminosos que já têm informações básicas da empresa, ou seja, de certa forma fazendo o papel de qualquer funcionário com credenciais de acesso e intenções maliciosas ou o papel de um criminoso que de alguma forma obteve todas as credenciais de um funcionário. Após a realização desse teste de caixa branca, será elaborado um relatório resumo para entender quais aspectos deverão ser melhorados na empresa de maneira interna.
A desvantagem deste tipo de teste é que a ferramenta tem um alto custo, mas se sua empresa tiver disponibilidade para fazer esse investimento, pode ter certeza que não terá perda nenhuma, pois o pentest realmente é a melhor solução para entender o que de fato há para fazer no que tange a otimização da cibersegurança corporativa.
Além disso, temos que ressaltar que fazer testes de intrusão faz parte das boas práticas da cibersegurança, algo que a LGPD elenca como necessário no artigo 49.
Uma ferramenta que nós recomendamos neste tipo de solução é Core Impact ou Cobal Strike da Core Security, dois excelentes softwares para fazer testes de intrusão, ambos da empresa Help Systems.
Outras formas de diminuir o score de risco dos usuários
- Criação de políticas de segurança da informação claras e objetivas;
- Treinamento consistentes e periódicos dos colaboradores;
- Gestão do controle de acesso à internet adequada.
Determinar uma pessoa responsável pelo controle dos acessos e cumprimento das políticas e normas ajudará muito a manter a ordem segundo os objetivos da equipe de TI, algo como um defensor da cultura de segurança cibernética.
A maior vulnerabilidade: Os usuários
Então, além de se proteger contra os ataques de vírus, DDOS, brute force e engenharia social, ainda fica outra vulnerabilidade que não pode ser evitada de forma completa e sim preparada para diminuir seu risco: a força humana. O que é que sua empresa está fazendo para treinar, conscientizar seus usuários e evitar que o score de risco deles seja o menor possível?
Se ainda não sabe, conte conosco! Estamos aqui para orientar de forma consultiva e propor soluções adaptadas a cada modelo de negócio, independente do tamanho de sua empresa ou da quantidade de usuários.