Publicado em: 12 de agosto de 2024
Colaboradores: Gregg Lindemulder, Matt Kosinski
A cibersegurança refere-se a quaisquer tecnologias, práticas e políticas que atuem na prevenção de ataques cibernéticos ou na mitigação do seu impacto. A cibersegurança tem como objetivo proteger sistemas de computador, aplicações, dispositivos, dados, ativos financeiros e pessoas contra ransomwares e outros malwares, golpes de phishing , roubo de dados e outras ameaças cibernéticas.
Em nível empresarial, a cibersegurança é um componente essencial da estratégia geral de gerenciamento de riscos de uma organização. De acordo com a Cybersecurity Ventures, os gastos globais em produtos e serviços de cibersegurança excederão um total de US$ 1,75 trilhão durante os anos de 2021 a 2025.1
O crescimento da mão de obra em cibersegurança também é significativo. O Bureau of Labor Statistics dos EUA projeta que “a demanda por analistas de segurança da informação deve crescer 32%, de 2022 a 2032, superando a média de crescimento para todas as ocupações”.2
A cibersegurança é importante porque os ataques cibernéticos e o crime cibernético têm o poder de interromper, prejudicar ou destruir empresas, comunidades e vidas. Ataques cibernéticos bem-sucedidos levam ao roubo de identidade, extorsão pessoal e corporativa, perdas de informações confidenciais e dados críticos para os negócios, interrupções temporárias nos negócios, perdas de negócios e clientes e, em alguns casos, fechamento de empresas.
Os ataques cibernéticos têm um impacto enorme e crescente nas empresas e na economia. Segundo estimativas, o crime cibernético custará à economia mundial US$ 10,5 trilhões por ano até 2025.3 O custo dos ataques cibernéticos continua aumentando à medida que os cibercriminosos se tornam mais avançados.
De acordo com o mais recente relatório do custo das violações de dados da IBM :
Além do grande volume de ataques cibernéticos, um dos maiores desafios para os profissionais de cibersegurança é a constante evolução do cenário de tecnologia da informação (TI) e a maneira como as ameaças evoluem com ele. Muitas tecnologias emergentes que oferecem novas e grandes vantagens para empresas e indivíduos também apresentam novas oportunidades para que agentes de ameaças e cibercriminosos criem ataques cada vez mais sofisticados. Por exemplo:
À medida que a superfície de ataque mundial se expande, a força de trabalho de cibersegurança está lutando para acompanhar esse ritmo. Um estudo do Fórum Econômico Mundial constatou que a lacuna global de profissionais de cibersegurança — a lacuna entre os profissionais e as vagas que precisam ser preenchidas — pode atingir 85 milhões até 2030.4
Preencher essa lacuna de habilidades pode ter um impacto. De acordo com o Cost of a Data Breach 2024 Report, as organizações que enfrentam uma escassez significativa de habilidades em segurança tiveram um custo médio por violação de US$ 5,74 milhões, em comparação com US$ 3,98 milhões para aquelas com escassez de habilidades em níveis mais baixos.
Equipes de segurança com recursos limitados recorrerão cada vez mais a tecnologias de segurança que apresentam análises de dados avançadas, inteligência artificial (IA) e automação para fortalecer suas defesas cibernéticas e minimizar o impacto de ataques bem-sucedidos.
Estratégias de cibersegurança abrangentes protegem todas as camadas da infraestrutura de TI de uma organização contra ameaças cibernéticas e crimes cibernéticos. Alguns dos domínios de cibersegurança mais importantes são:
Segurança de IA refere-se a medidas e tecnologias destinadas a prevenir ou mitigar ameaças cibernéticas e ataques cibernéticos que tenham como alvo aplicações ou sistemas de IA, ou que usem a IA de forma maliciosa.
A IA generativa oferece aos agentes de ameaças novos vetores de ataque a serem explorados. Os hackers podem usar prompts maliciosos para manipular aplicativos de IA, envenenar fontes de dados para distorcer as saídas da IA e até mesmo enganar as ferramentas de IA para compartilhar informações confidenciais. Eles também podem usar (e já usaram) IA generativa para criar códigos maliciosos e e-mails de phishing.
A segurança de IA usa frameworks especializados em gerenciamento de risco, e cada vez mais, ferramentas de segurança de cibersegurança habilitadas por IA, para proteger a superfície de ataque da IA. De acordo com o Cost of a Data Breach 2024 Report, organizações que implementaram ferramentas de segurança habilitadas por IA e automação extensiva para prevenção de ameaças cibernéticas, tiveram um custo médio por violação de US$ 2,2 milhões menor em comparação com organizações sem a IA implementada.
A segurança de infraestrutura crítica protege os sistemas de computadores, aplicativos, redes, dados e ativos digitais dos quais uma sociedade depende para a segurança nacional, saúde econômica e segurança pública.
O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) oferece um framework de cibersegurança para ajudar os provedores de TI e os stakeholders na proteção da infraestrutura crítica.5 A Agência de Segurança Cibernética e de Infraestrutura (CISA) do departamento de segurança interna dos EUA também fornece orientações.6
A segurança de rede objetiva impedir o acesso não autorizado a redes e a recursos de rede. Também ajuda a garantir que os usuários autorizados tenham acesso seguro e confiável aos recursos e ativos necessários para a realização do seu trabalho.
A segurança de aplicações ajuda a impedir o acesso e o uso não autorizados de aplicativos e dados relacionados. Também ajuda a identificar e atenuar falhas ou vulnerabilidades no design da aplicação. Métodos modernos de desenvolvimento de aplicações, como DevOps e DevSecOps, incorporam segurança e testes de segurança no processo de desenvolvimento.
A segurança na nuvem protege os serviços e ativos baseados na nuvem de uma organização, incluindo aplicações, dados, servidores virtuais e outras infraestruturas.
De modo geral, a segurança na nuvem opera no modelo de responsabilidade compartilhada. O provedor de nuvem é responsável por proteger os serviços prestados e a infraestrutura usada para prestá-los. O cliente é responsável por proteger seus dados, códigos e outros ativos que armazena ou executa na nuvem.
A segurança da informação (InfoSec) protege as informações importantes de uma organização ‑ arquivos e dados digitais, documentos em papel, mídias físicas ‑ contra acesso, uso ou alteração não autorizados.
A segurança de dados, a proteção das informações digitais, é um subconjunto da segurança da informação e é o foco da maioria das medidas de InfoSec relacionadas à cibersegurança.
A segurança móvel abrange ferramentas e práticas de cibersegurança específicas para smartphones e outros dispositivos móveis, incluindo gerenciamento de aplicativos móveis (MAM) e gerenciamento de mobilidade empresarial (EMM).
Recentemente, as organizações estão adotando soluções de unified endpoint management (UEM) que permitem proteger, configurar e gerenciar todos os dispositivos de endpoints, incluindo dispositivos móveis, a partir de um único console.
Alguns dos tipos mais comuns de ameaças cibernéticas incluem
Malware ou "software malicioso", é qualquer código de software ou programa de computador escrito intencionalmente para prejudicar um sistema de computador ou seus usuários. Quase todos os ataques cibernéticos modernos envolvem algum tipo de malware.
Hackers e cibercriminosos criam e usam malware para receber acesso não autorizado a sistemas de computador e dados confidenciais, sequestrar sistemas de computador e operá-los remotamente, interromper ou danificar sistemas de computador ou manter dados ou sistemas como reféns em troca de grandes quantias de dinheiro (consulte "Ransomware").
Ransomware é um tipo de malware que criptografa os dados ou o dispositivo da vítima e ameaça mantê-los criptografados, ou fazer algo pior, a não ser que a vítima pague um resgate ao invasor.
Os primeiros ataques de ransomware exigiam um resgate em troca da chave de criptografia necessária para liberar os dados da vítima. No início de 2019, quase todos os ataques de ransomware foram ataques de extorsão dupla, que também ameaçavam compartilhar publicamente os dados das vítimas. Alguns ataques de extorsão tripla acrescentaram a ameaça de um ataque distributed denial-of-service (DDoS).
Recentemente, os ataques de ransomware estão em declínio. De acordo com o IBM X-Force Threat Intelligence Index 2024, os ataques de ransomware representaram 20% de todos os ataques em 2023, uma redução de 11,5% em relação a 2022. A queda é provavelmente resultado de uma melhor prevenção contra ransomwares, uma intervenção mais eficaz das autoridades policiais e práticas de backup e proteção de dados que permitem que as empresas recuperem os dados sem pagar resgate.
Enquanto isso, os invasores de ransomware redirecionaram seus recursos para iniciar outros tipos de ameaças cibernéticas, incluindo malware infostealer, que permite que os invasores roubem dados e os mantenham reféns sem bloquear os sistemas da vítima, e ataques de destruição de dados, que destroem ou ameaçam destruir dados para fins específicos.
Ataques de phishing são mensagens de email, texto ou voz que enganam os usuários a baixar malware, compartilhar informações sensíveis ou enviar fundos para as pessoas erradas.
A maioria dos usuários está familiarizada com golpes de phishing em massa, mensagens fraudulentas enviadas em massa que parecem ser de uma marca grande e confiável, pedindo aos destinatários para redefinir suas senhas ou reinserir informações de cartão de crédito. Golpes de phishing mais sofisticados, como o spear phishing e o business email compromise (BEC), visam pessoas ou grupos específicos para roubar dados especialmente valiosos ou grandes quantias de dinheiro.
Phishing é apenas um tipo de engenharia social, uma classe de táticas de "hacking humano" e ataques interativos que usam manipulação psicológica para pressionar as pessoas a adotarem ações imprudentes.
O X-Force Threat Intelligence Index constatou que os ataques baseados em identidade, que sequestram contas de usuários legítimos e abusam de seus privilégios, representam 30% dos ataques. Isso torna os ataques baseados em identidade o ponto de entrada mais comum nas redes corporativas.
Os hackers têm muitas técnicas para roubar credenciais e assumir o controle de contas. Por exemplo, os ataques Kerberoasting manipulam o protocolo de autenticação Kerberos, comumente usado no Microsoft Active Directory, para apoderar-se de contas de serviço privilegiadas. Em 2023, a equipe do IBM X-Force registrou um aumento de 100% nos incidentes de Kerberoasting.
De forma similar, a equipe do X-Force notou um aumento de 266% no uso de malware infostealer, que registra secretamente as credenciais do usuário e outros dados confidenciais.
Ameaças internas são ameaças que se originam de usuários autorizados (empregados, contratados, parceiros de negócios) que de forma intencional ou acidental usam mal seu acesso legítimo, ou têm suas contas sequestradas por cibercriminosos.
As ameaças internas podem ser mais difíceis de detectar do que as ameaças externas, pois elas têm as características da atividade autorizada e são invisíveis para softwares antivírus, firewalls e outras soluções de segurança que bloqueiam ataques externos.
Assim como os profissionais de cibersegurança estão usando IA para fortalecer suas defesas, os cibercriminosos estão usando IA para realizar ataques avançados.
Em fraudes de IA generativa, os golpistas usam a IA generativa para criar e-mails, aplicações e outros documentos comerciais falsos para induzir as pessoas a compartilharem dados confidenciais ou enviarem dinheiro.
O X-Force Threat Intelligence Index informa que os golpistas podem usar ferramentas de IA generativa de código aberto para criar e-mails de phishing convincentes em apenas cinco minutos. Como comparação, os golpistas levariam 16 horas para enviar à mesma mensagem manualmente.
Os hackers também estão usando as ferramentas de IA das organizações como vetores de ataques. Por exemplo, em ataques de injeção de prompt, os agentes de ameaças usam inputs maliciosos para manipular sistemas de IA generativa e vazar dados sensíveis, espalhar desinformação ou fazer coisas piores.
O cryptojacking acontece quando hackers conseguem acesso a um dispositivo de endpoint e usam secretamente seus recursos de computação para minerar criptomoedas como bitcoin, ether ou monero.
Analistas de segurança identificaram o cryptojacking como uma ameaça cibernética por volta de 2011, logo após a introdução da criptomoeda. De acordo com o IBM X-Force Threat Intelligence Index, o cryptojacking está agora entre as três principais áreas de operações para os cibercriminosos.
Um ataque de DDoS tenta derrubar um servidor, site ou rede sobrecarregando-o com tráfego, geralmente de uma botnet, uma rede de sistemas distribuídos que um cibercriminoso sequestra usando malware e operações controladas remotamente.
O volume global de ataques DDoS aumentou durante a pandemia de COVID-19. Cada vez mais, os invasores estão combinando ataques de DDoS com ataques de ransomware, ou simplesmente ameaçando realizar ataques de DDoS, a não ser que o alvo pague um resgate.
Uma estratégia de segurança cibernética forte tem camadas de proteção para se defender contra crimes cibernéticos, incluindo ataques cibernéticos que tentam acessar, alterar ou destruir dados; extorquir dinheiro dos usuários ou da organização; ou visam perturbar as operações comerciais normais. As contramedidas devem abordar:
Práticas para proteger os sistemas de computadores, redes e outros ativos dos quais a sociedade depende para a segurança nacional, a saúde econômica e/ou a segurança pública. O National Institute of Standards and Technology (NIST) criou uma estrutura de segurança cibernética para ajudar as organizações nesta área, enquanto o Departamento de Segurança Nacional dos Estados Unidos (DHS) fornece orientação adicional.
Medidas de segurança para proteger uma rede de computadores contra intrusos, incluindo conexões com e sem fio (Wi-Fi).
Processos que ajudam a proteger as aplicações que operam no local e na nuvem. A segurança deve ser incorporada às aplicações na fase de projeto, com considerações sobre como os dados são tratados, autenticação do usuário, etc.
Especificamente, a verdadeira computação confidencial que criptografa os dados na nuvem em repouso (em armazenamento), em movimento (enquanto se desloca para, de e dentro da nuvem) e em uso (durante o processamento) para apoiar a privacidade do cliente, as exigências comerciais e os padrões de conformidade regulamentar.
Medidas de proteção de dados, tais como o Regulamento Geral de Proteção de Dados ou GDPR, que protegem seus dados mais sensíveis contra acesso não autorizado, exposição ou roubo.
Desenvolver a conscientização da segurança em toda a organização para fortalecer a segurança dos endpoints. Por exemplo, os usuários podem ser treinados para apagar anexos suspeitos de e-mail, evitar o uso de dispositivos USB desconhecidos, etc.
Ferramentas e procedimentos para responder a eventos não planejados, tais como desastres naturais, quedas de energia elétrica ou incidentes de segurança cibernética, com interrupção mínima das operações-chave.
O IBM FlashSystem® proporciona uma resiliência de dados sólida com numerosas proteções. Isto inclui criptografia e cópias de dados imutáveis e isoladas. Estas permanecem no mesmo pool para que possam ser rapidamente restauradas para apoiar a recuperação, minimizando o impacto de um ataque cibernético.
O IBM Security® MaaS360 with Watson permite gerenciar e assegurar sua força de trabalho móvel com segurança de aplicativo, segurança de aplicativo de container e correio móvel seguro.
O volume de incidentes de segurança cibernética está aumentando em todo o mundo, mas os conceitos equivocados ainda persistem, incluindo a noção de que:
Na realidade, as violações cibernéticas de segurança são geralmente perpetradas por usuários internos maliciosos, trabalhando por conta própria ou em conjunto com hackers externos. Esses usuários internos podem fazer parte de grupos bem organizados, apoiados por países.
Na verdade, a superfície de risco ainda está se expandindo, com milhares de novas vulnerabilidades sendo relatadas em aplicações e dispositivos antigos e novos. E as oportunidades de erro humano - especificamente por funcionários negligentes ou contratados que involuntariamente causam uma violação de dados - continuam aumentando.
Os criminosos cibernéticos estão sempre encontrando novos vetores de ataque - incluindo sistemas Linux, tecnologia operacional (OT), dispositivos de Internet das Coisas (IoT) e ambientes de nuvem.
Todos os setores têm sua parcela de riscos de segurança cibernética, com adversários cibernéticos explorando as necessidades das redes de comunicação dentro de quase todas as organizações governamentais e do setor privado.
Por exemplo, os ataques de ransomware (ver abaixo) estão visando mais setores do que nunca, incluindo governos locais e organizações sem fins lucrativos, e ameaças às cadeias de suprimentos, sites ".gov" e a infraestrutura essencial também aumentaram.
Apesar de um volume cada vez maior de incidentes de cibersegurança em todo o mundo e dos insights obtidos ao resolver esses incidentes, alguns equívocos ainda persistem. Alguns dos mitos mais perigosos incluem:
Senhas fortes fazem a diferença, por exemplo, uma senha de 12 caracteres leva 62 trilhões de vezes mais tempo para ser quebrada do que uma senha de 6 caracteres. Mas as senhas são relativamente fáceis de adquirir de outras maneiras, como por meio de engenharia social, malware de keylogging, comprando-as na dark web ou corrompendo agentes internos insatisfeitos para roubá-las.
Na verdade, o cenário de ameaças cibernéticas está em constante mudança. Milhares de novas vulnerabilidades são relatadas em aplicações e dispositivos antigos e novos todos os anos. As oportunidades de erro humano continuam aumentando, especificamente por parte de funcionários ou prestadores de serviço negligentes que causam de forma involuntária violações de dados.
Os cibercriminosos encontram novos vetores de ataque o tempo todo. O surgimento de tecnologias de IA, tecnologia operacional (OT), dispositivos de Internet das coisas (IoT) e ambientes de nuvem oferecem aos hackers novas oportunidades de causar problemas.
Cada segmento tem sua participação nos riscos de cibersegurança. Por exemplo, os ataques de ransomware estão visando mais setores do que nunca, incluindo governos locais, organizações sem fins lucrativos e prestadores de serviços de saúde. Os ataques às cadeias de suprimentos, sites ".gov" e infraestrutura crítica também aumentaram.
Sim, eles atacam. O Hiscox Cyber Readiness Report descobriu que quase metade (41%) das pequenas empresas dos EUA sofreram um ataque cibernético no ano passado.7
Embora a estratégia de cibersegurança de cada organização seja diferente, muitas utilizam essas ferramentas e táticas para reduzir vulnerabilidades, evitar e interceptar ataques em andamento:
O treinamento de conscientização em segurança ajuda os usuários a entender como ações aparentemente inofensivas – como usar a mesma senha simples para vários logins ou fazer muitos compartilhamentos nas redes sociais – aumentam o risco de ataque contra eles mesmos ou contra a organização.
Combinado com políticas de segurança de dados bem pensadas, o treinamento de conscientização em segurança pode ajudar os funcionários na proteção de dados confidenciais, tanto pessoais quanto organizacionais. Também pode ajudá-los a reconhecer e evitar ataques de phishing e malware.
Ferramentas de segurança de dados, como soluções de criptografia e data loss prevention (DLP), podem ajudar a interromper ameaças à segurança em andamento ou mitigar seus efeitos. Por exemplo, as ferramentas de DLP podem detectar e bloquear tentativas de roubo de dados, enquanto a criptografia pode fazer com que qualquer dado roubado pelos hackers seja inútil.
O gerenciamento de acesso e identidade (IAM) refere-se às ferramentas e estratégias que controlam como os usuários acessam recursos e o que eles podem fazer com esses recursos.
As tecnologias IAM podem ajudar na proteção contra roubo de contas. Por exemplo, a autenticação multifator exige que os usuários forneçam várias credenciais para fazer login, o que significa que os agentes de ameaças precisam de mais do que apenas uma senha para invadir uma conta.
Da mesma forma, sistemas de autenticação adaptativa detectam quando os usuários estão se comportando de maneira arriscada e apresentam desafios de autenticação adicionais antes de permitir que prossigam. A autenticação adaptativa pode ajudar a limitar o movimento lateral dos hackers que entram no sistema.
Uma arquitetura zero trust é uma maneira de impor controles de acesso rigorosos, verificando todas as solicitações de conexão entre usuários e dispositivos, aplicações e dados.
O gerenciamento da superfície de ataque (ASM) é a descoberta, análise, remediação e monitoramento contínuos das vulnerabilidades de cibersegurança e dos possíveis vetores de ataque que compõem a superfície de ataque de uma organização.
Ao contrário de outras disciplinas de defesa cibernética, o ASM é conduzido inteiramente da perspectiva do hacker, não da perspectiva do defensor. Ele identifica alvos e avalia os riscos com base nas oportunidades apresentadas a um invasor mal-intencionado.
Análises de dados e tecnologias orientadas por IA podem ajudar a identificar e a responder ataques em andamento. Essas tecnologias podem incluir gerenciamento de informações e eventos de segurança (SIEM), orquestração de segurança, automação e resposta (SOAR) e detecção e resposta de endpoint (EDR). Normalmente, as organizações usam essas tecnologias como parte de um plano formal de resposta a incidentes.
Os recursos de recuperação de desastres podem desempenhar um papel fundamental na manutenção da continuidade de negócios e na remediação de ameaças no caso de um ataque cibernético. Por exemplo, a capacidade de mudar para um backup hospedado em um local remoto pode ajudar uma empresa a retomar as operações após um ataque de ransomware (às vezes sem pagar um resgate)
As melhores práticas e tecnologias a seguir podem ajudar sua organização a implementar uma forte segurança cibernética que reduz sua vulnerabilidade a ataques cibernéticos e protege seus sistemas de informação essenciais, sem se intrometer na experiência do usuário ou do cliente:
Agrega e analisa dados de eventos de segurança para detectar automaticamente atividades suspeitas do usuário e acionar uma resposta preventiva ou corretiva.
Hoje, as soluções de SIEM incluem métodos avançados de detecção, como análise do comportamento do usuário e inteligência artificial (IA). O SIEM pode priorizar automaticamente a resposta a ameaças cibernéticas, de acordo com os objetivos de gerenciamento de risco de sua organização.
Muitas organizações estão integrando suas ferramentas de SIEM com plataformas de orquestração, automação e resposta de segurança (SOAR) que automatizam e aceleram ainda mais uma resposta das organizações a incidentes de segurança cibernética, e resolvem muitos incidentes sem intervenção humana.
Define os papéis e privilégios de acesso para cada usuário, bem como as condições sob as quais eles são concedidos ou negados seus privilégios.
As metodologias de IAM incluem login único, que permite ao usuário efetuar login em rede uma vez, sem reinserir credenciais durante a mesma sessão; autenticação multifatorial, que requer duas ou mais credenciais de acesso; contas de usuários privilegiados, que concedem privilégios administrativos somente a determinados usuários; e gerenciamento do ciclo de vida do usuário, que gerencia a identidade e os privilégios de acesso de cada usuário desde o registro inicial até a aposentadoria.
As ferramentas de IAM também podem dar a seus profissionais de segurança cibernética uma visibilidade mais profunda sobre atividades suspeitas em dispositivos de usuários finais, incluindo endpoints que eles não podem acessar fisicamente. Isto ajuda a acelerar a investigação e os tempos de resposta para isolar e conter os danos de uma violação.
Protege informações sensíveis em vários ambientes, incluindo ambientes de multinuvem híbrida.
As melhores plataformas de segurança de dados proporcionam visibilidade automatizada e em tempo real das vulnerabilidades dos dados, bem como monitoramento contínuo que os alerta sobre as vulnerabilidades e riscos dos dados antes que se tornem violações desses mesmos dados; elas também devem simplificar a conformidade com as regulamentações governamentais e industriais de privacidade de dados. Backups e criptografia também são vitais para manter os dados seguros.
Transforme sua empresa e gerencie riscos com consultoria em cibersegurança, nuvem e serviços de segurança gerenciados.
Proteja dados em nuvens híbridas, simplifique a conformidade regulatória, aplique políticas de segurança e controles de acesso em tempo real.
Melhore a velocidade, a precisão e a produtividade das equipes de segurança com soluções impulsionadas por IA.
Seu parceiro contra ameaças cibernéticas, o novo IBM Consulting Cybersecurity Assistant impulsionado por IA, é projetado para acelerar e melhorar a identificação, a investigação e a resposta a ameaças de segurança críticas.
Os serviços de cibersegurança da IBM oferecem consultoria, integração e serviços de segurança gerenciados, além de recursos ofensivos e defensivos. Combinamos uma equipe global de especialistas com tecnologia proprietária e de parceiros para cocriar programas de segurança personalizados que gerenciam riscos.
