Todos somos (ou seremos) alvos de phishing

 

 

Nuno Cândido – O período pandémico revelou-se uma janela de oportunidade para os hackers aproveitarem as vulnerabilidades de algumas organizações que, não estavam preparadas, por exemplo, para a migração massiva dos seus colaboradores para um regime de trabalho remoto.

 

De um dia para o outro as organizações viram aumentar de forma exponencial o acesso externo às suas redes, multiplicando as vulnerabilidades e potenciando o risco de intrusão.

 

Para além disso, no início desse período assistiu-se a um aumento exponencial dos ataques de phishing, explorando a própria situação e contexto da pandemia. Emails falsos de informação sobre a situação e sobre o vírus, por exemplo, que exploraram o período de incerteza e os receios da população em relação ao COVID-19, foram técnicas tremendamente eficazes nesse período inicial, tendo como objetivo infetar os computadores dos utilizadores com ransomware, tendo levado a situações bastante graves onde grandes organizações viram os seus dados comprometidos.

 

 

N.C. – Em 2020, em Portugal, registou-se um aumento de incidentes de mais de 150% em 2020, face ao ano anterior.

 

Ataques machine-to-machine (M2M), ataques silenciosos, altamente personalizados, ataques de phishing, entre outros, que causaram danos financeiros significativos, mas também danos reputacionais, dos quais muitas organizações nunca recuperam. A Agência Europeia ENISA estima que foram pagos cerca de 10 mil milhões de euros em resgates de ataques Ramsonware, só no último ano. Também o mais o mais recente relatório da Watchguard aponta para 165 mil ataques por dia, o que representa 2 ataques por segundo, em termos globais.

 

Esse crescente número de ataques e a própria visibilidade pública que alguns casos assumiram, tem contribuído para que a cibersegurança esteja cada vez mais no centro das preocupações dos responsáveis das empresas e dos seus CIO’s, o que tem levado a um investimento crescente nestas áreas.

 

De acordo com o mais recente estudo da IDC – Security Market in Portugal, 2020 – estima-se que a despesa com segurança da informação ultrapassará os 197,3 milhões de euros em 2024, o que corresponde a um crescimento anual médio de 6,3% entre 2019 e 2024.

 

 

N.C. – Os fatores são múltiplos; há, obviamente, casos em que as organizações não estavam suficientemente preparadas ou, sequer, “despertas” para esta problemática. Ainda assim, os casos mais mediáticos que ocorreram em Portugal, nomeadamente, no início da Pandemia, verificaram-se em algumas das maiores organizações a operar no mercado, empresas com sistemas de segurança sofisticados e que já investiam significativamente em soluções de segurança.

 

Assim, é redutor pensar-se que estes ataques apenas afetam pequenas empresas, ou organizações que não estão preparadas. É muito importante reforçar a mensagem de que a necessidade de adotar soluções de cibersegurança é transversal a empresas de todas as dimensões, perfil e setor de atividade.

 

Os ataques são transversais a todos os perfis de empresas e o principal fator de sucesso tem a ver com a sua sofisticação crescente. Os atacantes são cada vez mais profissionais e utilizam tecnologia de ponta. São, muitas vezes, orquestrados por organizações criminosas muito evoluídas e já não são obra de um “curioso” fechado algures no seu quarto. Essa imagem do hacker já tem pouca aderência à realidade.

 

Por outro lado, os ataques de Phishing apostam num fator que será sempre impossível de mitigar a 100% – o fator humano.  O erro humano, por desconhecimento ou incúria de um colaborador que, ao tomar determinada ação, pode espoletar um ataque de dimensões críticas para a sua organização.

 

Assim sendo, diria que este aumento dos ataques que se tem verificado nos últimos meses, é sobretudo consequência de uma crescente sofisticação técnica e tecnológica, com recurso a machine learning e Inteligência artificial, ataques desencadeados por máquinas e com uma capacidade de processamento muito superior ao que ocorria no passado.

 

Este facto, aliado à impreparação de algumas organizações e à falta de formação e preparação dos seus recursos humanos, são o contexto perfeito, para que esses ataques tenham sucesso.

 

 

N.C. – A única garantia de recuperação de um ataque de phishing por ransomware é a reposição de backups. Por isso, é imperioso rever a política de backups, no sentido de assegurar que a retenção e os tempos de recuperação estão adequados às necessidades da organização e a execução periódica de testes de reposição deve ser a primeira prioridade.

 

Uma vez que a grande percentagem dos ataques tem como ponto de origem o email e são provocados por erro humano e pela interação do utilizador com esses emails maliciosos, o treino e a formação aos utilizadores, que os sensibilize e garanta que estão despertos para o fenómeno e ajude na identificação de ataques de phishing deve ser também considerada uma prioridade para as organizações.

 

Por último, é altamente aconselhável rever e modernizar os sistemas de proteção de email, fazendo uso das novas tecnologias disponíveis de deteção e resposta automática, baseadas em inteligência artificial, de forma a minimizar os emails maliciosos que chegam à caixa de correio dos utilizadores e a mitigar os riscos.

 

 

N.C. – O ransomware tem vindo a tornar-se cada vez mais sofisticado e uma ameaça cada vez maior para as organizações. Inicialmente o ransomware era distribuído por emails maliciosos, preparados para levar o utilizador a executar ou abrir um ficheiro, comprometendo o seu PC e ficando com eventuais discos de rede encriptados.

 

Hoje em dia, esta técnica está cada vez mais evoluída e incorpora técnicas avançadas de evasão à deteção.

 

Para além disso, explora inúmeras vulnerabilidades que permitem que se replique por toda a organização. Assim, para além do risco individual para o utilizador, um colaborador de uma empresa, por exemplo, o ransomware procura, nos dias de hoje, comprometer toda a organização. É cada vez mais comum assistirmos a casos de organizações que ficam com o seu parque informático comprometido na sua totalidade, e em poucos minutos.

 

O custo, evidentemente, depende muito da abrangência do ataque e da dependência que a organização tem dos seus sistemas de gestão de informação. Geralmente a única forma de recuperar de um ataque de ransomware é a reposição de backups, sendo que o “custo” está também muito ligado à qualidade (e existência) dos mesmos.

 

Por outro lado, a operação de reposição e restauro dos sistemas de informação é sempre uma atividade complexa e morosa, pelo que não é raro um tempo de recuperação de vários dias, o que pode significar que uma organização fique totalmente inativa durante esse período, com perdas muito significativas por cada dia sem operação e, por vezes, com repercussões em toda a cadeia de valor.

 

Se pensarmos, por exemplo, na Indústria e num ataque que consiga, por exemplo, paralisar uma fábrica e toda a capacidade produtiva dessa organização, durante vários dias, é fácil perceber o impacto direto e as perdas geradas por essa inatividade, mas também o impacto indireto que essa paragem irá provocar, em toda a cadeia, desde fornecedores, até distribuidores, retalhistas e, no fim último consumidores.

 

Para além das perdas e custo financeiro, há ainda outro tipo de danos mais difíceis de quantificar, como são os danos reputacionais que uma situação de ataque pode provocar. Se pensarmos, na violação de dados ou de informação sensível de terceiros (clientes, por exemplo), essa violação pode ter consequências irreparáveis na quebra de confiança entre o cliente (que confiou os seus dados) e a empresa.

 

Assim sendo, a todo o investimento tecnológico que as organizações têm que fazer, para estarem devidamente protegidas e melhor preparadas para responder a um ataque, tem, igualmente que corresponder um esforço de formação contínua e testes à sua estrutura humana, o tal ponto vulnerável que referi anteriormente.

 

 

N.C. – Para além de iniciativas de sensibilização recorrentes, as organizações podem e devem realizar simulações de phishing, junto dos seus colaboradores. Este tipo de iniciativas e testes permitem, não só avaliar o nível de preparação e atenção dos colaboradores a possíveis ataques, mas também, permite que todos se preparem da melhor forma possível para lidar com ameaças reais.

 

É fundamental também o foco na arquitetura de segurança através de uma abordagem holística, que inclua capacidades tecnológicas “inteligentes” e que contemple standards, guidelines, processos e práticas, que garantam mecanismos de salvaguarda das políticas de segurança e de privacidade da informação e dos acessos.

 

É necessário ainda mudar o paradigma de segurança – procurar comportamento anómalo, ao invés do foco na procura de comportamento malicioso. Os algoritmos de inteligência artificial são um dos pilares fundamentais para a automatização da cibersegurança, e uma resposta aos limites da capacidade humana. A inteligência artificial é um forte aliado ao serviço da cibersegurança e um investimento essencial nos dias de hoje, não só para a deteção das ameaças, mas também na resolução e anulação das mesmas em tempo real.

 

Todos somos (ou seremos) alvos de phishing. É, por isso, importante que todas as organizações, independentemente da sua dimensão ou sector de atividade, estejam cada vez mais atentas não só ao nível coletivo, mas também individual e, sobretudo, prontas a dar respostas eficazes.

 

 

N.C. – Na Noesis temos vindo a desenvolver projetos para as principais organizações que operam no nosso mercado, utilizando a tecnologia Darktrace, líder mundial em soluções de cibersegurança com recurso à inteligência artificial, da qual somos um dos principais parceiros em Portugal.

 

Estas soluções revelam uma eficácia muito superior, quando comparadas às proteções tradicionais, na medida em que, utilizam todo o potencial da inteligência artificial e do machine learning para detetar alterações de padrão comportamental, por exemplo.

 

A principal mensagem que procuramos transmitir junto dos nossos clientes, é que é fundamental que as organizações se voltem a focar na arquitetura de segurança, e esse é, porventura, o principal desafio que atualmente se coloca às empresas. 2021 é um ano em que as organizações devem reavaliar o seu ecossistema de IT e procurarem capacitar-se de forma estruturada com tecnologias e serviços de ponta que lhes permitam salvaguardar-se contra estas ameaças.

 

A utilização da inteligência artificial em soluções de cibersegurança, por exemplo, é uma boa resposta, porque permite às organizações protegerem-se e prevenirem possíveis ataques de uma forma muito mais eficiente, uma vez que tem a capacidade de analisar os dados e visualizar a rede da organização, traçando modelos de segurança, em tempo real, para além de se basearem também em modelos preditivos, de monitorização e análise, com recurso a Machine Learning e Behaviour Analysis.

 

Este tipo de assistência, baseada em modelos de AI e ML será o futuro das organizações que se quiserem manter na vanguarda da tecnologia com segurança, e as previsões para a próxima década apontam para a consolidação desta visão. De acordo com um estudo da Trend Micro, os algoritmos de inteligência artificial vão ser um dos pilares fundamentais para a automatização da cibersegurança.

 

Assim, a nossa aposta passa por disponibilizar soluções avançadas de segurança, monitorização avançada, observabilidade e automação, que se revelam mais eficientes, não só ao nível da deteção das ameaças, mas também na resolução e anulação das mesmas.