Trace Id is missing

CISO Insider: Edição 1

Um homem olhando para um tablet em um armazém.

Navegue pelo cenário de ameaças atual com análises e recomendações exclusivas de líderes em segurança

Sou Rob Lefferts e lidero a equipe de Engenharia de Segurança do Microsoft 365. Minha equipe, e as equipes de pesquisa de segurança da Microsoft com as quais trabalhamos, estão incansavelmente focadas em descobrir e combater as últimas tendências de ameaças que nossa empresa, nossos clientes e toda a comunidade global estão enfrentando.

Até agora, só compartilhávamos nossos resumos sobre ameaças internamente, mas decidimos começar a divulgá-los publicamente na forma do CISO Insider. Nosso objetivo é capacitar as organizações em todo o mundo com os insights e as orientações de segurança mais atualizadas para proteger a si mesmas e a seus clientes de forma mais eficaz contra o crime cibernético.

A edição 1 começa com três tópicos que são prioridade para muitos de nós:

  • Tendências de ataques: À medida que os ataques mudam, os fundamentos ainda oferecem uma proteção valiosa
  • O risco de fazer negócios: Gerenciamento de ameaças à cadeia de fornecedores
  • Novas abordagens para ajudar a resolver a escassez de talentos em segurança

A COVID-19 exigiu que as organizações aumentassem a confiança na flexibilidade do local de trabalho e acelerassem a transformação digital, e essas mudanças naturalmente também exigiram algumas mudanças nas táticas de segurança. O perímetro se expandiu e está cada vez mais híbrido, abrangendo várias nuvens e plataformas. Embora as novas tecnologias tenham sido uma bênção para muitas organizações, possibilitando a produtividade e o crescimento mesmo em tempos difíceis, as mudanças também apresentaram uma oportunidade para os criminosos cibernéticos, que trabalham para explorar as vulnerabilidades encontradas em ambientes digitais cada vez mais complexos.

O aumento nos ataques de phishing relacionados ao trabalho remoto é uma prioridade para os profissionais de segurança com quem converso, e vemos isso refletido também em nossa pesquisa. Em uma pesquisa da Microsoft com os líderes de segurança realizado em 2020, 55% disseram-nos que as suas organizações tinham detetado um aumento nos ataques de phishing desde o início da pandemia e 88% disseram que os ataques de phishing tinham afetado as suas organizações. Também ouço regularmente sobre o aumento dos ataques de ransomware, como o malware continua sendo uma ameaça constante e como o comprometimento da identidade permanece um grande desafio que atormenta as equipes de segurança.

Além disso, sabemos que os ataques de estados-nações estão cada vez mais agressivos e persistentes. O ataque à cadeia de fornecedores da NOBELIUM, que utiliza a plataforma SolarWinds, foi um dos muitos ataques inovadores que ganharam as manchetes no ano passado. Embora as novas técnicas chamativas sejam o que frequentemente capturam os ciclos de notícias, os CISOs sempre me dizem que mesmo esses atores de ameaças avançadas, como a maioria dos criminosos cibernéticos, tendem a se concentrar em ataques de oportunidade de baixo custo e alto valor.

"Se os estados-nações vão atacar a mim e à minha empresa, isso é um evento relâmpago. Isso pode acontecer, eu me preocupo com isso, mas não tanto quanto me preocupo com minhas atividades diárias, minha segurança básica."
CISO de serviços financeiros

Para ilustrar melhor esse ponto, observamos um aumento no número de invasores de estados-nações que utilizam ataques de pulverização de senha. Ser líder de segurança significa gerenciar riscos e prioridades, e muitos líderes me dizem que sua principal prioridade é fortalecer a higiene cibernética para evitar as linhas de ataque mais comuns, especialmente na crescente pegada digital. E nossos dados e pesquisas corroboram esse sentimento, estimamos que a higiene básica de segurança ainda protege contra 98% dos ataques (confira a página 124 do Relatório de Defesa Digital da Microsoft, outubro de 2021).

A maioria dos líderes de segurança com quem converso concorda com as etapas fundamentais de uma estratégia de segurança:

  • Implementação da autenticação multifator (MFA) e de uma política de registro
  • Obter visibilidade do seu ambiente
  • Educação do usuário
  • Fique à frente da aplicação de patches e do gerenciamento de vulnerabilidades
  • Gerenciamento e proteção de todos os dispositivos
  • Proteger as configurações de recursos e cargas de trabalho no local e na nuvem
  • Garantia de backup no caso dos piores cenários de recuperação
"No final, na maioria das vezes, é... uma senha fácil em uma conta privilegiada, ou é porque alguém não implementou um certificado em um ponto de extremidade específico necessário."
CISO de serviços de saúde

Você pode estar pensando que é fácil falar sobre as etapas fundamentais de segurança, mas é muito mais difícil implementá-las na vida real, especialmente quando uma equipe está sobrecarregada e com pouco pessoal. Mas eu diria que ser um líder de segurança é gerenciar tanto o risco quanto a priorização, e isso faz com que o foco nos fundamentos seja uma abordagem solidamente pragmática. Com muita frequência, os incidentes de segurança não são uma questão de SE, mas de QUANDO. Há centenas deestatísticas alarmantes sobre segurança cibernética, como cerca de 4.000 ataques de crimes cibernéticos cometidos todos os dias somente nos EUA e mais de 30.000 sites em todo o mundo são hackeados diariamente.

Acredito que a melhor linha de defesa é adotar uma abordagem equilibrada e investir em detecção e resposta a incidentes juntamente com a prevenção.

Embora possa parecer difícil investir em novos níveis de prevenção e, ao mesmo tempo, tentar acompanhar as crescentes demandas de detecção e resposta, encontrar o equilíbrio certo entre os dois esforços é essencial e benéfico. Um estudo de 2021 do Ponemon Institute e da IBM Security descobriu que as organizações sem uma equipe de resposta a incidentes ou um plano em vigor viram o custo médio das violações de dados aumentar 55%. As equipes de segurança que conseguirem equilibrar uma prevenção sólida com uma estratégia que inclua uma resposta a incidentes e investimentos em ferramentas de detecção e correção estarão bem posicionadas para enfrentar o inevitável.

O resultado?

Adote uma abordagem equilibrada, coloque seus fundamentos em prática e tenha um plano para possíveis violações.
  • Investir na higiene cibernética básica e estendê-la ao crescente ambiente digital é uma estratégia essencial para ajudar a proteger a sua empresa de um ataque em primeiro lugar.
  • Mesmo que esses grandes ataques não ocorram todos os dias, é importante estar preparado e pronto. Embora os princípios básicos sejam essenciais, as organizações com visão de futuro têm em mente um plano bem documentado e testado sobre o que fazer após uma violação.

E passamos ao nosso próximo tópico de destaque para os CISOs atualmente: cadeias de fornecedores e as ameaças intrínsecas que elas expõem. A expansão do perímetro de segurança para fora da organização de segurança e da TI, como resultado de uma cadeia de fornecedores cada vez mais conectada e complexa, é uma realidade do ambiente de negócios atual. Um relatório da Sonatype de setembro de 2021 constatou um aumento de 650% ao ano nos ataques à cadeia de fornecedores em relação a 2020.

Sim, você leu certo 650%!

E as novas realidades comerciais, como o trabalho híbrido e as interrupções na cadeia de fornecedores de todos os tipos, atingindo todos os setores, ampliaram ainda mais os limites de segurança e identidade.
1.013

Número médio de fornecedores na cadeia de fornecedores de uma empresa

Fonte: BlueVoyant,

“CISO Supply Chain,” 2020

64%

das empresas afirmam terceirizar mais de um quarto de suas tarefas diárias de negócios para fornecedores que exigem acesso a seus dados comerciais

Fonte: (ISC)2, “Securing the Partner Ecosystem,” 2019

Não é de se admirar que os líderes de segurança estejam prestando mais atenção aos riscos da cadeia de fornecedores, todos e quaisquer elos da cadeia de fornecedores não são apenas vitais para as operações de uma empresa, mas as interrupções em qualquer ponto da cadeia podem ser prejudiciais de inúmeras maneiras.

À medida que os líderes de segurança expandem a terceirização para fornecedores de aplicativos, infraestrutura e capital humano, eles procuram estruturas e ferramentas mais eficazes para ajudar a avaliar e atenuar os riscos em todos os níveis de fornecedores. Porque esse número de 650% é assustador, e todos nós somos suscetíveis.

Os CISOs me dizem que, embora as medidas tradicionais de verificação possam ser eficazes para reduzir o risco durante o processo de seleção ou durante as revisões, suas equipes estão lutando contra as deficiências inerentes às revisões pontuais, incluindo:

  • Os processos de revisão de fornecedores geralmente incluem apenas um questionário ou uma "lista de verificação" que não aborda todos os riscos inerentes às cadeias de fornecedores atuais.
  • Depois que um fornecedor é integrado, há apenas um ciclo de revisão pontual, geralmente anual ou durante a renovação do contrato.
  • Muitas vezes, diferentes departamentos da mesma empresa têm diferentes processos e funções envolvidos, e não há uma maneira clara de compartilhar informações entre as equipes internas
"Os principais fornecedores são aqueles dos quais dependemos em grande escala ou que mais nos ajudam a alcançar nossa visão. Qualquer interrupção no bem-estar de qualquer tipo de fornecedor terá um impacto prejudicial significativo em nossa organização."
CIO de pesquisa científica

Essas medidas significam que as organizações simplesmente não conseguem impor a conformidade e reduzir os riscos em tempo real. Como resultado, é muito mais difícil para as equipes de segurança responderem a um comportamento anômalo, como colocar em quarentena o software externo comprometido ou impedir que credenciais de administrador vazadas acessem suas redes. Se os ataques recentes nos ensinaram alguma coisa, é que mesmo a melhor higiene de segurança cibernética e a dedicação aos fundamentos para identificar, medir e atenuar os riscos não podem eliminar totalmente a possibilidade de ameaças se infiltrarem nas cadeias de fornecedores.

"Fazemos check-ins anuais com os principais fornecedores e, dependendo do nível dos fornecedores, podemos voltar a cada dois ou três anos e refazer uma avaliação. Mas uma avaliação fornece apenas informações pontuais. Ele não valida o ambiente de controles durante todo o ano."
Membro do Conselho Consultivo de Clientes de Gerenciamento da Cadeia de Fornecedores da Microsoft

Então, como você pode gerenciar os riscos da sua cadeia de fornecedores e, ao mesmo tempo, permanecer ágil e produtivo? Acontece que muitos líderes de segurança estão abordando as ameaças à cadeia de fornecedores da mesma forma que abordam os ataques cibernéticos, concentrando-se em fundamentos sólidos e melhorando a visibilidade.

Como existem muitos tipos diferentes de riscos associados ao ecossistema de fornecedores, não há uma padronização clara, "melhores práticas" ou mesmo tecnologia para gerenciá-los. No entanto, muitos líderes de segurança estão adotando o modelo Confiança Zero como abordagem para reduzir a exposição ao risco e ajudar a proteger contra as vulnerabilidades que estão consistentemente por trás das ameaças à cadeia de fornecedores, como credenciais comprometidas de usuários de terceiros, dispositivos infectados por malware, códigos maliciosos e muito mais.

A Confiança Zero é uma abordagem proativa e integrada à segurança em todas as camadas da infraestrutura digital que verifica explícita e continuamente todas as transações, afirma o privilégio mínimo e conta com inteligência, detecção avançada e resposta em tempo real às ameaças.

Temos ouvido constantemente dos líderes de segurança que eles conseguiram diminuir o impacto dos principais ataques à cadeia de fornecedores e melhorar a eficiência geral das operações da cadeia de fornecedores implementando estratégias robustas de Confiança Zero. De fato, de acordo com um estudo recente do Ponemon Institute e da IBM Security, as organizações com implementações maduras de Confiança Zero tiveram um custo médio 40% menor de uma violação em comparação com aquelas que não a implementaram.
"A Confiança Zero nos permitiu criar uma estrutura e desenvolver modalidades de acesso para proteger todos os ativos essenciais da nossa organização."
Tomador de decisões sobre segurança no setor de serviços de saúde
"Eu diria que olhamos para a nossa estrela guia e, pelo menos do ponto de vista do controle, ela está mais inclinada para a Confiança Zero. Em vez de fazer todas essas perguntas e depois tentar lidar com a questão de "como controlar tudo desse escopo específico", faça o oposto e comece sem nada, abrindo apenas o que for necessário. Portanto, acho que... a Confiança Zero está ganhando uma nova vida no setor."
CISO de manufatura de bens de consumo embalados

Supor violações

Embora os dois primeiros princípios ajudem a reduzir a probabilidade de um comprometimento, assumir uma violação ajuda as organizações a se prepararem para detectar e responder rapidamente a uma violação, criando processos e sistemas como se ela já tivesse ocorrido. Na prática, isso significa usar mecanismos de segurança redundantes, coletar telemetria do sistema, usá-la para detectar anomalias e, sempre que possível, conectar esse insight à automação que permite prevenir, responder e corrigir em tempo quase real. Os CISOs me disseram que estão investindo na implementação de sistemas de monitoramento robustos que podem ajudá-los a detectar alterações no ambiente, como um dispositivo de IoT comprometido que tenta abrir conexões desnecessárias com outros dispositivos, para identificar e conter rapidamente um ataque.

Os líderes com quem converso sobre a Confiança Zero concordam que essa é uma ótima estrutura para criar uma higiene cibernética fundamental, e isso inclui o gerenciamento da cadeia de fornecedores.

Vamos dar uma olhada em como os líderes de segurança empregam os princípios da Confiança Zero para proteger suas cadeias de fornecedores.

Verificar explicitamente

Verificar explicitamente significa que devemos examinar todos os aspectos pertinentes das solicitações de acesso em vez de presumir a confiança com base em uma garantia fraca, como o local de rede. No caso das cadeias de fornecedores, os invasores normalmente exploram lacunas na verificação explícita, como encontrar contas de fornecedores altamente privilegiadas que não estejam protegidas com autenticação multifator ou injetar código malicioso em um aplicativo confiável. As equipes de segurança estão fortalecendo seus métodos de verificação e ampliando os requisitos da política de segurança dos usuários terceirizados.

Usar o acesso com privilégios mínimos

Uma vez que você tenha alcançado o primeiro princípio, o acesso com privilégios mínimos ajuda a garantir que as permissões sejam concedidas apenas para atender a objetivos comerciais específicos no ambiente apropriado e nos dispositivos apropriados. Isso ajuda a minimizar as oportunidades de movimentação lateral, limitando o quanto qualquer recurso comprometido (usuário, ponto de extremidade, aplicativo ou rede) pode acessar outros no ambiente. Os líderes de segurança nos dizem que estão priorizando o fornecimento aos fornecedores e terceiros apenas o acesso de que precisam, quando precisam, e examinando e avaliando continuamente as solicitações e políticas de acesso na cadeia de fornecedores da organização para minimizar o contato com sistemas e recursos importantes.

"O objetivo é melhorar nossa postura de segurança em geral, mas a meta é reduzir o atrito na experiência do usuário final e facilitar a vida deles."
Tomador de decisões sobre segurança no setor de hospitalidade

O resultado?

O grande número de fornecedores e a variedade de desafios inerentes às cadeias de fornecedores distribuídas tornam ainda mais importante o gerenciamento proativo. Com as recentes violações de dados globais, os líderes de segurança estão ansiosos para encontrar maneiras de reduzir o risco do fornecedor, e os princípios da Confiança Zero estão fornecendo uma estratégia e uma estrutura sólidas para gerenciar o ecossistema do fornecedor.
  • Uma abordagem Confiança Zero ajuda a garantir que somente as pessoas certas tenham o nível certo de acesso em toda a sua organização e, ao mesmo tempo, aumenta a segurança e a produtividade do usuário final.
  • Embora existam muitas maneiras de começar a usar a Confiança Zero, instituir a autenticação multifator deve ser a principal prioridade do ponto de vista do ecossistema do fornecedor e do gerenciamento de riscos.
  • Avalie o estágio de maturidade da Confiança Zero de sua organização e obtenha orientação por etapas direcionada, além de uma lista selecionada de recursos e soluções para avançar sua jornada de Confiança Zero.

Todos nós já ouvimos falar da grande renúncia. Mais de 40% da força de trabalho global está pensando em deixar seu empregador este ano, e os líderes de segurança e suas equipes já se sentem com pouco pessoal. Costumo conversar com os CISOs sobre como as coisas estão indo de modo geral, e uma de suas principais preocupações é conseguir encontrar e reter os melhores talentos. E se os melhores talentos saírem, eles terão que encontrar novos talentos ou aprimorar as habilidades dos que ficaram. Uma tecnologia mais eficiente, integrada e automatizada pode ajudar, mas não é suficiente.

Os jargões de segurança tornaram-se parte do vernáculo cotidiano, pois os ataques cibernéticos aparecem regularmente nas notícias, e esses ataques (e as notícias sobre eles) podem afetar profundamente uma empresa. Mas adivinhe só? Nem tudo são más notícias. Como a segurança cibernética se tornou um tópico familiar em todas as áreas da organização, estamos ouvindo que o conceito de "segurança é trabalho de todos" está começando a ressoar nas organizações. Especialmente com os novos modelos de trabalho híbridos e os perímetros de segurança sendo forçados de todas as formas, os líderes de segurança estão cada vez mais confiando em formas inovadoras de manter todos seguros, mesmo enfrentando lacunas de talentos e habilidades. Não "fazer mais com menos", mas "fazer mais com diferença" é o que os líderes de segurança inovadores estão fazendo atualmente.

"É um desafio que todos enfrentam: é difícil encontrar talentos, é difícil mantê-los. É uma faca de dois gumes: quando você desenvolve talentos, você os torna muito caros para serem mantidos, então, definitivamente, há alguns desafios aí."
CISO de serviços jurídicos

Embora a escassez de talentos e habilidades definitivamente não seja positiva, há um pequeno raio de luz aqui, a criação de uma cultura de segurança está se tornando uma realidade. Muitos CISOs estão nos dizendo que uma das maneiras mais eficazes de enfrentar seus desafios de segurança em meio a desafios de pessoal é criar uma cultura de segurança em que a segurança seja o trabalho de todos. Os CISOs estão defendendo cada vez mais essa noção de que toda a organização pode assumir a responsabilidade pela segurança, especialmente porque estão enfrentando escassez de pessoal ou desafios de financiamento.

As equipes de desenvolvimento, os administradores de sistemas e, sim, os usuários finais, devem entender as políticas de segurança relacionadas a eles. O compartilhamento de informações é fundamental e as equipes de segurança estão encontrando cada vez mais novas maneiras de trabalhar com desenvolvedores, administradores e proprietários de processos de negócios para entender os riscos e desenvolver políticas e procedimentos que beneficiem toda a organização.

A escassez de talentos e as lacunas nas habilidades (especialmente na profissão de segurança cibernética, que está em constante mudança) fazem com que os CISOs procurem maneiras novas e inovadoras de se manter à frente. Uma estratégia sobre a qual continuamos a ouvir falar é a "delegação" em evolução de funcionários fora da equipe de segurança. Os CISOs estão buscando alavancar toda a organização, com foco especial no treinamento de usuários finais para que façam parte da solução e na criação de suporte das equipes adjacentes.

Aumentar e aprimorar o conhecimento dos usuários finais sobre as ameaças à segurança, como garantir que eles entendam o que é phishing e os sinais de ataques sutis, é um longo caminho para aumentar os olhos e os ouvidos da equipe de segurança, especialmente como uma estratégia de "ponta de lança", em que os usuários finais costumam ser um ponto de entrada do ataque. Não estou dizendo que os usuários finais podem ser magicamente treinados para detectar tudo, mas ter usuários preparados e alertas pode reduzir drasticamente a carga sobre as equipes de segurança.

"Você já deve ter ouvido a frase 'a segurança é responsabilidade de todos'. Isso é bom, mas realmente... só até que algo aconteça. No que diz respeito à TI, o que fizemos foi designar membros da TI como representantes da segurança. Nomeamos membros de diferentes equipes, especificamente equipes de desenvolvimento, de arquitetura e de infraestrutura, onde eles recebem treinamento extra em segurança. Eles podem acompanhar algumas de minhas reuniões de segurança e podem ser representantes de seu grupo na segurança, bem como representantes da segurança para seu grupo."
CISO de serviços jurídicos

Outra estratégia é substituir a TI como parte da segurança. Manter a equipe de TI intimamente ligada à equipe de segurança e garantir que a TI seja informada sobre as estratégias de segurança está ajudando muitos líderes de segurança a estender sua missão a todas as áreas da organização.

Fornecer orientação e ajuda sobre automação e outras estratégias proativas de gerenciamento de tarefas e fluxo de trabalho é uma forma fundamental de os CISOs ampliarem suas equipes e aproveitarem a TI para ajudar a garantir uma postura de segurança sólida.

"Portanto, se você observar o mundo da segurança, a equipe de segurança não é responsável por interromper os ataques, mas sim o pessoal de TI. O pessoal de segurança não aplica patches, por exemplo. As pessoas do setor de TI (são aqueles que) corrigem. A segurança não gerencia o inventário de gerenciamento de ativos, a TI faz isso.   E há muitas coisas e, dependendo da organização em que você estiver, os firewalls geralmente são gerenciados por uma equipe de rede, não necessariamente por uma equipe de segurança. Portanto, muito do que estamos fazendo é ajudar as pessoas que têm a tarefa de realmente fazer os tipos de proteção e estamos aprimorando suas habilidades, fornecendo as ferramentas para automatizar parte do trabalho que estão fazendo.
  Informamos a eles a razão, e não apenas a causa, e às vezes entender a razão influencia e inspira a fazer o que é necessário."
CISO de serviços jurídicos

O resultado?

Ser criativo com os recursos não é algo novo. No entanto, desenvolver uma equipe mais ampla por meio de treinamento sistemático e do envolvimento com equipes adjacentes à segurança é uma maneira inovadora de os CISOs aliviarem parte do problema da escassez de talentos e das lacunas nas principais habilidades.
  • A criação de sinergia com outras equipes e a substituição de funcionários fora da equipe de segurança ajudam a expandir a esfera de influência e a manter a empresa segura.
  • Treinar os usuários para reconhecer phishing e problemas de segurança comuns é uma estratégia que a maioria dos líderes de segurança concorda que vale o tempo e o esforço.

Todas as pesquisas citadas da Microsoft utilizam empresas de pesquisa independentes para contactar profissionais de segurança para estudos quantitativos e qualitativos, garantindo proteções de privacidade e rigor analítico. As citações e descobertas incluídas neste documento, salvo especificação em contrário, são resultado de estudos de pesquisa da Microsoft.

Artigos relacionados

Cyber Signals: Edição 1

A identidade é o novo campo de batalha. Receba insights sobre as ameaças cibernéticas em constante evolução e saiba quais medidas tomar para proteger melhor sua organização.

CISO Insider Edição 2

Nesta edição do CISO Insider, ouvimos os CISOs sobre o que eles estão vendo nas linhas de frente, desde alvos até táticas, e quais medidas estão tomando para ajudar a prevenir e responder a ataques. Também ouvimos como os líderes estão aproveitando XDR e automação para dimensionar sua defesa contra ameaças sofisticadas.

Cyber Signals Edição 2: Economia da extorsão

Escute os especialistas de campo sobre o desenvolvimento de ransomware como serviço. Desde programas e conteúdos maliciosos até intermediários de acesso e afiliados, conheça as ferramentas, táticas e alvos preferidos dos criminosos cibernéticos, além de receber orientações para proteger sua organização.