Os perigos do crime cibernético existem há muitos anos, mas o aumento da porcentagem da população conectada à Internet e o tempo gasto online proporcionaram mais oportunidades para hackers e criminosos aproveitarem a situação, criarem problemas e ganharem mais dinheiro.
Técnicas comuns de cibercrimes, como phishing1 e ramsonware2, vêm experimentando um pico. Os cibercriminosos também estão se aproveitando das ansiedades e medos desencadeados pela pandemia, usando malwares e outros tipos de fraudes – de sites falsos a anúncios e e-mails maliciosos.
Também está claro que as empresas – não apenas os indivíduos – serão afetadas por esta pandemia de crimes cibernéticos. De acordo com o “The Global Risks Report de 2020”, publicado pelo Fórum Econômico Mundial, o custo do crime cibernético para as empresas até 2023 é estimado em US$ 8 trilhões.
Seguindo essa tendência, a LGPD, a nova lei brasileira de proteção de dados, visa a proteger a privacidade dos indivíduos contra os ataques cibernéticos e vazamentos de dados. No entanto, com muitas incertezas e multas altas, a lei pode incentivar outros tipos de crimes cibernéticos, como ataques de ransomware.
1 Phishing é um tipo de engenharia social em que um invasor envia uma mensagem fraudulenta projetada para induzir uma vítima a revelar informações confidenciais ou para implantar software malicioso na infraestrutura da vítima.
2 Ransomware (software malicioso) é qualquer software projetado intencionalmente para causar danos a redes, computadores ou servidores das empresas e usuários.
QUEM SÃO OS HACKERS
Os CYBER CRIMINOSOS possuem motivações financeiras e têm como principais alvos as empresas e pessoas físicas, sendo segmentados em:
- Carreira solo: Hackers convictos que atuam individualmente utilizando vulnerabilidades comuns para ataques;
- Mercenários: Hackers de aluguel contratados por outros cyber criminosos para trabalhos específicos;
- Grupo profissional: Organizações criminosas de hackers com hierarquia, funções e responsabilidades.
Os PLAYERS POLÍTICOS são motivados pela política e prazer, tendo como principais alvos para os ataques os governos e as empresas de utilidades públicas. Esses tipos de hackers podem ser classificados como:
- Hacktivistas: Hackers por hobby que normalmente trabalham por uma causa única;
- Nacionalistas: Hackers cujo objetivo é tentar promover uma mudança política/social baseado no patriotismo;
- Agentes de estado: possuem funções militares ou de inteligência para defesa ou ataque de uma nação.
Os HACKERS CORPORATIVOS são motivados pelos ganhos financeiros e orientação política, tendo como principal alvo para os ataques as empresas. Esses tipos de hackers podem ser classificados como:
- Espião corporativo: Hacker cujo objetivo é roubar propriedade intelectual corporativa;
- Insider malicioso: Hacker interno a organização cujo objetivo é sabotar a operação e vazar informações críticas.
COMO ESSES ATAQUES OCORREM
Os setores de energia, saúde e varejo tiveram o maior aumento nos custos de violação de dados em 2020, tornando-se os principais segmentos que buscam ações de cibersegurança. Abaixo, separamos alguns números a respeito das motivações e tipos de ataques utilizados:
Por que eles atacam:
- 53% Motivação financeira
- 13% Estado Nação
- 13% Hacktivismo
Principais métodos utilizados para ataques cibernéticos:
- 19% Credenciais comprometidas
- 19% de configuração incorreta da nuvem
- 16% de vulnerabilidades 3P SW (Processos, procedimentos e políticas de segurança de software)
- 10% de erro/uso indevido
- 14% de phishing
- 10% de comprometimento da segurança física
- 8% e-mails de negócios e engenharia social
- 6% insider malicioso
A IMPORTÂNCIA DA CYBERDEFENSE
De acordo com um estudo conduzido pela IBM, 27% das organizações em todo o mundo experimentarão pelo menos uma violação de dados nos próximos dois anos. O Global Risk Report relatou, em 2020, que o custo estimado do cibercrime para empresas até 2023 é de $ 8 trilhões.
Esses ataques possuem consequências financeiras e perda de produtividade já que uma violação de dados gera perda de US$ 3,86 milhões sendo que o tempo necessário para a empresa identificar as causas e conseguir mitigar o comprometimento em suas estruturas é de 9 meses.
Devido ao grande número de ataques e os grandes prejuízos que podem resultar deles, todas as organizações devem realizar testes de segurança pelo menos uma vez por ano, com avaliações extras realizadas após mudanças substanciais na infraestrutura, bem como antes de lançamentos de produtos, fusões ou aquisições.
Uma dessas avaliações é o Pentest e deve ser realizados com mais frequência em organizações com grandes propriedades de TI, que processam um número significativo de dados pessoais e financeiros ou que devem cumprir requisitos rígidos de conformidade.
ENTENDA O CONCEITO DE PENTEST
O teste de intrusão (do inglês, penetration test) trata-se de uma atividade executada por um profissional de segurança cibernética para avaliar a segurança de um sistema através da simulação de ataques cibernéticos, previamente autorizados pelo cliente atendido.
Como resultado desse teste são levantadas as vulnerabilidades do sistema, assim como possíveis medidas para correção ou mitigação desses pontos.
Essas vulnerabilidades podem impactar desde a disponibilidade de um sistema ou serviço, à possibilidade de obtenção de acesso não autorizado aos sistemas e dados da empresa e até mesmo o sequestro desses dados, liberados apenas mediante pagamento de resgate.
O teste de intrusão tem duas variantes principais:
- White box: nessa modalidade, é fornecido pelo cliente ao profissional de segurança um detalhamento da infraestrutura de rede e dos sistemas a serem avaliados. Exemplos incluem: endereços de IP, diagramas de rede, aplicações utilizadas pela companhia, etc.
- Black box: nessa modalidade, o responsável pelo teste não recebe de antemão nenhuma informação sobre o ambiente que será avaliado. Essa modalidade procura emular a tentativa de um agente externo invadir a rede da companhia sem conhecimento prévio de sua infraestrutura.
ENTENDA AS FASES DE UM PEN TEST
Para realizar os testes de intrusão/penetração (Pentest), é necessário seguir algumas etapas:
- Information gathering
Nessa fase, a equipe responsável pelo teste de penetração busca reunir informações que possam ser úteis para revelar possíveis vulnerabilidades e pontos de entrada para os sistemas.
- Threat modeling
Com as informações reunidas durante a fase de reconhecimento, a equipe de teste irá definir os mecanismos mais adequados para explorar cada vulnerabilidade identificada.
- Enumeration and scanning
Nessa etapa são utilizadas ferramentas para scannear e coletar informações de modo a descobrir vulnerabilidades a serem exploradas em uma etapa posterior.
- Vulnerability analysis
Entendimento das vulnerabilidades levantadas, avaliação do risco apresentado e elaboração de planos de correção ou mitigação.
- Exploitation
Execução do teste das vulnerabilidades identificadas, procurando explorá-las de forma a obter acesso a redes e sistemas.
- Post-exploitation
Nesse momento, todas as vulnerabilidades e os riscos associados que foram encontrados durante a avaliação devem ser reportados, assim como o plano de ação relacionado.
QUEM REALIZA O PENTEST?
Encontrar funcionários com as qualificações e conhecimentos adequados é um dos desafios mais difíceis no estabelecimento de um programa de segurança cibernética eficaz.
O gap de habilidades de segurança cibernética é um problema bem conhecido, com uma oferta competente de especialistas em segurança aquém da demanda. Isso é especialmente verdadeiro quando se trata de pentest. Infelizmente, não há escassez de atores de ameaças e grupos de crimes cibernéticos. Como resultado, as empresas não podem se dar ao luxo de adiar iniciativas cruciais de segurança da informação.
Os pentesters especializados são um aspecto importante do teste de intrusão. A empresa almeja ter alguém ou uma equipe com mais experiência para testes complicados que envolvam aprofundar-se em diferentes sistemas e aplicativos ou executar exercícios com várias cadeias de ataque.
Nesse sentido, possuir um Red Team que aplique métodos e soluções complexas comparáveis às abordagens de agentes de ameaças para testar um cenário de ataque genuíno com o propósito de verificar a segurança de um sistema, aplicação ou rede ao simular um ataque por invasores externos e/ou internos (insiders) é essencial.
SERVIÇOS DE CYBERDEFENSE
Os objetivos deste tipo de serviço são avaliar a segurança da organização do ponto de vista de um invasor, obter informação potencial para análise de risco e avaliar atualização dos sistemas, configurações, e práticas de desenvolvimento seguro.
Para as empresas, os principais benefícios do pentest são a identificação e avaliação de vulnerabilidades em cenários complexos, obtenção de relatórios personalizáveis que atendem aos requisitos de segurança e governança e recomendações para uma maior segurança.
CONHEÇA A BIP CYBERSEC
BIP CYBERSEC é o nosso centro de excelência (COE) responsável por apoiar nossos clientes e parceiros a proteger sua infraestrutura, sistemas, pessoas e marcas contra ameaças cibernéticas.
A BIP oferece uma gama de serviços de Pentest, Ethical Hacking e Incident Response com uma equipe altamente qualificada que domina as normas e melhores práticas internacionais, com sólida capacidade de I&D e contando com diversas referências.
Atualmente, a o COE conta com +300 especialistas globais que orientam nossos clientes em toda a jornada Cybersec e mantêm +450 certificados na área. Ao longo da história da BIP Cybersec, são +2600 sistemas analisados e testes de penetração para detecção de vulnerabilidades realizados. Apenas nos últimos seis anos, realizamos +500 projetos em 10 países diferentes.
Entre em contato com nossos especialistas em cybersecurity e entenda os principais riscos que a sua empresa enfrenta atualmente no ambiente cibernético.
