Por Sérgio Muniz
Em um mundo onde as nossas vidas digitais estão cada vez mais interligadas, cada vetor de ataque protegido aumenta a segurança de outras pessoas conectadas. E considerando o quão conectados somos atualmente aos nossos dispositivos, redes e à Internet em geral, muitos de nós estamos incluídos.
Principais práticas de segurança cibernética a serem implementadas
1. Proteja suas credenciais – sem senha!
À medida que os cyber atacantes se tornam mais habilidosos na violação das das nossas credenciais de acesso, a indústria está gradualmente se afastando das senhas em sua totalidade e migrando para um futuro passwordless. Isso significa utilizar outras formas de autenticação, como por exemplo dados biométricos, PINs, padrões e passkeys ao invés de senhas. Com mais e mais plataformas suportando passkeys e autenticação sem senha, afastar-se das senhas está se tornando mais fácil e sem atrito.
Se as opções sem senha não forem viáveis, use senhas fortes com um gerenciador de senhas. Infelizmente, menos de 40% de todos os usuários online usam uma senha distinta para cada conta, de acordo com a National Cybersecurity Alliance 2023 Oh Behave! relatório. As senhas reutilizadas dão aos cibercriminosos acesso bônus a outras áreas da vida digital de uma pessoa quando eles apenas fizeram o trabalho de roubar (ou comprar, ou quebrar) uma única credencial. Além de ter um login diferente para cada site, uma das recomendacões internacionais ( CISA ) sugere que uma senha forte contenha:
- Pelo menos 16 caracteres.
- Randomização, com mistura de letras, maiúsculas e minúsculas, números e caracteres especiais
- Potencialmente uma “frase secreta” de 4 a 7 palavras, embora a randomização seja recomendada.
Em ambos os casos – senhas ou passkeys sem senha – é necessário um gerenciador de senhas (veja o motivo aqui). Uma pessoa média precisa manter o controle de aproximadamente 100 credenciais distintas, portanto não é de admirar que quase um terço da Internet use um gerenciador de senhas para organizar (e “lembrar”) todas elas.
2. Reconhecer e denunciar phishing
De acordo com o Relatório de Ameaças de Dados de 2024 da Thales, o phishing é o segundo ataque que mais cresce. As táticas de phishing estão se tornando mais sorrateiras, graças à IA, e é mais importante do que nunca que os funcionários sejam capazes de reconhecer seus sinais reveladores. Agora, as campanhas baseadas em IA podem produzir e-mails perfeitos em qualquer idioma, normalmente:
- Criando um senso de urgência (gerando pânico e causando um curto-circuito no seu pensamento crítico)
- Incentivar alguma ação não solicitada (como “alterar sua senha agora” ou “faça o download agora”)
- Solicitar algum tipo de informação pessoal (geralmente dados financeiros)
No entanto, a maneira mais eficaz de permitir que as pessoas detectem e denunciem e-mails de phishing é fortalecer o “firewall humano”. As empresas devem investir em programas de formação de sensibilização para a segurança, não só para os seus funcionários, mas também para as suas famílias, para estabelecer uma cultura positiva onde todos sejam convidados a denunciar erros, como clicar em um link malévolo.
3. Ative a autenticação multifator
A autenticação multifator (MFA) é uma camada de segurança exigida por muitos provedores de serviços em nuvem e ainda mais organizações comuns. CISA, ENISA e outras agências de segurança globais aconselham que todos o adotem, pois fornece camadas adicionais de defesa além de apenas senhas (um código de verificação ou uma impressão digital, por exemplo). Existem várias opções de MFA disponíveis:
- A MFA resistente a phishing é conhecida pela CISA como o “padrão ouro” e abrange métodos de autenticação FIDO/WebAuthn e infraestrutura de chave pública (PKI).
- MFA baseados em aplicativos aumentam a segurança enviando uma notificação pop-up ou um “push” para o telefone do usuário, gerando uma token one-time-password (OTP).
- SMS ou Voice MFA simplesmente enviam ao usuário uma chamada telefônica ou mensagem de texto de verificação.
Apesar da importância e da variedade dos métodos de MFA, o relatório Thales 2024 DTR mostra que apenas 46% das organizações utilizam autenticação multifator para mais de 40% dos seus funcionários. É essencial observar que, embora a MFA resistente ao phishing seja mais eficaz contra ataques de engenharia social habilitados por IA, qualquer forma de MFA é muito melhor do que nenhum tipo de MFA. Além disso, há um grande valor comercial por trás da adoção da MFA. O Thales 2024 Digital Trust Index indica que 81% dos clientes esperam que as marcas ofereçam MFA, o que serve como um meio para maior lealdade e confiança.
4. Atualizar software: uma defesa crítica, mas proceda com cautela
É crucial que todos os funcionários saibam que devem aceitar e aplicar atualizações de software sempre receberem uma notificação na tela, porque é assim que as vulnerabilidades são corrigidas. Um relatório do Ponemon observou que 60% das violações tiveram origem em vulnerabilidades não corrigidas, tornando esta prática simples ainda mais vital.
Os criminosos adotaram rapidamente a IA para detectar e explorar até mesmo vulnerabilidades de dia zero. Curiosamente, essas lacunas não corrigidas abrem caminho para a propagação de ataques disruptivos de ransomware. No entanto, as empresas, especialmente em ambientes de infraestruturas críticas, devem corrigir os seus sistemas com cautela e não por medo. Embora as atualizações de segurança oportunas sejam cruciais, é igualmente importante testar essas atualizações em um ambiente controlado antes de lançá-las para minimizar a possibilidade de quebrar sistemas críticos.
Um pouco faz toda a diferença
O objetivo geral do Mês de Conscientização sobre Segurança Cibernética é melhorar a sua estratégia de segurança de identidades, aplicativos, dados e software – sejam dados pessoais ou corporativos. Como ilustram os métodos destacados acima, boas medidas defensivas não precisam ser difíceis de usar ou implementar. Na verdade, mantê-lo simples e usar ferramentas e procedimentos práticos e amigáveis terá uma adoção mais ampla.
Além disso, se você for uma empresa, complemente as práticas recomendadas acima com soluções que ofereçam aplicativos robustos e proteção de dados para reduzir o potencial de violação de dados. Essas soluções protegem aplicações e APIs, descobrem e classificam dados confidenciais, fornecem inteligência sobre riscos e complementam os esforços de conscientização sobre segurança dos funcionários, permitindo que você saiba onde seus dados residem, quem os acessa e quando estão em risco. Os métodos amigáveis anteriormente mencionados permitem que seus funcionários sejam a primeira linha de defesa e a implantação de soluções Imperva o seu próximo nível de defesa.
Agora sim, isso é uma estratégia de defesa para proteger nosso mundo!
Sobre o autor: Sérgio Muniz é vice-presidente de Vendas para Gestão de Identidade e Acesso de Thales para América Latina