Publicado em: 27 de outubro de 2023
A cibersegurança refere-se a qualquer tecnologia, medida ou prática para prevenir ataques cibernéticos ou mitigar seu impacto.
A cibersegurança visa proteger os sistemas, aplicações, dispositivos de computação, dados sensíveis e ativos financeiros de indivíduos e organizações contra vírus de computador, ataques sofisticados e custosos de ransomware e mais.
Os ataques cibernéticos têm o poder de interromper, danificar ou destruir empresas, e o custo para as vítimas continua aumentando. Por exemplo, de acordo com o relatório "Custo da violação de dados" da IBM de 2023,
- O custo médio de uma violação de dados em 2023 foi de USD 4,45 milhões, um aumento de 15% nos últimos três anos;
- O custo médio de uma violação de dados relacionado a ransomware em 2023 foi ainda maior, atingindo USD 5,13 milhões. Esse número não inclui o custo do pagamento do resgate, que teve uma média de USD 1.542.333 adicionais, um aumento de 89% em relação ao ano anterior.
Segundo uma estimativa, o cibercrime pode custar à economia mundial US$ 10,5 trilhões por ano até 2025 (link externo a ibm.com).1
As tendências crescentes em tecnologia da informação (TI) nos últimos anos incluem:
- um aumento na adoção da computação em nuvem,
- complexidade da rede,
- trabalho remoto e trabalho de casa,
- programas BYOD (bring your own device),
- e dispositivos e sensores conectados em tudo, desde campainhas até carros e linhas de montagem.
Todas essas tendências criam tremendas vantagens comerciais e progresso humano, mas também oferecem exponencialmente mais oportunidades para os cibercriminosos atacarem.
Não surpreendentemente, um estudo recente constatou que a lacuna global de trabalhadores em cibersegurança — a diferença entre os trabalhadores de cibersegurança existentes e os empregos de cibersegurança que precisam ser preenchidos — era de 3,4 milhões de trabalhadores em todo o mundo.2 Equipes de segurança com recursos limitados estão focando no desenvolvimento de estratégias abrangentes de cibersegurança que utilizam análise avançada, inteligência artificial e automação para combater as ameaças cibernéticas de maneira mais eficaz e minimizar o impacto dos ataques cibernéticos.
O X-Force Threat Intelligence Index oferece novos insights sobre as principais ameaças para ajudar você a se preparar e responder mais rapidamente a ataques cibernéticos, extorsão e muito mais.
Cadastre-se para obter o relatório do custo das violações de dados
Uma forte estratégia de cibersegurança protege todas as camadas ou domínios relevantes da infraestrutura de TI contra ameaças cibernéticas e crimes cibernéticos.
A segurança de infraestrutura crítica protege os sistemas de computadores, aplicativos, redes, dados e ativos digitais dos quais uma sociedade depende para a segurança nacional, saúde econômica e segurança pública. Nos Estados Unidos, o Instituto Nacional de Padrões e Tecnologia (NIST) desenvolveu um framework de cibersegurança para auxiliar os provedores de TI nesta área. A Agência de Segurança Cibernética e de Infraestrutura (CISA) do Departamento de Segurança Interna dos EUA fornece orientação extra.
A segurança de rede previne o acesso não autorizado aos recursos de rede e detecta e interrompe ataques cibernéticos e violações de segurança de rede em andamento. Ao mesmo tempo, a segurança de rede ajuda a garantir que os usuários autorizados tenham acesso seguro e oportuno aos recursos de rede de que necessitam.
Endpoints—servidores, desktops, notebooks, dispositivos móveis—permanecem como o principal ponto de entrada para ataques cibernéticos. A segurança de endpoint protege esses dispositivos e seus usuários contra ataques e também protege a rede contra adversários que usam endpoints para lançar ataques.
A segurança de aplicações protege aplicações executadas no local e na nuvem, prevenindo o acesso e uso não autorizados de aplicações e dados relacionados. Ela também previne falhas ou vulnerabilidades no design das aplicações que podem ser utilizados por hackers para se infiltrar na rede. Métodos modernos de desenvolvimento de aplicações—como DevOps e DevSecOps—incorporam segurança e testes de segurança ao processo de desenvolvimento.
A segurança na nuvem protege os serviços e ativos baseados na nuvem de uma organização — aplicações, dados, armazenamento, ferramentas de desenvolvimento, servidores virtuais e infraestrutura na nuvem. De modo geral, a segurança na nuvem opera no modelo de responsabilidade compartilhada, onde o provedor de nuvem é responsável por proteger os serviços que entrega e a infraestrutura utilizada para entregá-los. O cliente é responsável por proteger seus dados, código e outros ativos que armazena ou executa na nuvem. Os detalhes variam dependendo dos serviços de nuvem utilizados.
A segurança da informação (InfoSec) refere-se à proteção de todas as informações importantes de uma organização – arquivos e dados digitais, documentos em papel, mídia física e até mesmo fala humana – contra acesso, divulgação, uso ou alteração não autorizados. A segurança de dados, a proteção das informações digitais, é um subconjunto da segurança da informação e é o foco da maioria das medidas de InfoSec relacionadas à cibersegurança.
A segurança móvel abrange várias disciplinas e tecnologias específicas para smartphones e dispositivos móveis, incluindo gerenciamento de aplicações móveis (MAM) e gerenciamento de mobilidade empresarial (EMM). Mais recentemente, a segurança móvel está disponível como parte das soluções de unified endpoint management (UEM), que permitem a configuração e gerenciamento de segurança para múltiplos endpoints—dispositivos móveis, desktops, notebooks e mais—a partir de um único console.
Malware — abreviação de "software malicioso" — é qualquer código de software ou programa de computador que é escrito intencionalmente para prejudicar um sistema de computador ou seus usuários. Quase todos os ataques cibernéticos modernos envolvem algum tipo de malware.
Hackers e cibercriminosos criam e usam malware para ganhar acesso não autorizado a sistemas de computador e dados sensíveis, sequestrar sistemas de computador e operá-los remotamente, interromper ou danificar sistemas de computador ou manter dados ou sistemas como reféns em troca de grandes somas de dinheiro (veja Ransomware).
O ransomware é um tipo de malware que criptografa os dados ou o dispositivo da vítima e ameaça mantê-los criptografados, ou fazer algo pior, a menos que a vítima pague um resgate ao invasor. De acordo com o Índice IBM Security X-Force Threat Intelligence de 2023, os ataques de ransomware representaram 17% de todos os ataques cibernéticos de 2022.
“Pior” é o que distingue o ransomware de hoje de seus predecessores. Os primeiros ataques de ransomware exigiam um único resgate em troca da chave de criptografia. Hoje, a maioria dos ataques de ransomware são ataques de extorsão dupla, exigindo um segundo resgate para evitar o compartilhamento ou a publicação dos dados das vítimas. Alguns são ataques de extorsão tripla que ameaçam lançar um ataque de distributed denial-of-service se os resgates não forem pagos.
Ataques de phishing são mensagens de email, texto ou voz que enganam os usuários para baixar malware, compartilhar informações confidenciais ou enviar fundos para as pessoas erradas. A maioria dos usuários está familiarizada com golpes de phishing em massa—mensagens fraudulentas enviadas em massa que parecem ser de uma marca grande e confiável, pedindo aos destinatários para redefinir suas senhas ou reinserir informações de cartão de crédito. Mas golpes de phishing mais sofisticados, como spear phishing e business email compromise (BEC), visam indivíduos ou grupos específicos para roubar dados especialmente valiosos ou grandes somas de dinheiro.
O phishing é apenas um tipo de engenharia social—uma classe de táticas e ataques de "hacking humano", que usam manipulação psicológica para tentar ou pressionar as pessoas a adotarem ações imprudentes.
Agentes internos são ameaças que se originam de usuários autorizados — empregados, contratados, parceiros comerciais — que intencionalmente ou acidentalmente usam mal seu acesso legítimo, ou têm suas contas sequestradas por cibercriminosos. Ameaças internas podem ser mais difíceis de detectar do que ameaças externas porque têm as características de uma atividade autorizada, e são invisíveis para softwares antivírus, firewalls e outras soluções de segurança que bloqueiam ataques externos.
Um dos mitos mais persistentes sobre cibersegurança é que todo crime cibernético vem de ameaças externas. De fato, segundo um estudo recente, 44% dos agentes internos são causados por atores maliciosos, e o custo médio por incidente para incidentes internos maliciosos em 2022 foi de USD 648.062.3 Outro estudo descobriu que, embora a média de ameaças externas comprometa cerca de 200 milhões de registros, os incidentes envolvendo um agente de ameaça interna resultaram na exposição de um bilhão de registros ou mais.4
Um ataque DDoS tenta derrubar um servidor, site ou rede sobrecarregando-o com tráfego, geralmente de uma botnet — uma rede de vários sistemas distribuídos que um cibercriminoso sequestra usando malware e operações controladas remotamente.
O volume global de ataques DDoS aumentou durante a pandemia de COVID-19. Cada vez mais, os invasores estão combinando ataques DDoS com ataques de ransomware, ou simplesmente ameaçando lançar ataques DDoS a menos que o alvo pague um resgate.
Uma estratégia de segurança cibernética forte tem camadas de proteção para se defender contra crimes cibernéticos, incluindo ataques cibernéticos que tentam acessar, alterar ou destruir dados; extorquir dinheiro dos usuários ou da organização; ou visam perturbar as operações comerciais normais. As contramedidas devem abordar:
Práticas para proteger os sistemas de computadores, redes e outros ativos dos quais a sociedade depende para a segurança nacional, a saúde econômica e/ou a segurança pública. O National Institute of Standards and Technology (NIST) criou uma estrutura de segurança cibernética para ajudar as organizações nesta área, enquanto o Departamento de Segurança Nacional dos Estados Unidos (DHS) fornece orientação adicional.
Medidas de segurança para proteger uma rede de computadores contra intrusos, incluindo conexões com e sem fio (Wi-Fi).
Processos que ajudam a proteger as aplicações que operam no local e na nuvem. A segurança deve ser incorporada às aplicações na fase de projeto, com considerações sobre como os dados são tratados, autenticação do usuário, etc.
Especificamente, a verdadeira computação confidencial que criptografa os dados na nuvem em repouso (em armazenamento), em movimento (enquanto se desloca para, de e dentro da nuvem) e em uso (durante o processamento) para apoiar a privacidade do cliente, as exigências comerciais e os padrões de conformidade regulamentar.
Medidas de proteção de dados, tais como o Regulamento Geral de Proteção de Dados ou GDPR, que protegem seus dados mais sensíveis contra acesso não autorizado, exposição ou roubo.
Desenvolver a conscientização da segurança em toda a organização para fortalecer a segurança dos endpoints. Por exemplo, os usuários podem ser treinados para apagar anexos suspeitos de e-mail, evitar o uso de dispositivos USB desconhecidos, etc.
Ferramentas e procedimentos para responder a eventos não planejados, tais como desastres naturais, quedas de energia elétrica ou incidentes de segurança cibernética, com interrupção mínima das operações-chave.
O IBM FlashSystem® proporciona uma resiliência de dados sólida com numerosas proteções. Isto inclui criptografia e cópias de dados imutáveis e isoladas. Estas permanecem no mesmo pool para que possam ser rapidamente restauradas para apoiar a recuperação, minimizando o impacto de um ataque cibernético.
O IBM Security® MaaS360 with Watson permite gerenciar e assegurar sua força de trabalho móvel com segurança de aplicativo, segurança de aplicativo de container e correio móvel seguro.
O volume de incidentes de segurança cibernética está aumentando em todo o mundo, mas os conceitos equivocados ainda persistem, incluindo a noção de que:
Na realidade, as violações cibernéticas de segurança são geralmente perpetradas por usuários internos maliciosos, trabalhando por conta própria ou em conjunto com hackers externos. Esses usuários internos podem fazer parte de grupos bem organizados, apoiados por países.
Na verdade, a superfície de risco ainda está se expandindo, com milhares de novas vulnerabilidades sendo relatadas em aplicações e dispositivos antigos e novos. E as oportunidades de erro humano - especificamente por funcionários negligentes ou contratados que involuntariamente causam uma violação de dados - continuam aumentando.
Os criminosos cibernéticos estão sempre encontrando novos vetores de ataque - incluindo sistemas Linux, tecnologia operacional (OT), dispositivos de Internet das Coisas (IoT) e ambientes de nuvem.
Todos os setores têm sua parcela de riscos de segurança cibernética, com adversários cibernéticos explorando as necessidades das redes de comunicação dentro de quase todas as organizações governamentais e do setor privado.
Por exemplo, os ataques de ransomware (ver abaixo) estão visando mais setores do que nunca, incluindo governos locais e organizações sem fins lucrativos, e ameaças às cadeias de suprimentos, sites ".gov" e a infraestrutura essencial também aumentaram.
Apesar do volume cada vez maior de incidentes de cibersegurança em todo o mundo e dos aprendizados cada vez maiores que são obtidos a partir deles, algumas concepções perigosas persistem.
Senhas fortes por si só são uma proteção adequada. Senhas fortes fazem a diferença. Por exemplo, uma senha de 12 caracteres leva 62 trilhões de vezes mais tempo para ser quebrada do que uma senha de 6 caracteres. Mas porque os criminosos cibernéticos podem roubar senhas (ou pagar a funcionários insatisfeitos ou outros agentes internos para roubá-las), elas não podem ser a única medida de segurança de uma organização ou indivíduo.
Os principais riscos de cibersegurança são bem conhecidos. Na verdade, o cenário de risco está em constante expansão. Milhares de novas vulnerabilidades são relatadas em aplicações e dispositivos antigos e novos todos os anos. Oportunidades para erro humano — especificamente por funcionários ou contratados negligentes que causam inadvertidamente uma violação de dados — continuam aumentando.
Todos os vetores de ataques cibernéticos foram contidos. Os cibercriminosos estão encontrando novos vetores de ataque o tempo todo — incluindo sistemas Linux, tecnologia operacional (OT), dispositivos da Internet das Coisas (IoT) e ambientes em nuvem.
"Meu setor está seguro." Cada setor tem sua parcela de riscos de cibersegurança, com adversários cibernéticos explorando as necessidades de redes de comunicação dentro de quase todas as organizações governamentais e do setor privado. Por exemplo, ataques de ransomware estão visando mais setores do que nunca, incluindo governos locais, organizações sem fins lucrativos e prestadores de serviços de saúde. As ameaças às cadeias de suprimentos, sites ".gov" e à infraestrutura crítica também aumentaram.
Os cibercriminosos não atacam pequenas empresas. Sim, eles atacam. Por exemplo, em 2021, 82% dos ataques de ransomware visaram empresas com menos de 1.000 funcionários; 37% das empresas atacadas com ransomware tinham menos de 100 funcionários.5
As seguintes melhores práticas e tecnologias podem ajudar sua organização a implementar uma cibersegurança robusta que reduz sua vulnerabilidade a ataques cibernéticos e protege seus sistemas de informação críticos sem invadir a experiência do usuário ou cliente.
O treinamento de conscientização em segurança ajuda os usuários a entender como ações aparentemente inofensivas — de usar a mesma senha simples para vários logins a compartilhar demais em redes sociais — aumentam o risco de ataque próprio ou de sua organização. O treinamento de conscientização em segurança combinado com políticas de segurança de dados bem pensadas pode ajudar os funcionários a proteger dados pessoais e organizacionais sensíveis. Também pode ajudá-los a reconhecer e evitar ataques de phishing e malware.
O gerenciamento de acesso e identidade (IAM) define os papéis e privilégios de acesso de cada usuário e as condições sob as quais eles recebem ou negam seus privilégios. As tecnologias de IAM incluem autenticação multifatorial, que requer pelo menos uma credencial adicional além de um nome de usuário e senha, e autenticação adaptativa, que requer mais credenciais dependendo do contexto.
O gerenciamento da superfície de ataque (ASM) é a descoberta, análise, remediação e monitoramento contínuos das vulnerabilidades de cibersegurança e dos possíveis vetores de ataque que compõem a superfície de ataque de uma organização. Ao contrário de outras disciplinas de defesa cibernética, o ASM é conduzido inteiramente da perspectiva do hacker, não da perspectiva do defensor. Ele identifica alvos e avalia os riscos com base nas oportunidades que apresentam a um invasor mal-intencionado.
As organizações dependem de tecnologias orientadas por análise de dados e IA para identificar e responder a ataques potenciais ou em andamento, porque é impossível impedir todos os ataques cibernéticos. Essas tecnologias podem incluir (entre outras) o gerenciamento de informações de segurança e eventos (SIEM), orquestração, automação e resposta de segurança (SOAR) e detecção e resposta de endpoint (EDR). Normalmente, essas tecnologias são usadas como parte de um plano formal de resposta a incidentes.
Os recursos de recuperação de desastres frequentemente desempenham um papel-chave na manutenção da continuidade de negócios no caso de um ataque cibernético. Por exemplo, a capacidade de mudar para um backup hospedado em um local remoto pode permitir que uma empresa retome as operações rapidamente após um ataque de ransomware (e às vezes sem pagar um resgate).
As melhores práticas e tecnologias a seguir podem ajudar sua organização a implementar uma forte segurança cibernética que reduz sua vulnerabilidade a ataques cibernéticos e protege seus sistemas de informação essenciais, sem se intrometer na experiência do usuário ou do cliente:
Agrega e analisa dados de eventos de segurança para detectar automaticamente atividades suspeitas do usuário e acionar uma resposta preventiva ou corretiva.
Hoje, as soluções de SIEM incluem métodos avançados de detecção, como análise do comportamento do usuário e inteligência artificial (IA). O SIEM pode priorizar automaticamente a resposta a ameaças cibernéticas, de acordo com os objetivos de gerenciamento de risco de sua organização.
Muitas organizações estão integrando suas ferramentas de SIEM com plataformas de orquestração, automação e resposta de segurança (SOAR) que automatizam e aceleram ainda mais uma resposta das organizações a incidentes de segurança cibernética, e resolvem muitos incidentes sem intervenção humana.
Define os papéis e privilégios de acesso para cada usuário, bem como as condições sob as quais eles são concedidos ou negados seus privilégios.
As metodologias de IAM incluem login único, que permite ao usuário efetuar login em rede uma vez, sem reinserir credenciais durante a mesma sessão; autenticação multifatorial, que requer duas ou mais credenciais de acesso; contas de usuários privilegiados, que concedem privilégios administrativos somente a determinados usuários; e gerenciamento do ciclo de vida do usuário, que gerencia a identidade e os privilégios de acesso de cada usuário desde o registro inicial até a aposentadoria.
As ferramentas de IAM também podem dar a seus profissionais de segurança cibernética uma visibilidade mais profunda sobre atividades suspeitas em dispositivos de usuários finais, incluindo endpoints que eles não podem acessar fisicamente. Isto ajuda a acelerar a investigação e os tempos de resposta para isolar e conter os danos de uma violação.
Protege informações sensíveis em vários ambientes, incluindo ambientes de multinuvem híbrida.
As melhores plataformas de segurança de dados proporcionam visibilidade automatizada e em tempo real das vulnerabilidades dos dados, bem como monitoramento contínuo que os alerta sobre as vulnerabilidades e riscos dos dados antes que se tornem violações desses mesmos dados; elas também devem simplificar a conformidade com as regulamentações governamentais e industriais de privacidade de dados. Backups e criptografia também são vitais para manter os dados seguros.
Supere ataques com um conjunto de segurança conectado e modernizado. O portfólio de QRadar está incorporado à IA de nível empresarial e oferece produtos integrados para segurança de endpoints, gerenciamento de logs, SIEM e SOAR, todos com uma interface de usuário comum, insights compartilhados e fluxos de trabalho conectados.
A busca proativa de ameaças, o monitoramento contínuo e a investigação profunda das ameaças são apenas algumas das prioridades enfrentadas por um departamento de TI já muito ocupado. Contar com uma equipe de resposta a incidentes confiável à disposição pode reduzir o tempo de resposta, minimizar o impacto de um ciberataque e auxiliar na recuperação mais rápida.
O gerenciamento unificado de endpoints (UEM) orientado por IA protege seus dispositivos, aplicativos, conteúdos e dados. Essa proteção significa que você pode expandir rapidamente sua força de trabalho remota e iniciativas bring your own device (BYOD) enquanto constrói uma estratégia de segurança de zero trust.
Implementadas localmente ou em uma nuvem híbrida, as soluções de segurança de dados da IBM ajudam você a investigar e remediar ameaças cibernéticas, aplicar controles em tempo real e gerenciar a conformidade regulatória.
Proteja proativamente os sistemas de armazenamento primário e secundário da sua organização contra ransomware, erro humano, desastres naturais, sabotagem, falhas de hardware e outros riscos de perda de dados.
Prepare-se melhor para conter as violações entendendo as causas e os fatores que aumentam ou reduzem os custos que elas geram. Aprenda com as experiências de mais de 550 organizações que tiveram seus dados violados.
O SIEM (gerenciamento de eventos e informações de segurança) é um software que ajuda as organizações a reconhecer e lidar com possíveis ameaças e vulnerabilidades de segurança antes que elas possam interromper as operações de negócios.
Conheça a ameaça para vencê-la — obtenha insights acionáveis que ajudam você a entender como os agentes de ameaças estão realizando ataques e como proteger proativamente sua organização.
Entenda seu cenário de cibersegurança e priorize iniciativas juntamente com arquitetos e consultores de segurança sênior da IBM em uma sessão de design thinking virtual ou presencial de 3 horas, sem custo.
O gerenciamento de ameaças é um processo usado por profissionais de cibersegurança para prevenir ataques cibernéticos, detectar ameaças cibernéticas e responder a incidentes de segurança.
Leia o X-Force Threat Intelligence Index para entender o cenário das ameaças e ver recomendações de como reforçar sua estratégia de segurança.
Mantenha-se atualizado sobre as melhores práticas mais recentes para ajudar a proteger sua rede e seus dados.
Atualmente, é fundamental garantir que as pessoas certas possam usar as aplicações ou dados corretos quando for necessário. O IAM permite que isso aconteça. Entenda sobre IAM.
Notas de rodapé
1 O crime cibernético ameaça o crescimento dos negócios. Adote estas medidas para mitigar seus riscos. (link externo a ibm.com).
2 Eliminação da lacuna de 3,4 milhões da força de trabalho em cibersegurança (link externo a ibm.com)
3 Relatório global Ponemon Cost of Insider Threats de 2022 (link externo a ibm.com)
4 Relatório Data Breach Investigations da Verizon de 2023 (link externo a ibm.com)
5 82% dos ataques de ransomware têm como alvo pequenas empresas, revela relatório (link externo a ibm.com)