User's blog

Author: Ramon Ribeiro

  • O dia depois do ataque hacker: saiba o que priorizar na empresa

    O dia depois do ataque hacker: saiba o que priorizar na empresa

    A ocorrência de um incidente de segurança que resulte em uma invasão hacker é, sem dúvida, um dos maiores pesadelos para qualquer empresa hoje. Além do impacto imediato nos negócios, há implicações legais e de reputação que podem perdurar por meses ou até anos. No Brasil, a Lei Geral de Proteção de Dados (LGPD) estabelece uma série de requisitos que as empresas devem seguir após a ocorrência de tais incidentes.

    De acordo com um relatório recente da Federasul – Federação de Entidades Empresariais do Rio Grande do Sul -, mais de 40% das empresas brasileiras já foram alvo de algum tipo de ataque cibernético. No entanto, muitas dessas empresas ainda enfrentam dificuldades para cumprir os requisitos legais estabelecidos pela LGPD. Dados da Autoridade Nacional de Proteção de Dados (ANPD) revelam que apenas cerca de 30% das empresas invadidas declararam oficialmente a ocorrência do incidente. Essa discrepância pode ser atribuída a diversos fatores, incluindo a falta de conscientização, a complexidade dos processos de conformidade e o medo de repercussões negativas na reputação da empresa.

    O dia após o incidente: primeiros passos

    Após a confirmação de uma invasão hacker, a primeira medida é conter o incidente para evitar a sua propagação. Isso inclui isolar os sistemas afetados, interromper o acesso não autorizado e implementar medidas de controle de danos.

    Em paralelo, é importante montar uma equipe de resposta a incidentes, que deve incluir especialistas em segurança da informação, profissionais de TI, advogados e consultores de comunicação. Essa equipe será a responsável por uma série de tomadas de decisões – principalmente as que envolvem a continuidade do negócio nos dias seguintes.

    Em termos de conformidade com a LGPD, é preciso documentar todas as ações tomadas durante a resposta ao incidente. Essa documentação servirá como evidência de que a empresa agiu de acordo com os requisitos legais e poderá ser utilizada em eventuais auditorias ou investigações pela ANPD.

    Nos primeiros dias, a equipe de resposta deve realizar uma análise forense detalhada para identificar a origem da invasão, o método utilizado pelos hackers e o alcance do comprometimento. Este processo é vital não apenas para compreender os aspectos técnicos do ataque, mas também para coletar evidências que serão necessárias para reportar o incidente às autoridades competentes e também à seguradora – caso a empresa tenha realizado um seguro cibernético.

    Há aqui um aspecto muito importante: a análise forense também serve para determinar se os atacantes ainda estão dentro da rede da empresa – uma situação que, infelizmente, é muito comum, ainda mais se após o incidente a empresa estiver sofrendo algum tipo de chantagem financeira mediante a liberação de dados que os criminosos tenham eventualmente roubado.

    Além disso, a LGPD, em seu artigo 48, exige que o controlador de dados comunique à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados afetados acerca da ocorrência de um incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Esta comunicação deve ser feita em prazo razoável, conforme regulamentação específica da ANPD, e deve incluir informações sobre a natureza dos dados afetados, os titulares envolvidos, as medidas técnicas e de segurança utilizadas para a proteção dos dados, os riscos relacionados ao incidente e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

    Com base nessa exigência legal, é essencial, logo após a análise inicial, preparar um relatório detalhado que inclua todas as informações mencionadas pela LGPD. Nisso, a análise forense também ajuda a determinar se houve extração e roubo de dados – na extensão que os criminosos eventualmente estejam alegando.

    Este relatório deve ser revisado por profissionais de conformidade e pelos advogados da empresa antes de ser submetido à ANPD. A legislação também determina que a empresa faça a comunicação clara e transparente aos titulares dos dados afetados, explicando o ocorrido, as medidas tomadas e os passos seguintes para assegurar a proteção dos dados pessoais.

    A transparência e a comunicação eficaz, aliás, são pilares fundamentais durante a gestão de um incidente de segurança. A gestão deve manter uma comunicação constante com as equipes internas e externas, garantindo que todas as partes envolvidas estejam informadas sobre o progresso das ações e as próximas etapas.

    Avaliação das políticas de segurança é ação necessária

    Paralelamente à comunicação com as partes interessadas, a empresa deve iniciar um processo de avaliação e revisão de suas políticas e práticas de segurança. Isso inclui a reavaliação de todos os controles de segurança, acessos, credenciais com alto nível de acesso, bem como a implementação de medidas adicionais para prevenir futuros incidentes.

    Em paralelo à revisão e análise de sistemas e processos afetados, a empresa deve focar, também, na recuperação dos sistemas e na restauração das suas operações. Isso envolve a limpeza de todos os sistemas afetados, a aplicação de patches de segurança, a restauração de backups e a revalidação dos controles de acesso. É essencial garantir que os sistemas estejam completamente seguros antes de serem colocados de volta em operação.

    Uma vez que os sistemas estejam novamente operacionais, é preciso conduzir uma revisão pós-incidente para identificar lições aprendidas e áreas de melhoria. Esta revisão deve envolver todas as partes relevantes e resultar em um relatório final que destaque as causas do incidente, as medidas tomadas, os impactos e as recomendações para melhorar a postura de segurança da empresa no futuro.

    Além das ações técnicas e organizacionais, a gestão de um incidente de segurança requer uma abordagem proativa em relação à governança e à cultura de segurança. Isso inclui a implementação de um programa contínuo de melhorias em segurança cibernética e a promoção de uma cultura corporativa que valorize a segurança e a privacidade.

    A reação a um incidente de segurança exige um conjunto de ações coordenadas e bem planejadas, alinhadas às exigências da LGPD. Desde a contenção inicial e a comunicação com as partes interessadas até a recuperação dos sistemas e a revisão pós-incidente, cada passo é essencial para minimizar os impactos negativos e garantir a conformidade legal. Mais do que isso, é preciso olhar de frente as falhas e corrigi-las – acima de tudo, um incidente deve levar a estratégia de cibersegurança da empresa a um novo patamar.

  • Golpe gerado por IA será desafio da cibersegurança em 2025

    Golpe gerado por IA será desafio da cibersegurança em 2025

    Nos últimos anos, a cibersegurança tem se tornado um tema cada vez mais relevante para as organizações, especialmente diante do aumento significativo dos ataques cibernéticos. Neste ano, o desafio será ainda mais complexo, com o uso da Inteligência Artificial em várias frentes por parte dos criminosos – bem como a crescente complexidade dos sistemas digitais e a sofisticação das técnicas empregadas pelos cibercriminosos.

    As estratégias defensivas precisarão evoluir para lidar com novos desafios, como o aumento significativo na exfiltração de credenciais válidas e a exploração de configurações incorretas em ambientes de nuvem. Dentro dessa perspectiva, elencamos as principais ameaças que deverão tirar o sono dos CISOs em 2025:

    Credenciais válidas serão o alvo principal

    O IBM Threat Intelligence Index de 2024 apontou um aumento de 71% nos ataques visando a exfiltração de credenciais válidas. No setor de serviços, ao menos 46% dos incidentes ocorreram com contas válidas, enquanto na indústria esse número foi de 31%.

    Pela primeira vez em 2024, a exploração de contas válidas se tornou o ponto de entrada mais comum do sistema, representando 30% de todos os incidentes. Isso mostra que é mais fácil para os cibercriminosos roubar credenciais do que explorar vulnerabilidades ou contar apenas com os ataques de phishing.

    Configuração incorreta da nuvem é calcanhar de Aquiles das empresas

    Com tantas empresas utilizando o ambiente cloud, é natural que a complexidade da gestão do ambiente só vá aumentando, bem como os desafios – e a dificuldade em se ter mão de obra especializada.  Alguns dos motivos mais frequentes para violações de dados na nuvem têm a ver com configurações incorretas de ambientes de nuvem: controles de acesso ausentes, buckets de armazenamento que não são protegidos ou implementação ineficiente de políticas de segurança.

    Os benefícios da computação em nuvem precisam ser equilibrados por monitoramento próximo e configurações seguras para evitar a exposição de dados confidenciais. Isso requer uma estratégia de segurança em nuvem para toda a organização: auditoria contínua, gerenciamento adequado de identidade e acesso e automação de ferramentas e processos para detectar configurações incorretas antes que se tornem incidentes de segurança.

    Criminosos vão usar múltiplas técnicas de ataque

    Já se foram os dias em que os ataques atingiam um único produto ou vulnerabilidade. Neste ano, uma das tendências mais alarmantes em segurança cibernética será o uso crescente de ataques multivetoriais e abordagens multiestágio.

    Os criminosos cibernéticos usam uma combinação de táticas, técnicas e procedimentos (TTPs), atingindo várias áreas ao mesmo tempo para violar as defesas. Também haverá um aumento na sofisticação e evasão de ataques baseados na web, ataques baseados em arquivo, ataques baseados em DNS e ataques de ransomware, o que tornará mais difícil para as ferramentas de segurança tradicionais e isoladas se defenderem efetivamente contra ameaças modernas.

    Rasomware gerado por IA vai aumentar ameaças exponencialmente

    Em 2024, o cenário de ransomware passou por uma transformação profunda, caracterizada por estratégias de extorsão cibernética cada vez mais sofisticadas e agressivas. Os criminosos evoluíram além dos ataques tradicionais baseados em criptografia, sendo pioneiros em técnicas de extorsão dupla e tripla que aumentam exponencialmente a pressão sobre as organizações visadas. Essas abordagens avançadas envolvem não apenas criptografar dados, mas exfiltrar estrategicamente informações confidenciais e ameaçar sua divulgação pública, obrigando as vítimas a considerar pagamentos de resgate para evitar potenciais danos legais e de reputação.

    O surgimento de plataformas de Ransomware-as-a-Service (RaaS) democratizou o crime cibernético, permitindo que criminosos menos qualificados tecnicamente lançassem ataques complexos com conhecimento mínimo. Criticamente, esses ataques têm cada vez mais como alvo setores de alto valor, como saúde, infraestrutura crítica e serviços financeiros, demonstrando uma abordagem estratégica para maximizar potenciais retornos de resgate.

    A inovação tecnológica amplifica ainda mais essas ameaças. Os cibercriminosos agora estão aproveitando a IA para automatizar a criação de campanhas, identificar vulnerabilidades do sistema de forma mais eficiente e otimizar a entrega de ransomware. A integração de tecnologias de blockchain de alto rendimento e a exploração de plataformas de finanças descentralizadas (DeFi) fornecem mecanismos adicionais para movimentação rápida de fundos e ofuscação de transações, apresentando desafios significativos para o rastreamento e intervenção das autoridades.

    Ataques de phishing gerados por IA serão um problema

    O uso da IA generativa na criação de ataques de phishing por cibercriminosos está tornando os emails de phishing praticamente indistinguíveis das mensagens legítimas. No ano passado, de acordo com informações da Palo Alto Networks, houve um aumento em 30% nas tentativas bem-sucedidas de phishing quando e-mails são escritos ou reescritos por sistemas de IA generativa. Humanos se tornarão ainda menos confiáveis como uma última linha de defesa e as empresas dependerão de proteções de segurança avançadas e alimentadas por IA para se defender contra esses ataques sofisticados.

    A computação quântica vai gerar um desafio de segurança

    Em outubro passado, pesquisadores chineses disseram ter usado um computador quântico para quebrar a criptografia RSA – método de criptografia assimétrica, utilizado amplamente hoje. Os cientistas usaram uma chave de 50 bits – que é pequena quando comparada às chaves mais modernas de criptografia, geralmente de 1024 a 2048 bits.

    Em teoria, um computador quântico pode levar apenas alguns segundos para resolver um problema que computadores convencionais demorariam milhões de anos, porque as máquinas quânticas podem processar cálculos em paralelo, e não apenas em sequência, como atualmente. Embora os ataques baseados em quantum ainda estejam a alguns anos de distância, as organizações devem começar a se preparar agora. É preciso fazer a transição para métodos de criptografia que possam resistir à descriptografia quântica para proteger os dados mais valiosos.

  • Ameaças complexas inauguram “nova era” para líderes de Cibersegurança

    Ameaças complexas inauguram “nova era” para líderes de Cibersegurança

    O papel do Chief Information Security Officer (CISO) nunca foi tão desafiador e crucial como nos dias de hoje. Com o aumento exponencial das ameaças cibernéticas, que podem causar danos irreparáveis à reputação, à confiança e ao patrimônio das organizações, os CISOs precisam estar preparados para enfrentar um cenário cada vez mais complexo e dinâmico.

    Em 2024, o Brasil registrou um aumento significativo nos ataques cibernéticos. No primeiro trimestre, houve um crescimento de 38% em relação ao mesmo período de 2023, com organizações brasileiras sofrendo, em média, 1.770 ataques semanais. No segundo trimestre, o aumento foi ainda mais acentuado, atingindo 67% em comparação ao ano anterior, com uma média de 2.754 ataques semanais por organização. No terceiro trimestre, o número médio semanal de ataques por organização no Brasil alcançou 2.766, representando um crescimento de 95% em relação ao mesmo período de 2023. Os setores mais visados foram os de finanças, saúde, governo e energia, sendo que os principais tipos de ataques foram ransomware, phishing, DDoS e APTs (Ameaças Persistentes Avançadas).

    Os CISOs têm que se adaptar a esta nova era de ataques cibernéticos sem precedentes – muitas vezes desempenhando várias funções ao mesmo tempo e, no caso do Brasil, gerenciando um cenário de contenção de custos e investimentos em cibersegurança.

    O papel do CISO moderno

    O cargo de CISO é relativamente novo. Ao contrário dos diretores financeiros ou diretores executivos, a função do diretor de segurança da informação não existia oficialmente até meados da década de 1990.

    Além disso, o papel do CISO tem mudado constantemente nas organizações. De acordo com o relatório CISO de 2023 da Splunk, 90% dos entrevistados acreditavam que a função havia se tornado um “trabalho completamente diferente” de quando começaram.

    Se no começo o CISO era responsável pela elaboração de políticas, governança de segurança e implementação de controles mais rudimentares de segurança, o que levava esse profissional a ter uma visão muito mais técnica que gerencial, hoje a lista de atribuições aumentou, e muito. Uma delas, por exemplo, é a função política do cargo: CISOs precisam ter relações de trabalho estreitas com o CEO, o CFO e a área Jurídica da organização. O orçamento da área de Segurança é condição essencial para enfrentar a miríade de ameaças que existem hoje.

    E isso, ainda, é um problema para as empresas no mundo todo, especialmente no Brasil. A complexidade do cenário traz, de um lado, um país com um dos maiores índices de ataques do mundo. Por outro, as incertezas econômicas e a flutuação do dólar (já que a maioria esmagadora das soluções é vendida em moeda estrangeira) faz com que os CISOs tenham que se equilibrar com os recursos disponíveis para garantir a proteção da empresa.

    Bons comunicadores

    Ao contrário de uma imagem muito calcada no estereótipo do técnico no passado, hoje o CISO precisa ter um papel de liderança e ser um bom comunicador para liderar a criação de uma cultura sólida de segurança cibernética dentro da empresa.

    Outro ponto importante é que os CISOs não podem atuar sozinhos na gestão da segurança da informação. Eles precisam contar com o apoio e a colaboração do ecossistema externo, que inclui fornecedores, clientes, parceiros, órgãos reguladores, entidades de classe e comunidades de segurança. Esses atores podem contribuir com informações, recursos, soluções e boas práticas que ajudem o executivo a aprimorar e a fortalecer a segurança da sua organização. Por isso, a comunicação e o relacionamento com o mercado também são fundamentais.

    Segurança precisa partir de uma visão holística

    Não basta ter ferramentas e processos de segurança isolados e reativos. Os CISOs precisam ter uma visão holística e integrada da segurança, que abranja desde a cultura e a conscientização dos colaboradores, até a governança e o alinhamento com os objetivos de negócio.

    A segurança deve ser vista como um elemento transversal e essencial para a continuidade e o crescimento da organização, e não como um custo ou uma barreira. Para isso, os CISOs devem envolver as demais áreas e lideranças da empresa, demonstrando o valor e o retorno da segurança, e estabelecendo políticas e indicadores claros e mensuráveis.

    Senso de urgência é essencial para se antecipar às ameaças

    As ameaças cibernéticas estão em constante evolução e sofisticação, e podem afetar qualquer organização, independentemente do porte ou do segmento. Por isso, é importante estar sempre atento e atualizado sobre as tendências e as vulnerabilidades do mercado, e investir em soluções e metodologias que permitam antecipar-se às ameaças e aos riscos.

    Uma das formas de fazer isso é adotar uma abordagem de segurança por design, que incorpora a segurança desde a concepção até a entrega dos produtos e serviços da organização. Outra forma é realizar testes e simulações periódicas que avaliem a eficácia e a resiliência dos sistemas e dos processos de segurança, e identifiquem oportunidades de melhoria e de mitigação.

    Mesmo que o papel do CISO ainda esteja em transformação, esse profissional é peça-chave para a proteção e a inovação das organizações na era digital. CISOs precisam estar preparados para lidar com um nível sem precedentes de ameaças, que exigem uma gestão da segurança da informação proativa, estratégica e colaborativa.

    Por fim, os CISOs devem ter em mente que a segurança da informação não é apenas uma questão técnica, mas também um fator de competitividade e de valor para os clientes. Aqueles que conseguirem alinhar a segurança com os objetivos de negócio e as expectativas dos stakeholders, e que souberem comunicar os benefícios e os desafios da segurança de forma clara e convincente, serão capazes de construir uma cultura de segurança forte e sustentável na organização, e de contribuir para o seu sucesso e crescimento no cenário digital.