Houve mais de 3.200 comprometimentos de dados nos Estados Unidos em 2023, com 353 milhões de vítimas, incluindo aquelas afetadas várias vezes, de acordo com o US Identity Theft Resource Center (ITRC). Cada uma dessas pessoas pode ser um cliente que decide levar seu negócio para outro lugar como resultado disso. Ou um funcionário que repensa sua posição dentro da sua organização. Isso já deveria ser motivo suficiente para priorizar os esforços de cibersegurança.

No entanto, apesar das empresas globais gastarem dezenas de bilhões de dólares anualmente em cibersegurança, os vazamentos de dados continuam a se proliferar. Por que está sendo tão desafiador mitigar esses riscos cibernéticos? A escala e a variedade dos ataques, a engenhosidade dos cibercriminosos e o tamanho da superfície de ataque corporativa típica possuem algumas das respostas.

Por que os dados significam negócios?

O volume de dados criados globalmente explodiu nos últimos anos, graças à transformação digital. De acordo com uma estimativa, 147 zettabytes foram criados, capturados, copiados e/ou consumidos a cada dia em 2024. Esses dados contêm a chave para desbloquear ideias vitais sobre o cliente, melhorar a eficiência operacional e, em última instância, tomar decisões comerciais melhores. Eles também abrigam segredos comerciais, propriedade intelectual sensível e informações pessoais/financeiras sobre clientes e funcionários, que são altamente monetizáveis no submundo do cibercrime. Isso os coloca em risco tanto de cibercriminosos motivados financeiramente quanto de cibercriminosos alinhados a estados.

De acordo com o ITRC, houve mais de 3.200 vazamentos de dados em 2023 nos Estados Unidos. Esses incidentes podem causar prejuízos financeiros e reputacionais significativos, incluindo:

  • Ações coletivas;
  • Prejuízos à marca;
  • Perda de clientes;
  • Queda no preço das ações;
  • Custos associados a perícias de TI e recuperação;
  • Multas regulatórias;
  • Custos com notificações de vazamentos;
  • Perda de produtividade;
  • Interrupções operacionais.

Quais são as ameaças mais graves aos dados?

Nem todas os vazamentos de dados são deliberadas. Mais de dois terços (68%) dos incidentes analisados pela Verizon no ano passado resultaram de "ações humanas não maliciosas", como um funcionário caindo em um ataque de engenharia social ou enviando acidentalmente informações sensíveis para o destinatário errado. Erros humanos também podem envolver a configuração incorreta de sistemas críticos de TI, como contas em nuvem. Pode ser algo tão simples como não adicionar uma senha forte e única.

No entanto, também é necessário estar atento à ameaça de insiders mal intencionados. Esses ataques costumam ser mais difíceis de identificar, especialmente se a pessoa estiver deliberadamente ocultando evidências de sua transgressão, enquanto ao mesmo tempo consegue utilizar seu conhecimento interno dos processos e ferramentas da empresa. Afirma-se que o custo desses incidentes está aumentando.

Atuando como adversários persistentes e sofisticados, cibercriminosos de nações estatais também constituem uma ameaça constante. Embora eles representem apenas cerca de 7% dos vazamentos (segundo a Verizon), sua chance de sucesso é alta, caso sua organização seja alvo ou acabe sendo impactada indiretamente.

Então, quais são os maiores vetores de ameaça enfrentados pelas organizações?

O phishing e outras tentativas de engenharia social continuam sendo as principais formas de comprometimento. Por quê? Porque os seres humanos continuam sendo criaturas falíveis, que frequentemente caem nas histórias contadas pelos fraudadores. Se esses esforços são direcionados a indivíduos específicos em ataques de spear phishing, as chances de sucesso aumentam ainda mais. Os cibercriminosos podem coletar informações para personalizar essas mensagens a partir das redes sociais, especialmente o LinkedIn.

As cadeias de suprimento podem ser sequestradas de várias maneiras. Cibercriminosos podem usar provedores de serviços em nuvem ou serviços gerenciados (CSPs/MSPs) como um ponto de entrada em várias organizações clientes. Ou poderiam implantar malware em componentes de código aberto e esperar até que sejam baixados. Nos ataques mais sofisticados, podem invadir um desenvolvedor de software e instalar malware dentro de atualizações de software, como ocorreu na campanha SolarWinds.

A exploração de vulnerabilidades continua sendo uma das três principais formas de iniciar ataques de ransomware. Segundo a Verizon, o volume de explorações de vulnerabilidades associadas a incidentes de vazamentos de dados neste ano cresceu 180% em relação a 2023. O grupo de inteligência Five Eyes alertou que o número de vulnerabilidades de zero-day também está crescendo, o que deve ser motivo de ainda maior preocupação, já que são falhas para as quais não há patches de software.

Credenciais comprometidas geralmente são o resultado de uma má gestão de senhas, ataques de phishing bem-sucedidos, grandes vazamentos de dados ou ataques de força bruta a senhas. Elas oferecem uma das maneiras mais eficazes de contornar suas defesas cibernéticas, sem disparar alarmes. A Verizon afirma que o uso de credenciais roubadas apareceu em quase um terço (31%) de todos os vazamentos na última década.

O BYOD continua oferecendo oportunidades para cibercriminosos, já que os funcionários corporativos frequentemente se esquecem de baixar antivírus em seus dispositivos pessoais. Se forem comprometidos, os cibercriminosos podem obter logins para contas corporativas na nuvem, acessar e-mails de trabalho e muito mais.

"Living off the land" é um conjunto comum de técnicas pós-exploração para movimentação lateral e exfiltração, que permitem que um adversário permaneça escondido à vista de todos. Usando ferramentas legítimas como Cobalt Strike, PsExec e Mimikatz, eles podem realizar uma série de funções de uma forma difícil de detectar.

Também devemos mencionar aqui o potencial das ferramentas baseadas em IA para ajudar cibercriminosos. O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) afirmou em 2024 que a tecnologia "quase certamente aumentará o volume e intensificará o impacto dos ciberataques nos próximos dois anos." Isso é especialmente verdadeiro para reconhecimento e engenharia social.

Reagindo aos ataques

Enfrentar o desafio dos vazamentos de dados exige ação em todas as frentes, para reduzir os riscos em uma superfície de ataque que continua a crescer com cada investimento em transformação digital, endpoint de trabalho remoto não corrigido e credencial roubada. Aqui estão algumas ideias para começar:

  • Compreenda a extensão da sua superfície de ataque mapeando continuamente todos os seus ativos de TI;
  • Implemente programas de correção baseada em risco e gerenciamento de vulnerabilidades, incluindo pentests periódicos;
  • Garanta que todas as máquinas e dispositivos corporativos estejam protegidos por software de segurança multilayer;
  • Instale ferramentas de prevenção de perda de dados;
  • Use gerenciamento de dispositivos móveis (MDM) para monitorar todos os dispositivos e garantir que tenham antivírus de um fornecedor confiável;
  • Implemente políticas de senhas fortes e autenticação multifatorial (MFA) em todos os sistemas;
  • Eduque os funcionários sobre como identificar mensagens de phishing e outras áreas críticas de conscientização sobre segurança digital;
  • Crie um plano de resposta a incidentes e faça testes periódicos;
  • Criptografe dados em trânsito e em repouso;
  • Audite fornecedores e parceiros terceirizados;
  • Realize monitoramento de rede/endpoint para receber um aviso antecipado de quaisquer intrusões;
  • Garanta que os sistemas em nuvem estejam configurados corretamente.

Diante de todo este cenário de ameaças no mundo on-line, fica claro que manter nossos dados mais sensíveis sob chave e segredo exige vigilância tanto dos indivíduos quanto das empresas que confiam para proteger suas informações. O impacto regulatório de falhar nesse aspecto pode ser grave, assim como a perda de confiança dos clientes. Mas o oposto também é verdadeiro. Prove que sua empresa é uma cuidadosa guardiã desses dados, e isso pode se tornar um diferencial competitivo poderoso.