artigo - isaca.org · aumentando assim a taxa de sucesso dos ataques. na realidade, muitos dos...
TRANSCRIPT
1 ISACA JOURNAL VOLUME 3, 2015
Artigo
O ecossistema dos crimes cibernéticos está se
alterando radicalmente. A evolução de algumas
das principais tecnologias e o aumento da
disponibilidade de malwares poderosos permitem
que criminosos cibernéticos adotem uma
mentalidade comercial. Nos últimos anos, vários
casos de APTs (ameaças persistentes avançadas) e
de violação de dados aconteceram, envolvendo as
maiores e mais proeminentes empresas, chamando,
portanto, a atenção da mídia. Esses cenários
representam apenas os problemas de crimes
cibernéticos conhecidos, pois, muito provavelmente,
muitos ataques ainda não foram detectados nem
revelados ao público. Desse ponto de vista, 2014
foi um ano crítico: grandes empresas, como
Sony, JP Morgan Chase, Target e muitas outras,
sofreram ataques cibernéticos que tiveram sérias
consequências para elas e para seus clientes.
Com base na análise dessas novas estratégias de
ataque, ficou evidente que, mais frequentemente,
os criminosos cibernéticos têm procurado
estabelecer uma posição dentro de redes
corporativas tirando proveito de vulnerabilidades
e, a partir disso, expandindo lateralmente o
perímetro comprometido e assumindo o controle
de outros sistemas na empresa alvo para obter
acesso a informações cruciais. Além disso, a
primeira fase do ataque quase sempre envolve a
manipulação do comportamento dos funcionários
por meio de técnicas de engenharia social.
O fatOr humanO cOmO parte necessária da segurança da infOrmaçãOHistoricamente, funcionários têm sido a fonte da
maioria dos problemas de segurança ocorridos nas
organizações. O primeiro aspecto está relacionado
a ameaças internas, o que significa qualquer
funcionário descontente, mal-intencionado ou sem
escrúpulos (bem como ex-funcionários, consultores
e parceiros de negócios) que possa tirar vantagem
do conhecimento interno de informações ou
sistemas com a intenção de prejudicar a empresa.
Além da tradicional ameaça interna, também
é necessário ter cuidado com funcionários
descuidados e é sobre eles que falaremos neste
artigo. Esse indivíduo, influenciado por um ataque
de engenharia social, pode colocar as informações
corporativas em risco ao executar uma ação
maliciosa sem perceber. Criminosos cibernéticos
compreendem que técnicas de engenharia
social podem ser utilizadas para manipular suas
vítimas a fim de obter informações sigilosas para
convencê-las a executar determinadas operações,
aumentando assim a taxa de sucesso dos ataques.
Na realidade, muitos dos casos recentes
de violação de dados podem ser considerados
exemplos desse cenário. A violação de dados
da ICANN se originou de um ataque de "spear
phishing", que permitiu que os criminosos
obtivessem acesso a informações de usuários
no sistema de dados da zona centralizada.1
De acordo com as investigações realizadas sobre
o ataque do Carabank, que envolveu diversos
bancos em diferentes países, os funcionários
foram alvos de ataques de engenharia social, o
que permitiu a disseminação do "malware".2
Pesquisas confirmam que o fator humano é
o elo fraco na cadeia de segurança de TI. Por
exemplo, foi demonstrado que a oferta de um
prêmio de US$ 1 é suficiente para convencer uma
grande porcentagem de usuários a fazer download
e executar um software potencialmente malicioso,
ignorando o costumeiro aviso de segurança.3
Erro humano ou comportamento inadequado
estão frequentemente relacionados à falta de
percepção de riscos associada a fatores não
racionais, como experiência pessoal e atitude
psicológica, especialmente em casos de pouca ou
falta de conscientização. Esse fato é confirmado
pela prática de "phishing", que continua sendo
uma das armas mais eficazes de engenharia social,
mesmo dentro de um contexto em que ataques
cibernéticos evoluem constantemente e ficam
mais sofisticados.4
Por todos esses motivos, não é mais possível
limitar a GEIT (Governança e gestão corporativas
de TI) a questões apenas tecnológicas. No passado,
seguir as melhores diretrizes era suficiente para
manter um nível adequado de segurança ao adquirir
novos aparelhos e configurar sistemas. Violações
de dados e outras ameaças eram somente uma
possibilidade remota para empresas.
roberto puricelli, cism,
é consultor de segurança
sênior de ICT (Tecnologia
da informação e de
comunicações) da CEFRIEL,
uma empresa de inovações
do Politecnico di Milano.
Ele possui experiência
em diversas áreas de
segurança da informação,
incluindo avaliação de
vulnerabilidade, testes
de penetração, aplicativo
Web, segurança móvel
e análise de risco. Além
disso, ele está envolvido
em pesquisas de ameaças
de nova geração, com foco
específico em ataques de
engenharia social. Portanto,
ele contribuiu para o
desenvolvimento de uma
metodologia específica
que visa mensurar o
risco relacionado.
Engenharia social: uma ameaça subestimada na governança e gestão de segurança de TI
2ISACA JOURNAL VOLUME 3, 2015
Infelizmente, essa não é a realidade atual. A questão não
se resume aos profissionais de segurança de TI de empresas
visadas terem implantado os melhores processos, tecnologias e
soluções (estar em conformidade total com práticas e padrões
do setor). Em vez disso, o fato relevante é que essas medidas
de segurança não são mais suficientes. Os ataques de segurança
dependem cada vez mais de vulnerabilidades humanas,
portanto, é fundamental ampliar a governança de segurança
de TI para incluir o fator humano em análises e avaliações
de riscos corporativos. Para fazer isso de maneira eficiente, é
crucial compreender e mensurar o risco real, bem como propor
contramedidas eficazes e personalizadas para mitigá-lo.
cOmO avaliar O fatOr humanOAs atuais abordagens de segurança e gestão de riscos de TI
tendem a subestimar, ou até ignorar, o fator humano nos
modelos de avaliação, ferramentas, processos e estrutura
jurídica. Como envolver os funcionários em uma avaliação
é uma abordagem relativamente inovadora, além de ser
considerada arriscada, planejar a avaliação de maneira
adequada é de fundamental importância. Primeiramente, os
departamentos de TI e de segurança não são os únicos atores
a definir a avaliação, pois pessoas são os alvos. Portanto, é
necessário envolver todas as partes interessadas relevantes,
como os departamentos de RH (recursos humanos), jurídico
e de comunicação, para explicar as ameaças, compartilhar
os objetivos, definir o escopo da avaliação e obter o
comprometimento de todos. Além disso, há muitas questões e
requisitos éticos que precisam ser levados em consideração ao
realizar uma avaliação do fator humano.5
Ataques de engenharia social significam que um
funcionário é manipulado para violar uma política. Apesar
de os criminosos serem inescrupulosos e tentarem efetuar os
ataques, as empresas precisam seguir importantes limitações
éticas e jurídicas, em particular, garantindo o respeito à
relação de confiança entre empregado e empregador e
evitando invadir a esfera pessoal do funcionário. Além disso, é
necessário considerar as estruturas jurídicas trabalhistas, que
são radicalmente diferentes entre os EUA e a Europa, onde
os funcionários são protegidos de qualquer interferência por
parte do empregador. Por exemplo, na Itália, a lei proíbe que
o empregador monitore o comportamento dos funcionários.
Portanto, em uma avaliação, não é possível revelar os detalhes
de usuários únicos que possam estar envolvidos em um
ataque. Apesar dessas limitações e da presença de algum risco
legal e ético, o interesse por este tópico está aumentando,
mesmo na Europa.
Desde 2010, avaliações de diversas empresas europeias
de grande porte, que estão tentando superar dificuldades
relacionadas a esse tipo de atividade, resultaram no
desenvolvimento da metodologia Avaliação de vulnerabilidades
sociais.6 O objetivo dessa avaliação é testar o comportamento
humano durante uma simulação de ataque de "spear-phishing",
na qual o criminoso tenta ludibriar os usuários (ou seja, os
funcionários da empresa) para que executem ações que possam
colocar os ativos da empresa em risco, por exemplo:
1. Fazer com que o funcionário clique em um link dentro de
um e-mail, visite um possível site malicioso, expondo assim
a empresa a um ataque infeccioso.
2. Fazer com que o funcionário insira determinadas
informações solicitadas em um formulário de um site,
fornecendo assim informações cruciais como credenciais
da empresa.
Utilizando um site controlado e monitorando o
comportamento dos usuários, é possível avaliar a
probabilidade de que eles caiam nessas armadilhas. Também
é possível estimar o nível de exposição da empresa a ataques
tecnológicos por meio de uma campanha de simulação de
"phishing" (por exemplo, identificando serviços desatualizados
que possam ser explorados por "fingerprinting" do sistema).
Qual é O riscO real?Foi realizado um número significativo de avaliações que utilizam
a metodologia Avaliação de vulnerabilidades sociais em grandes
empresas (com mais de 12.000 funcionários) para tentar
compreender (ou pelo menos ter uma ideia) o nível de risco.
Na maioria das avaliações, foi realizada uma campanha
de "spear-phishing" que utiliza iscas genéricas (isto é,
relacionadas a tópicos gerais que possam ser atrativos para
usuários, como ofertas especiais ou descontos). A maioria
dos ataques foi apenas levemente contextualizada na
empresa em questão (por meio de cores, logotipos, modelos
e estilos apropriados de comunicação). Em alguns casos,
foi utilizada uma referência à empresa específica (com base
em informações disponíveis publicamente). Mas isso não
influenciou os resultados de maneira significativa.
• Saiba mais, discuta e colabore com GEIT (Governança corporativa de TI), gestão de riscos e avaliação de riscos no Centro de Conhecimento.
www.isaca.org/knowledgecenter
Está gostando deste artigo?
3 ISACA JOURNAL VOLUME 3, 2015
Figura 1 mostra uma comparação dos resultados das
avaliações, exibindo a taxa de sucesso de cada uma das duas
etapas descritas anteriormente para a amostra envolvida no
teste: porcentagem de funcionários que clicaram em um
link dentro de um e-mail no eixo X e porcentagem dos que
inseriram credenciais da empresa no eixo Y. Cada círculo
representa uma avaliação feita em uma empresa. O raio
representa o tamanho da empresa e a cor representa o setor
de atuação da empresa. A média dos resultados é bastante
impressionante e confirma que ataques de "spear-phishing"
funcionam muito bem. Nessas avaliações, um em cada três
funcionários (34%) clicou no link em um e-mail de "phishing"
e um em cada cinco (21%) também inseriu credenciais da
empresa no formulário do site.
Os resultados são ainda mais impressionantes quando
correlacionados ao fator temporal. De acordo com esses
resultados, uma campanha de "phishing" se caracteriza por
um comportamento impulsivo do funcionário que provoca
um rápido aumento da taxa de sucesso do ataque nas fases
iniciais, alcançando 50% de taxa de eficiência apenas nos
primeiros 20 minutos. Isso significa que o período disponível
para uma reação eficaz da equipe de segurança de ICT
(Tecnologia da informação e de comunicações) é muito
curto. Especialmente em grandes empresas, parece que não
há processos formalizados que permitam contramedidas com
base em relatórios dos usuários. Além disso, frequentemente
os funcionários parecem não saber bem como relatar
incidentes de segurança.
Outro ponto interessante é que todos os funcionários estão
sujeitos a essas ameaças. Parece não haver muitas diferenças ao
analisar os resultados por idade, localização, departamento ou
cargo. Até a gerência e os executivos frequentemente são muito
vulneráveis. Em geral, foi observado que quanto mais alto for
o cargo, menor a exposição, mas a porcentagem de gerentes
ludibriados não é marginal, gerando alguns problemas que
devem ser considerados do ponto de vista de gestão de riscos.
Por fim, por meio de técnicas de "fingerprinting", foram
coletadas informações sobre o nível de segurança dos
dispositivos utilizados para acessar sites na Internet
(as estações de trabalho dos usuários) e foram encontradas
vulnerabilidades com alto nível de exposição a ataques
tecnológicos. Isso significa que utilizar uma combinação de
figura 1 — comparação dos resultados de avaliações de vulnerabilidades sociais
Fonte: CEFRIEL. Reimpresso com permissão.
Clique no link do e-mail (% da amostra)
Inse
rção
de
cred
enci
al
(% d
a am
ostra
)
50%
40%
30%
20%
10%
0%0% 10% 20% 30% 40% 50% 60% 70%
Bancário/Finanças/Seguros
Energia/Multiutilitário
Administração Pública
Manufatura
Tamanho da empresa (qualitativo)
4ISACA JOURNAL VOLUME 3, 2015
exploração de negligências, códigos de malware e técnicas
personalizadas de ofuscação (porém simples) permite superar
as contramedidas tecnológicas de uma empresa e obter
acesso privilegiado à sua rede interna, exatamente o objetivo
principal dos criminosos cibernéticos modernos.
cOmO mitigar Os riscOsDo ponto de vista da governança de segurança de
informações, o objetivo final de incluir o fator humano em
avaliações de vulnerabilidades é identificar formas adequadas
de mitigação. As contramedidas mais eficazes contra os riscos
destacados são conscientização e treinamento, que ajudam a
melhorar a cultura
de segurança dos
funcionários.
Infelizmente,
nem sempre
os programas
tradicionais de
conscientização
são eficientes,7 com
base no fato de que
alguns desses testes foram realizados logo após a implantação
de um programa de conscientização. Nesses casos, não foram
encontradas variações significativas em relação aos resultados
médios. Ou, pelo menos, a eficácia dos programas de
conscientização normalmente não é mensurada.
Crimes cibernéticos possibilitados por engenharia social
são ameaças que podem ser facilmente compreendidas por
pessoas sem conhecimento técnico e ter uma indicação
quantitativa do risco pode permitir que haja mais
comprometimento e orçamento para ações corretivas.
Uma medição objetiva também permite priorizar os alvos de
treinamento. Além disso, a repetição da avaliação antes e após
programas de treinamento pode ajudar a determinar a eficácia
dos programas de conscientização.
O problema real é saber como criar programas de
treinamento duradouros que possam aumentar efetivamente
o nível de segurança da empresa e como manter esse nível
elevado.8, 9 Os programas tradicionais de conscientização
nem sempre são bem-sucedidos porque os usuários podem
não estar motivados a aprender e prestar atenção a diferentes
sinais de comunicações falsas em seu cotidiano.
O fator-chave é descobrir a maneira certa de aumentar
a conscientização. As tentativas mais promissoras estão
relacionadas à utilização de elementos visuais, como vídeos,
infográficos ou pílulas de informação para estimular as
pessoas. Além disso, a "ludificação" é uma das tendências
mais promissoras. Recompensas, envolvimento social e
feedback direto no cotidiano de trabalho podem ajudar,
mesmo que a estratégia correta dependa de diferentes fatores
que devem ser cuidadosamente explorados.
a estratégia de gestãO de riscOs de engenharia sOcial
O fator humano, em especial o aspecto da engenharia social,
é uma vulnerabilidade relevante nos sistemas de empresas.
Essa área específica de risco quase sempre é subestimada e
difícil de gerenciar. Os funcionários podem ser as vítimas desses
ataques com base em engenharia social, pois eles não têm o
treinamento necessário sobre essas ameaças, nem a capacidade
de reconhecer quais tipos de sites ou anexos de arquivos são
seguros para se abrir. É fundamental desenvolver uma estratégia
que inclua esse risco específico relacionado ao fator humano
nos processos de governança de segurança de TI.
O COBIT® 5 também considera fatores e comportamentos
humanos como elementos essenciais (ainda que
frequentemente subestimados) para o desenvolvimento de
uma abordagem holística para GEIT.10 Avaliações voltadas
para o fator humano agregam uma métrica eficaz para
mensurar o nível de realização da meta de segurança de
informações. É essencial estabelecer boas práticas com
a finalidade de corrigir, estimular e manter a cultura de
segurança em toda a empresa. Em particular, comunicação e
conscientização e treinamento de segurança são atividades que
devem ser realizadas corretamente para aumentar sua eficácia.
A aplicação de uma abordagem holística nesse sentido
pode ser difícil. Uma solução deve incluir mais colaboração
interna das partes interessadas dos departamentos envolvidos.
Isso pode ser alcançado transferindo, de uma forma
simples com resultados objetivos e números mensuráveis, a
percepção do risco real para funções não tecnológicas, como
os departamentos de comunicação e RH. Essa colaboração
também pode ser valiosa para redefinir o planejamento de
investimentos a fim de contrastar os riscos destacados e
introduzir orçamentos compartilhados (não apenas de TI) com
relação ao fator humano e às atividades de segurança, pois as
ações mudam do campo tecnológico para o de RH.
A colaboração entre departamentos pode ajudar empresas
a definir e implantar programas que permitam efetivamente a
melhoria da governança da segurança de informações.
”“O objetivo final de incluir o fator
humano em avaliações de vulnerabilidades é identificar formas adequadas de mitigação.
5 ISACA JOURNAL VOLUME 3, 2015
cOnclusãOAtualmente, não é possível alcançar um nível adequado de
segurança de ICT apenas com contramedidas tecnológicas,
pois os modernos ataques cibernéticos conseguem superar
todas as camadas de defesa explorando o fator humano
por meio de técnicas de engenharia social. Os resultados
discutidos neste artigo confirmam que funcionários podem ser
ludibriados a executar ações perigosas que podem colocar suas
empresas em risco. Portanto,
para mitigar esses riscos, as
empresas devem desenvolver
uma estratégia voltada para a
compreensão da extensão real
do problema e a promoção de
ações eficazes.
Está se disseminando cada
vez mais a ideia de que as
empresas precisam avaliar
seus funcionários para que
o nível real de risco seja identificado. Devido à criticalidade
dessa etapa, por conta de questões éticas e normativas,
as empresas devem utilizar uma metodologia específica e
personalizada que possa medir a eficácia em potencial de um
ataque de engenharia social. Com a aplicação eficaz de tal
metodologia específica, comprovou-se que os resultados são
úteis para obter o comprometimento da gerência sênior para
implementar ações de mitigação relacionadas, principalmente,
ao treinamento de funcionários.
Na realidade, para aumentar a conscientização a fim de
mitigar riscos, os investimentos não devem se concentrar apenas
em educação tradicional, mas também na experimentação de
formas inovadoras de conscientização. Isso seria muito útil para
alterar de maneira eficaz a cultura empresarial, contribuindo
assim para a elevação de seu nível de segurança geral.
nOtas 1 ICANN, “ICANN Targeted in Spear Phishing Attack.
Enhanced Security Measures Implemented,” 16 de
dezembro de 2014, https://www.icann.org/news/
announcement-2-2014-12-16-en
2 Kaspersky Lab, “The Great Bank Robbery: The Carbanak,”
Securelist, 16 de fevereiro de 2015, APT, http://securelist.
com/blog/research/68732/the-great-bank-robbery-the-
carbanak-apt/
3 Guanotronic, “It’s All About The Benjamins: An Empirical
Study on Incentivizing Users to Ignore Security Advice,”
http://guanotronic.com/~serge/papers/fc11.pdf
4 Dhamija, R.; et al.; “Why Phishing Works,” Proceedings of
the SIGCHI Conference on Human Factors in Computing
Systems, Abril de 2006, www.cs.berkeley.edu/~tygar/
papers/Phishing/why_phishing_works.pdf
5 Mouton, F.; et al.; “Social Engineering From a Normative
Ethics Perspective,” Information Security for South Africa
(ISSA), Johanesburgo, África do Sul, 2013, http://icsa.
cs.up.ac.za/issa/2013/Proceedings/Full/77/77_Paper.pdf
6 Brenna, R.; et al.; CEFRIEL, “Social Driven Vulnerability,”
Technology, Fevereiro de 2014, www.slideshare.net/
CEFRIEL/social-driven-vulnerability-english-version
7 Kumaraguru, P; et al.; “Teaching Johnny Not to Fall
for Phish,” Journal ACM Transactions on Internet
Technology, 2010
8 Kumaraguru, P.: et al.; “Lessons From a Real World
Evaluation of Anti-phishing Training,” APWG eCrime
Researcher’s Summit, Janeiro de 2008
9 Caputo, D.; et al.; “Going Spear Phishing: Exploring
Embedded Training and Awareness,” Security and Privacy,
IEEE, vol. 12, iss. 1, 23 de agosto 2013
10 ISACA, COBIT® 5, EUA, 2012, www.isaca.org/cobit
”
“As empresas devem desenvolver uma estratégia voltada para a compreensão da extensão real do problema e a promoção de ações eficazes.