Graças à tecnologia de segurança aprimorada, a maioria dos ataques cibernéticos agora depende de algum elemento de engenharia social para explorar o elo mais fraco, o ser humano.
Phillip Wylie, hacker residente em CyCognito, acredita que os CISOs agora precisam dar um passo para trás e se concentrar no quadro geral quando se trata de segurança. Isso inclui proteger superfícies de ataque internas e externas e testar a segurança desses ambientes, além de educar os funcionários sobre os riscos.
Conversamos com ele para saber mais.
BN: Por que estamos vendo um aumento nos ataques de engenharia social?
PW: A resposta simples é porque a engenharia social funciona. A resposta mais complexa é que, à medida que a lucratividade dos crimes de ransomware e extorsão aumenta e o valor das credenciais de usuário roubadas – PII financeira e IP confidencial também aumentam – os invasores se esforçarão mais para violar todos os itens acima de qualquer maneira que puderem.
Tendências associadas a uma melhor higiene de segurança cibernética para muitas empresas levam os invasores a acabar com as defesas cibernéticas tradicionais. Melhor aplicação de patches, tempos de MTTR reduzidos e superfícies de ataque mais sólidas levarão determinados adversários a ataques baseados em redes sociais.
Um invasor pode se passar por funcionário, cliente ou parceiro de negócios. O objetivo é induzir os usuários a fornecer informações privadas, como credenciais de usuário, acesso à rede ou o número do celular do CFO, para executar um ataque ou realizar uma espécie de reconhecimento social.
Dito isso, muitas das redes sociais ataques de engenharia que vemos hoje são simplesmente um meio para um fim. Esse’final’é convencer um funcionário a clicar ou baixar um arquivo malicioso, para que o invasor possa plantar malware em um sistema de destino ou induzi-lo a compartilhar dados privados.
O elemento humano geralmente é o elo mais fraco em pilha de TI de uma empresa. À medida que as chances de sucesso em outros tipos de ataques diminuem, os ataques baseados em redes sociais aumentam.
BN: O que há de fundamentalmente diferente em um ataque de engenharia social em comparação com qualquer outro tipo de ameaça cibernética?
PW: A engenharia social se concentra nos seres humanos como o vetor de ameaça. Para vulnerabilidades de hardware e software, existem patches de software, atualizações de firmware e maneiras de configurar dispositivos para torná-los menos vulneráveis a ataques. Esses tipos de proteção de segurança preventiva relacionada à TI não se correlacionam com os riscos vinculados à falibilidade do funcionário.
Os humanos são o curinga em sua superfície de ataque interna e externa. Claro, há treinamento de funcionários, soluções de confiança zero, práticas recomendadas e conscientização sobre phishing e outros tipos de ataques de engenharia social. Mas, no final das contas, se alguém encontrar uma unidade USB no estacionamento e conectá-la ao laptop doméstico enquanto estiver conectado à VPN da empresa, simplesmente não há patch para evitar esse comportamento arriscado.
BN: Temos uma enorme pilha de segurança, com praticamente um acrônimo para cada categoria. Existe algo para prevenir ataques de engenharia social?
PW: É difícil eliminar ameaças de engenharia social. Com outros vetores de ameaças, existem tecnologias, processos e procedimentos que podem ser implementados para reduzir esses riscos. Fortalecer sua superfície de ataque externo é um imperativo para garantir que um ataque de engenharia social direcionado a ativos externos não seja bem-sucedido.
Implementar um software de e-mail que proteja contra cliques em links maliciosos é uma aposta de mesa. Os sistemas de usuário final devem ser configurados para usar o acesso menos privilegiado. Se um invasor obtiver acesso a um computador com mais acesso do que o necessário, ele poderá fazer mais e ampliar seus esforços de ataque.
Manter os sistemas atualizados ajuda a reduzir vulnerabilidades que podem ser exploradas por agentes de ameaças por meio de um ataque de base social. As tecnologias de confiança zero, que assumem que cada conexão e endpoint é uma ameaça, também podem ajudar.
Portanto, é realmente uma abordagem em camadas que você precisa adotar.
A infeliz realidade é o número de ferramentas reais baseadas em tecnologia para evitar ataques de engenharia social é limitado.
Principalmente, a redução de riscos do tipo social requer conscientização de segurança que ajuda os funcionários a entender o que é engenharia social e dá exemplos de como ela é aproveitado para lançar um ataque. No entanto, a conscientização de segurança só vai tão longe. O ser humano sempre vai cometer erros. Desenvolver e treinar a equipe nas melhores práticas é um ponto de partida.
BN: Você é um pen tester profissional. Como o teste de penetração pode ajudar a prevenir ataques de engenharia social?
PW: O teste de penetração é importante porque, como testadores de penetração, abordamos nossas avaliações de segurança da mesma forma que um hacker mal-intencionado faria. Essa é a única maneira de detectar todas as vulnerabilidades e, mais importante, as exploráveis, que é o que qualquer agente de ameaça usaria para tentar violar uma organização.
Os testadores geralmente consideram a engenharia social ao criar a segurança cibernética de uma empresa. avaliação de prontidão. Avaliar a taxa de sucesso de ataques de phishing de base social, ataques de iscas, manobras de scareware, pretextos e spear phishing é uma importante métrica de superfície de ataque para um testador de penetração destacar.
BN: Quais etapas os CISOs devem está tomando agora para evitar ataques de engenharia social?
PW: Os CISOs devem usar as etapas acima que mencionei e garantir que suas equipes de segurança trabalhem com os funcionários para enfatizar a conscientização sobre segurança e a educação sobre as ameaças mais recentes.
Os CISOs também não devem punir as pessoas se elas não se saírem bem durante as campanhas de engenharia social e phishing por e-mail. Isso funciona como um impedimento para que os funcionários admitam que foram vítimas de um incidente de phishing. Em vez disso, as equipes de segurança devem recompensar os funcionários por jogarem pelo seguro e alertá-los sobre atividades suspeitas.
Promover uma cultura de segurança é vital dentro de uma empresa. Os funcionários nunca devem ter medo de compartilhar se cometerem um erro e clicarem em algo malicioso.
Também é importante considerar que os ataques de engenharia social são um meio para um fim. Esse “fim” geralmente está vinculado a pontos fracos reais da superfície de ataque externo e interno. Estratagemas maliciosos bem-sucedidos enviados por meio de mensagens (e-mail, texto ou mídia social) e táticas como ataques watering hole dependem de um gerenciamento fraco da superfície de ataque para serem bem-sucedidos.
Aqui é onde o bloqueio básico de segurança cibernética e o combate entram em ação. O processo de teste de penetração, que identifica o caminho de menor resistência para um possível invasor, é uma das melhores maneiras de mitigar os riscos associados a um funcionário que já foi vítima de um invasor.
Os CISOs estão bem serviu para adotar uma abordagem em camadas para se proteger contra ameaças de engenharia social. Primeiro, a etapa é uma autoanálise para determinar qual é a superfície de ataque de engenharia social. Por exemplo, um sistema de saúde terá um perfil totalmente diferente de uma entidade governamental. Isso direcionará as alocações de investimento que eles podem querer fazer em soluções como gerenciamento de superfície de ataque externo, Zero Trust e tecnologias de relatório e conformidade de autenticação de mensagem baseada em domínio (DMARC).
Eu seria negligente se não o fizesse Também não mencionei o teste de penetração como uma das abordagens mais eficazes para prevenir ataques de engenharia social. A avaliação de segurança de um pen tester permitirá que um CISO saiba como um adversário provavelmente tentará se infiltrar em sua organização. Um testador de penetração pode identificar qual sistema ou funcionários você precisa se concentrar em proteger e informar sobre quais tipos de ataques de engenharia social você pode estar sujeito.
Crédito da imagem: tashatuvango/depositphotos.com