BLOG | ESCRITÓRIO DO DIRETOR DE TECNOLOGIA

Mitos comuns de conscientização sobre segurança cibernética

Miniatura de Sam Bisbee
Sam Bisbee
Publicado em 02 de outubro de 2023

Ao entrarmos no Mês de Conscientização sobre Segurança Cibernética , devemos nos preparar para a onda de mitos e conceitos errôneos comuns sobre segurança, muitas vezes amplificados com boas intenções, mas com efeitos ruins. Esses tópicos podem ser controversos até mesmo entre profissionais experientes, por isso adotaremos uma visão baseada em dados e abordaremos a população empresarial mais ampla.

Essa amplitude é frequentemente fonte de desacordo. Cada empresa deve ter suas próprias conversas sobre riscos e perdas aceitáveis, modelos de ameaças aplicáveis e prováveis agentes de ameaças, e como seu ambiente é único. O ponto em comum, porém, são dados, conhecimento especializado e objetividade, não conhecimento tribal, imitação sem compreensão e viés de confirmação e sobrevivência.

Abordaremos "os três grandes": clicar em links em e-mails, usar Wi-Fi público e "juice jacking" ou os perigos do carregamento USB gratuito para telefones.

#1 Clicar em links em e-mail

Remover: Ensine indicadores claros de phishing e golpes, mas conselhos irrealistas como "não clique em links" são improdutivos e até prejudiciais.

A conscientização sobre "uso seguro" é poderosa, ajudando os funcionários a usar melhor a tecnologia e, ao mesmo tempo, abordando problemas comuns, mas anos pedindo às pessoas que mudem comportamentos fundamentais como "não clique em links" não parecem estar funcionando. O Relatório de Investigação de Violação de Dados de 2023 da Verizon cita que 74% de todas as violações incluem o elemento humano (não apenas e-mail) e o Estudo de Insights de Risco de Informação de 2022 do Cyentia Institute classifica o phishing como uma das três principais técnicas de acesso inicial em 18 dos 20 setores (classificado em 4º lugar em Informações e Outros Serviços).

Acidentes acontecem, e até mesmo um funcionário bem-intencionado e treinado clicará em um link malicioso ao longo do tempo. Esse é um dos motivos pelos quais os programas de segurança ainda investem em segurança de e-mail e dispositivos depois de anos persuadindo os usuários a usar o e-mail de forma diferente. Mais preocupante é o tempo gasto neste tópico em treinamentos valiosos de conscientização sobre segurança, causando mais danos ao perder a atenção do público por falta de praticidade.

As empresas devem ser mais resilientes do que um funcionário que clica em um link. Os funcionários podem ajudar, especialmente em reportagens sobre a verdade absoluta ("veja algo, diga algo"), mas mitigar esse risco é responsabilidade das equipes de segurança.

#2 Uso de Wi-Fi público

Remover: O Wi-Fi público é seguro para uso mesmo em contextos empresariais.

Persiste a crença de que o Wi-Fi público é menos confiável ou mais perigoso do que as redes domésticas ou de escritório. No entanto, não há relatos sobre a exploração em massa de Wi-Fi público, inclusive de 2020 a 2022, com o aumento do trabalho remoto. A Comissão Federal de Comércio (FTC) alertou contra o uso de Wi-Fi público em 2011, mas em 2023 atualizou suas orientações para refletir os desenvolvimentos técnicos que tornam seu uso seguro .

Comparativamente, temos roubo de laptops e dispositivos, como crime de oportunidade em um espaço público, um risco mais provável de ser mitigado por investimentos em criptografia de armazenamento, gerenciamento de dispositivos móveis (MDM) e políticas de bloqueio. Um exemplo de subpopulação é a lista arquivada de violações relatadas de informações de saúde protegidas e não seguras que afetaram 500 ou mais indivíduos do Departamento de Saúde e Serviços Humanos, Escritório de Direitos Civis (OCR), mostrando mais de 4,6 mil incidentes de roubo ou perda de um laptop ou outro dispositivo eletrônico portátil desde 2009, afetando mais de 345 milhões de indivíduos.

Enquanto isso, o tráfego de rede local continua sua tendência de segurança:

  • O Relatório de Transparência "Criptografia HTTPs na Web" do Google mostra mais de 90% do tráfego criptografado no Google e ampla adoção de tráfego criptografado por sistemas operacionais como Windows e Mac.
  • Estatísticas do Let's Encrypt sobre a porcentagem de páginas da Web carregadas pelo Firefox usando HTTPS da Telemetria do Firefox da Mozilla mostram que ~80% do tráfego de usuários globais é criptografado e ~90% do tráfego de usuários dos EUA e do Japão é criptografado.
  • O Relatório de Transparência "Criptografia de e-mail em trânsito" do Google mostra que mais de 90% dos e-mails enviados e recebidos pelo Google (Gmail) são criptografados.
  • A funcionalidade de segurança do DNS ainda tem desafios de adoção que são de certa forma atenuados pelo forte suporte de criptografia para tráfego de aplicativos e pela onipresença de VPN e equivalentes para tráfego gerenciado empresarial. A adoção do DNSSEC é baixa (~5% dos domínios .com protegidos de acordo com o DNSSEC Scoreboard da Verisign ), mas decolou em 2020 e tem apresentado crescimento sustentado. Da mesma forma, o DNS sobre HTTPS (DoH) é suportado por sistemas operacionais e navegadores.

A menos que o dispositivo tenha serviços de rede, o que deve ser uma exceção extrema para dispositivos de usuários, o Wi-Fi público apresenta pouco ou nenhum risco exclusivo em comparação a qualquer outra rede Wi-Fi. Para aqueles que adotam uma abordagem de confiança zero, o Wi-Fi público é um excelente exemplo de nunca confiar na rede, tanto em redes públicas quanto privadas.

#3 "Juice jacking" ou os perigos do carregamento USB gratuito para telefones

Remover: Esse ataque foi comprovado em vários modelos de telefone, mas não há dados confirmados que sugiram seu uso, e a mitigação para o usuário é de baixo custo, então geralmente é seguro usar um carregador USB gratuito em caso de emergência.

Embora haja momentos em que você queira evitar estações de carregamento USB, como deixar seu telefone sem vigilância e correr o risco de ser roubado ou em uma conferência de segurança onde "demonstrações" desses ataques são mais prováveis, não há dados confirmados que sustentem a amplificação que o "juice jacking" obtém.

Para aqueles preocupados com esse risco, a mitigação tem baixo custo tanto para o empregador quanto para o empregado:

  1. Use adaptadores de tomada elétrica para carregamento USB e pequenos pacotes de bateria de celular que se tornaram itens de mão padrão, especialmente para viajantes a negócios.
  2. Selecione "carregar somente" se o telefone perguntar se você deseja "compartilhar dados" ou "confiar neste computador" ou algo semelhante ao conectá-lo ao USB.
  3. Se o risco do usuário for avaliado como significativamente maior, considere investir em carregadores e cabos especiais que bloqueiem ou não transportem dados.

O maior risco das estações de carregamento USB gratuitas é que o dispositivo seja deixado sem supervisão e alguém o leve embora. Novamente, o investimento das empresas em gerenciamento de dispositivos e aplicação de higiene geralmente são mitigações razoáveis.

Por que aumentar a conscientização sobre esses tópicos é ruim? Mais conscientização não é sempre bom?

A segurança normalmente recebe pouca ou nenhuma atenção positiva dos colegas de trabalho e o treinamento obrigatório da empresa não desperta entusiasmo. Esses momentos preciosos e primeiras impressões são alguns dos recursos mais caros que as equipes de segurança têm.

Na melhor das hipóteses, qualquer tempo gasto em material que não seja crítico, relevante, impreciso ou irrealista é um desperdício. Na pior das hipóteses, as equipes de segurança perdem seu público e não receberão atenção na próxima vez, não importa quão crítica seja sua mensagem.

A questão macro é por que mitos e conceitos errôneos como esses persistem. Parte do problema é humano, como mencionado no início do artigo.

A outra parte é estrutural, quando conceitos errôneos como esses são incluídos em estruturas de conformidade e acordos comerciais. Essas prescrições raramente envelhecem bem, especialmente quando escritas com especificidade que não é atualizada com a tecnologia. Isso faz com que os programas de segurança implementem requisitos desatualizados ou míticos, que são adotados por suas equipes e levados para o próximo empregador. Esse conhecimento infectado é pior que malware.