Mês de Conscientização sobre Segurança Cibernética: Quatro formas de se proteger online

A maioria das plataformas de e-mail e mensagens já reconhece tentativas de phishing e pode até permitir que você reporte o ataque diretamente na aplicação. Incentive seus colaboradores a avisar a equipe de segurança cibernética da empresa sobre suspeitas de phishing, para que possam monitorar proativamente essas ameaças.

Para agravar o problema do phishing, muitos cibercriminosos já usam inteligência artificial para criar e executar esses ataques. Com a rápida evolução da sofisticação, infelizmente, suas soluções anti-phishing podem falhar, deixando algumas dessas ameaças penetrar na sua segurança digital. Se um e-mail de phishing chegar à sua caixa de entrada, ele provavelmente conterá links para páginas ou arquivos criptografados. Ao clicar no link para acessar esses conteúdos, seus sistemas entram em risco imediato.

Hoje em dia, a maioria dos links da web está criptografada, e as ameaças ocultas no tráfego criptografado podem causar um verdadeiro susto. Você precisa conseguir identificar o que o tráfego contém para se proteger adequadamente. Ao descriptografar o tráfego cifrado em grande escala assim que ele chega ao seu ambiente, além de direcioná-lo e orquestrá-lo por um caminho personalizado através dos seus controles de segurança existentes, você detecta ameaças criptografadas complexas antes que possam causar danos a sua rede e aos seus usuários

Equipes de tecnologia e segurança atuam como defesas eficazes, mas seus colaboradores são sua última linha de proteção caso elas falhem. Equipe-os com três regras simples:

• Reconheça a armadilha. Ensine seus funcionários a desconfiar de qualquer solicitação urgente, como apelos emocionais que anunciam consequências graves e pedem informações comerciais, pessoais ou financeiras. Ou e-mails insistentes de última hora vindos do CEO da sua empresa — que nunca envia e-mails diretamente aos funcionários — solicitando a conta bancária corporativa, números de roteamento, cartão de crédito ou transferências de fundos para contas desconhecidas. Erros de ortografia e gramática ruim antes denunciavam uma tentativa clara de ataque de phishing. Mas ferramentas geradoras de IA estão acessíveis a todos, inclusive criminosos cibernéticos — e com certeza eles as usam para corrigir e deixar mais naturais essas tentativas de ataque de phishing.
• Resista à isca. Treine seus usuários para não clicarem em links ou anexos de tentativas suspeitas de phishing. Se sua equipe usa “confirmações de leitura” em plataformas corporativas de texto ou e-mail, oriente-os a não abrir comunicações suspeitas desde a pré-visualização. Uma simples notificação de leitura dá aos criminosos cibernéticos um retorno sobre quais táticas de comunicação foram eficazes ao ponto de serem abertas, mesmo que não tenham levado a uma violação. Mas se alguém clicar em um link ou anexo que provavelmente esteja criptografado, a F5 Application Delivery and Security Platform (ADSP) oferece suporte. O F5 BIG-IP SSL Orchestrator descriptografa o tráfego criptografado recebido em larga escala, orquestra esse tráfego com base em políticas personalizadas e contextuais, e direciona o fluxo via cadeias de serviços dinâmicas às soluções de segurança certas na sua estrutura para deter a tentativa de phishing rapidamente.
• Jogue no lixo, não faça perguntas. Depois de ensinar seus usuários a reportar ataques de phishing por e-mail ou aplicativos de mensagem para as equipes de segurança da sua empresa, você também precisa reforçar que eles devem apagar a mensagem. Muitos ataques de phishing agora têm botões de “cancelar inscrição” que, na verdade, são armadilhas. É natural querer se descadastrar dessas comunicações, mas seus usuários precisam entender que o botão de apagar pode ser o melhor aliado deles.

Senha forte é um alvo em constante evolução, especialmente com o avanço dos computadores e da IA em gerar ataques de força bruta e reconhecer e prever padrões. As mais recentes recomendações da CISA para senhas fortes são:

• 16 caracteres ou mais
• Totalmente aleatório
• Exclusivo

Hoje, com dezenas ou até centenas de contas e aplicações que exigem senhas, a melhor solução é usar um gerenciador de senhas. Os principais navegadores e sistemas operacionais já oferecem gerenciadores de senhas que criam e armazenam senhas fortes para você. Recomendo tornar o uso obrigatório na sua organização.

Exigir verificação por vários métodos antes de liberar o acesso é o próximo nível de segurança após uma senha forte. A autenticação multifator (MFA) pode envolver digitar um código enviado por texto ou e-mail, usar um aplicativo autenticador que gera códigos aleatórios novos com frequência que você deve inserir para fazer login, ou fornecer dados biométricos, como reconhecimento facial ou impressões digitais. A autenticação de dois fatores deve ser o mínimo para sua organização, mas três fatores oferecem mais segurança.

MFA é apenas uma pequena parte na construção de uma estrutura de segurança de confiança zero, onde nenhum usuário ou dispositivo é confiável por padrão, independentemente da localização. Essa arquitetura de confiança zero deve ir além da verificação da identidade do usuário e se estender ao contexto do acesso dos usuários a cada API e aplicação. Mas criar uma arquitetura de confiança zero exige mais do que apenas proteger o acesso. Você precisa de uma abordagem em camadas para proteger aplicações web, APIs, dados e outros elementos — unindo firewalls de aplicações web (WAF), mitigação de ataques de negação de serviço distribuída (DDoS), estratégias contra bots, descoberta e segurança de APIs, proteção contra ameaças criptografadas, segurança com IA e uso de IA para proteger e inspecionar cada solicitação, aplicar políticas de segurança e mitigar ameaças em seu ambiente híbrido multinuvem, independente do local onde suas aplicações, APIs, dados e outros recursos estejam.

Todo fornecedor de aplicação e API lança atualizações regulares e patches de segurança, e você deve aplicá-los rapidamente. No entanto, o suporte de software e aplicações varia muito conforme o fornecedor. Quase sempre há um atraso entre a identificação da ameaça e o lançamento do patch. E as vulnerabilidades desconhecidas que você nem sabe que existem, mas que podem — e frequentemente acabam — se tornando ataques de dia zero? Com vulnerabilidades críticas surgindo a cada nove horas, tenha certeza de que os atacantes as exploram rapidamente. O que sua empresa deve fazer entre a identificação de uma vulnerabilidade crítica e a chegada do patch do fornecedor?

É aqui que um WAF robusto e o conceito de patch virtual ajudam a bloquear falhas até a liberação do patch de segurança pelo fornecedor. Um WAF fica entre a Internet e suas aplicações web, monitorando e bloqueando o tráfego malicioso.  Quando detectamos uma vulnerabilidade em uma aplicação web, seu WAF oferece um nível inicial de defesa. A forma mais rápida de se proteger contra uma exploração é aplicar um “patch virtual” no WAF até receber a correção no código. Um patch virtual não é uma solução definitiva; é uma regra aplicada pelo WAF que evita a exploração da vulnerabilidade. Embora o patch virtual não atualize o software, ele é crucial para manter seus usuários e dados protegidos e garantir a segurança da sua empresa contra ataques conhecidos.

Outra prática essencial para manter o software atualizado é realizar varreduras regulares para identificar vulnerabilidades conhecidas em aplicações web e software. Essas varreduras devem cobrir as APIs em uso, além das vulnerabilidades e exposições comuns (CVEs) do software, para ajudar você a entender e diminuir o risco potencial. Realizar testes de penetração regulares de forma automatizada também ajuda a detectar fraquezas nas aplicações ou software desatualizado antes que possam ser explorados.