Um total de três quartos das violações de dados no ano passado (74%) envolveu o elemento humano, causado principalmente por funcionários que caíram em ataques de engenharia social ou cometeram erros, com alguns fazendo uso indevido de seu acesso de forma maliciosa.
Incidentes de engenharia social têm quase dobrou desde o ano passado para responder por 17% de todas as violações, de acordo com o Relatório de investigações de violação de dados de 2023 (DBIR) da Verizon, divulgado em 6 de junho (que analisou mais de 16,312 incidentes de segurança, dos quais 5,199 foram violações de dados confirmadas). O relatório observou que essa preponderância da falácia humana nos incidentes vem junto com descobertas de que o custo médio de um ataque de ransomware dobrou desde o ano passado, alcançando a faixa dos milhões de dólares. As evidências reunidas apontam para uma grande necessidade de as organizações controlarem os fundamentos da segurança - ou então enfrentarão um ciclo crescente de inflação quando se trata de custos de violação de dados.
Chris Novak, diretor administrativo de consultoria de segurança cibernética da Verizon Business, observou que, para controlar a tendência, as organizações precisam se concentrar em três coisas: higiene da segurança dos funcionários, implementação de verdadeira autenticação multifatorial e colaboração entre organizações em inteligência de ameaças. A primeira é talvez a questão mais impactante, disse ele.
“Os fundamentos precisam melhorar e as organizações precisam se concentrar na higiene cibernética”, disse ele, durante um evento para a imprensa em Washington DC. “É provavelmente a recomendação menos sexy que posso dar a você, mas é uma das coisas mais importantes que vemos nas organizações ainda ausentes, e de todas as formas e tamanhos. E geralmente é porque eles querem se concentrar na nova tecnologia chamativa do setor e esquecem o básico.”
Atacantes externos motivados financeiramente apostam na engenharia social
Além da engenharia social crescer em volume, a quantia média roubada desses ataques atingiu US$ 50,000 no ano passado, de acordo com o DBIR. No geral, foram 1,700 incidentes que caíram no balde de mídia social, 928 com divulgação de dados confirmada.
Phishing e “pretextos”, ou seja, personificação do tipo comumente usado em ataques de comprometimento de e-mail comercial (BEC), dominou a cena da engenharia social, segundo o relatório. Na verdade, os truques de pretexto quase dobraram desde o ano passado e agora representam 50% de todos os ataques de engenharia social.
Os analistas da Verizon descobriram que a grande maioria dos incidentes de engenharia social foram conduzidos por agentes de ameaças externas com motivação financeira, que estiveram envolvidos em 83% das violações. Em contraste, as ameaças internas representaram cerca de um quinto dos incidentes (19%, tanto maliciosos quanto inadvertidos) e as ações patrocinadas pelo estado (geralmente envolvendo espionagem em vez de ganho financeiro) estiveram envolvidas em menos de 10% do tempo.
Além disso, os atores externos seguiram os clássicos quando se tratava de obter acesso inicial às organizações, com os três principais caminhos sendo o uso de credenciais roubadas (49% das violações); phishing (12%); e exploração de vulnerabilidades (5%).
Não é de admirar que o relatório tenha descoberto que três quartos dos dados comprometidos em ataques de engenharia social no ano passado eram credenciais para alimentar ataques adicionais (76%), seguidos por informações organizacionais internas (28%) e dados pessoais.
Ransomware ainda não atingiu uma parede em crescimento
Qual é o jogo final para esses engenheiros sociais? Muitas vezes, é uma resposta fácil de adivinhar: ransomware e extorsão. É a mesma história dos últimos anos e, de fato, os eventos de ransomware se mantiveram estáveis no relatório deste ano em termos de parcela de violações, respondendo, como no ano passado, por cerca de um quarto dos incidentes no geral (24% ). Isso pode parecer uma boa notícia do lado de fora, mas o relatório observou que a estatística realmente vai contra a sabedoria convencional de que o ransomware, mais cedo ou mais tarde, atingirá um muro graças a organizações que se preocupam com as defesas, entidades que se recusam a pagar, ou escrutínio da aplicação da lei.
Nada disso parece ter movido a agulha - e, de fato, ainda há muitas vantagens para o ransomware daqui para frente, observou o relatório, já que não atingiu um nível de saturação.
“O fato de quase um quarto das violações envolver uma etapa de ransomware continua sendo um resultado impressionante”, diz o relatório. “No entanto, prevíamos que o ransomware logo atingiria seu teto teórico, o que significa que todos os incidentes que poderiam ter ransomware, teriam. Infelizmente, ainda há espaço para crescimento.”
No geral, motivos financeiros impulsionaram 94.6% das violações no ano, com ransomware presente em 59% delas. Um total de 80% dos incidentes de invasão do sistema envolveu ransomware, de acordo com o DBIR, e 91% das indústrias têm o ransomware como uma de suas principais variedades de incidentes.
A a economia do ransomware também continua a se profissionalizar, De acordo com o relatório. Quanto aos atores externos responsáveis pela maioria das violações, a maioria era ligada ao crime organizado; ransomware, de fato, representou 62% de todos os incidentes relacionados ao crime organizado.
Lutando contra a crescente onda de ransomware e violações
Para evitar um maior crescimento do ransomware e conter a onda de violações em geral, Novak, da Verizon, diz que as organizações podem se concentrar em etapas razoavelmente alcançáveis, visto que a engenharia social é um eixo para ambos. Ou seja, além de incentivar a higiene básica de segurança e a conscientização por parte dos funcionários, as organizações também precisam avançar com o MFA e se concentrar em aprimorar uma série de parcerias de segurança cibernética.
Quando se trata de MFA, ele disse que abandonar a autenticação simples de dois fatores usando senhas de uso único, em favor de autenticação forte como FIDO2, vai mudar o jogo. O FIDO2 apresenta desafios de autenticação ao usuário por meio de um navegador, que adiciona contexto sobre o desafio e o entrega a um autenticador FIDO2 anexado, que permite a detecção de espionagem man-in-the-middle e muito mais.
“Se pudermos dar passos significativos nisso, acho que podemos derrubar substancialmente muitas das violações [básicas] do umbigo em termos de envolvimento do fator humano”, disse Novak. “Precisamos procurar outros mecanismos para fazer uma forte autenticação mútua ou multifatorial”.
Mesmo assim, ele disse: “Acho que não estamos nem perto de onde gostaríamos de estar no FIDO2. Mas acho que o maior desafio que realmente enfrentamos na adoção em larga escala é mudar o comportamento humano. Dizemos 'Olha, faça isso e você protegerá seus dados, protegerá seus sistemas e protegerá seu negócio, seu sustento.' E mesmo assim, muitas pessoas vão lutar para seguir nessa direção.”
No entanto, a boa notícia é que Novak observou que as organizações estão um pouco mais adiantadas na frente de parcerias cibernéticas.
“A mentalidade anterior era que as organizações realmente tentavam fazer tudo internamente, e acho que agora estamos vendo a necessidade de um maior grau de colaboração e progressão”, explicou. “Os agentes de ameaças estão fazendo isso porque é uma maneira eficaz de se comunicar e compartilhar informações, e nós também podemos fazer isso. É hora de se conectar a algo como um amplo esforço multipartidário de inteligência contra ameaças, ajudando as organizações na resposta a incidentes, mas também cultivando um forte ecossistema de parceiros. Acho que será extraordinariamente benéfico.”
Este último esforço também pode ajudar as organizações a compartilhar dicas e abordagens para reforçar as defesas, diz Bhaven Panchal, diretor sênior de prestação de serviços da Cyware.
"É imperativo que as organizações acelerem seus processos de segurança e preencham as lacunas de visibilidade em seus ambientes”, observa ele. “A operacionalização da inteligência de ameaças, automação de resposta a ameaças e colaboração de segurança ajudará a impulsionar essa mudança em direção a um ciberespaço mais resiliente para todos”.
Barra lateral: Segmentos da indústria com maior risco de violação de dados
Em termos de como diferentes setores foram visados, o Verizon DBIR descobriu que o segmento financeiro e de seguros foi o alvo mais frequente, seguido de perto pela manufatura. As estatísticas verticais são as seguintes:
- Serviços de hospedagem e alimentação . 254 incidentes, 68 com divulgação de dados confirmada
- Educação • 497 incidentes, 238 com divulgação de dados confirmada
- Financeiro e Seguros • 1,832 incidentes, 480 com divulgação de dados confirmada
- Saúde • 525 incidentes, 436 com divulgação de dados confirmada
- Informação • 2,110 incidentes, 384 com divulgação de dados confirmada
- Manufatura • 1,817 incidentes, 262 com divulgação de dados confirmada
- Mineração, Extração e Extração de Petróleo e Gás + Utilities • 143 incidentes, 47 com divulgação de dados confirmada
- Serviços Profissionais, Científicos e Técnicos • 1,398 incidentes, 423 com divulgação de dados confirmada
- Varejo • 406 incidentes, 193 com divulgação de dados confirmada
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Compre e venda ações em empresas PRE-IPO com PREIPO®. Acesse aqui.
- Fonte: https://www.darkreading.com/threat-intelligence/verizon-dbir-social-engineering-breaches-spiraling-ransomware-costs