Tanto o custo quanto a frequência dos ataques cibernéticos estão aumentando.
De acordo com o relatório da IBM Custo de uma violação de dados em 2022, o custo global médio de uma violação de dados – desde a detecção inicial até os danos causados para corrigi-los – atingiu US$ 4,35 milhões este ano. Nos Estados Unidos, o custo de uma violação foi mais que o dobro da média mundial, chegando a US$ 9,44 milhões.
Enquanto isso, resultados recentes da empresa de segurança Kaspersky mostraram que em 2022 ataques como Trojan Password Stealing Ware (PSW) aumentaram de pouco mais de 3 milhões nos primeiros quatro meses de 2021 para mais de 4 milhões no mesmo período de 2022. Ataques de redirecionamento de sites e sites contendo código malicioso saltaram para mais de 35 milhões em 2022 – um aumento de 3 milhões em relação ao ano anterior.
Esses dados sugerem uma dura realidade: apesar dos melhores esforços, os ataques são inevitáveis. Como resultado, as empresas precisam de estratégias que as ajudem a reagir o mais rápido possível para minimizar os impactos financeiros e operacionais. A estrutura da National Initiative for Cybersecurity Education (NICE – Iniciativa Nacional para Educação em Segurança Cibernética) desenvolvida pelo National Institute for Standards and Technology (NIST) pode ajudar. Veja como.
A situação atual da segurança cibernética
Antes de entrar nos detalhes da NICE, vale a pena entender as condições atuais de segurança cibernética.
O ponto positivo é que agora mais empresas estão utilizando as ferramentas de machine learning (ML) e inteligência artificial (IA) para automatizar os principais processos de detecção e resposta. Conforme observado pelo estudo da IBM, as empresas com programas de automação e IA bem desenvolvidos economizaram até US$ 3 milhões em custos de violação de dados graças à detecção mais rápida e melhor correção.
Enquanto isso, os invasores estão usando os mesmos tipos de tecnologias para criar malwares aperfeiçoados. Considere o surgimento do ransomware como serviço (RaaS), que observa invasores qualificados criando ferramentas de ransomware que invasores pouco qualificados podem usar para comprometer empresas e exigir pagamento. Em vez de eles mesmos realizarem ataques, esses designers vendem seus “produtos” em marketplaces on-line, chegando a fornecer suporte ao cliente para compradores que têm problemas para implantar esses vetores de ataque.
De acordo com dados do provedor de segurança Barracuda, os ataques de isca e phishing estão conquistando espaço, e 35% das empresas afirmam terem sido alvo de um ataque de isca em setembro de 2021 – apesar dos esforços das equipes de TI para instruir a equipe e implementar defesas automatizadas. Parte do desafio decorre dos próprios ataques de isca. Como esses e-mails de isca geralmente contêm texto mínimo e nenhum link, eles geralmente são ignorados pelas ferramentas de detecção. Se a equipe responder a um e-mail desses, os invasores saberão que a conta de e-mail está ativa e darão continuidade à primeira mensagem com uma tentativa de phishing mais agressiva.
Estrutura NICE do NIST
O NIST criou a estrutura NICE para ajudar as empresas a gerenciar melhor as ameaças à segurança cibernética. De acordo com a NIST, a estrutura “estabelece um léxico comum que descreve o trabalho e os trabalhadores de segurança cibernética, independentemente de onde ou para quem o trabalho é realizado”. Ao usar uma linguagem comum para descrever ameaças, riscos e respostas, a estrutura procura reduzir o impacto de incidentes de segurança eliminando possíveis áreas de confusão ou complexidade.
A estrutura é dividida em sete categorias principais, 32 áreas de especialidade e 52 funções de trabalho, juntamente com um conjunto de indicadores de capacidade para cada uma – incluindo certificações, treinamento e experiência – que podem ajudar a equipe a ter sucesso em uma determinada função. As sete categorias principais incluem:
- Provisão de segurança
A provisão de segurança atende à necessidade de desenvolvimento de sistema e rede que ajuda a reduzir o risco total de ataque. As funções de trabalho incluem gerenciamento de risco, arquitetura de sistemas e teste de sistemas.
- Operar e manter
Esta categoria concentra-se na manutenção e administração de sistemas de TI. Suas funções de trabalho associadas incluem administração de dados, gerenciamento de conhecimento e configuração de serviços de rede.
- Supervisionar e governar
Liderança e gestão são o foco desta categoria. As funções de trabalho comuns envolvidas em supervisionar e governar incluem treinamento de segurança, planejamento estratégico e liderança executiva.
- Proteger e defender
Para a categoria proteger e defender, a mitigação de ameaças é fundamental. As funções de trabalho incluem análise de defesa, resposta a incidentes e avaliação e gerenciamento de vulnerabilidades.
- Analisar
A categoria de análise procura coletar e avaliar dados de segurança para melhorar a inteligência de negócios. Análise de ameaças, análise de exploração e análise de alvos são funções de trabalho comuns.
- Coletar e operar
A coleta de dados e o planejamento operacional são as prioridades desta categoria. As funções incluem operações de coleta, operações cibernéticas e planejamento operacional.
- Investigar
Esta categoria investiga incidentes de segurança ou crimes por meio de funções de trabalho, como investigação cibernética, perícia digital e análise de dados de perícia.
Enfrentando ameaças com TKS
Em suma, a estrutura NICE procura colocar as pessoas certas no lugar certo para limitar o impacto de ameaças de segurança, como ransomware, phishing e outros vetores de ataque de malware.
Na prática, alcança-se isso por meio da aplicação de instruções de tarefa, conhecimento e habilidade (TKS – task, knowledge, and skill), que o NIST descreve como os fundamentos da estrutura NICE.
Em combinação, as instruções TKS criam uma área de competência, que é um “grupo mensurável de instruções relacionadas a tarefas, conhecimentos ou habilidades que se correlacionam com o desempenho no trabalho”. Em outras palavras, essas áreas de competência identificam o que a equipe está fazendo, onde eles precisam do conhecimento para serem bem-sucedidos e como eles realizarão a tarefa.
Pense nos ataques de phishing. Para a equipe da linha de frente, por exemplo, as instruções TKS podem ser assim:
Tarefa — Não responda a e-mails de phishing.
Conhecimento — Conhecimento das táticas comuns de phishing.
Habilidade — Capacidade de comunicar o risco às equipes de segurança.
Se todos os três componentes estiverem presentes, o risco de phishing diminui. Caso contrário, talvez seja necessário mais treinamento ou ferramentas adicionais.
Enquanto isso, quando se trata de profissionais de segurança que lidam com ransomware, eis alguns exemplos de instruções TKS:
Tarefa — Detectar possíveis ataques de ransomware
Conhecimento — Compreensão de vetores de ameaças comuns e emergentes
Habilidade — Competência no uso de ferramentas de segurança e monitoramento de redes para possíveis ameaças
Se algum desses componentes for removido, o risco aumentará. Mesmo que a equipe entenda o cenário de ameaças, se as ferramentas de segurança forem complicadas e complexas de usar, os invasores poderão aproveitar essa lacuna.
Falando a mesma língua
Por fim, a estrutura NICE visa fornecer uma linguagem universal para incidentes de segurança e respostas que facilitem a detecção, identificação e resposta às ameaças emergentes para as empresas.
Essa abordagem de linguagem comum é sustentada por funções de trabalho e instruções TKS que ajudam as empresas a garantir que tenham as pessoas certas no lugar certo e na hora certa para combater as ameaças à segurança. Essas instruções também simplificam a identificação de lacunas de conhecimento ou habilidades que podem ser abordadas por treinamento adicional, mais experiência prática ou certificações específicas de TI.
Pronto para conviver melhor com as ameaças de TI desagradáveis? Vale a pena adotar a NICE.
Nota: Este artigo no blog foi escrito por um colaborador convidado com o objetivo de oferecer uma maior variedade de conteúdo para nossos leitores. As opiniões expressas neste artigo de autor convidado são exclusivamente as do contribuinte e não refletem necessariamente as da GlobalSign.
