Você está na página 1de 18

Sensibilizar para a Cibersegurança

A estratégia para uma atuação eficaz é saber antecipadamente o que vamos


enfrentar. Nesta secção, vai aprender mais sobre as 10 ciberameaças mais
comuns:
• Phishing
• Malvertising
• Software vulnerabilities
• SQL injection
• Ataques às palavras-chave
• Ransomware
• Ataques de negação de serviço (DoS/DDos)
• Drive-by downloads
• Ataques Man-in-the-middle (MITM)
• Scareware
Phishing

O que é:
Uma tentativa maliciosa de adquirir informação sensível tentando passar por uma
fonte fidedigna via email, texto, pop-up, etc.

A maior parte dos ciberataques acontecem por falta de cuidados dos utilizadores. Os
atacantes sabem que os utilizadores são o elo mais fraco e têm vindo a desenvolver as
suas capacidades de criação de mensagens de phishing que não só parecem legítimas
como parecem vir de fontes conhecidas e de confiança.

Como se proteger:
No caso das organizações, além de sensibilizar e treinar os funcionários para a deteção
de sinais de emails de phishing, outra maneira de proteção é evitar que as empresas
utilizem emails como meio de transferência de ficheiros. Esta medida pode ser
alcançada através da criação e implementação de políticas para "não abrir anexos", ao
invés de deixar ao critério dos funcionários o que é ou não seguro.

Malvertising

O que é:
Uso de anúncios publicitários para camuflar e executar campanhas de ataques de
malware.

O malvertising não existe apenas em websites estranhos. Damos como exemplo um


ataque que ocorreu em janeiro de 2014 que deu origem a 27.000 infeções por hora
através do website da Yahoo1 , significa que o malvertising pode aparecer em websites
legítimos e parecer um anúncio publicitário inofensivo.

1
Fonte: https://blog.fox-it.com/2014/01/03/malicious-advertisements-served-via-yahoo/

[3]
Como se proteger:
Para além de cuidado em geral, é necessário ter atenção a anúncios estranhos, as
organizações devem assegurar que os dispositivos eletrónicos dos funcionários têm as
medidas de segurança necessárias instaladas.

Ransomware

O que é:
Malware que encripta e ameaça destruir, remover permanentemente o acesso, ou
publicar informação, caso a vítima não pague determinada quantia ao atacante.

O ransomware tem sido o foco da cibersegurança, tornando-se muito popular e uma


forma dos atacantes lucrarem com os seus exploits. Um exemplo de ransomware é o
cryptowall, que foi criado para infetar todas as versões do Windows.

Como se proteger:
As organizações devem investir em várias camadas de segurança para bloquear
tentativas de ataques de ransomware. Além desse investimento, devem fazer
regularmente backups para a sua informação mais sensível e ativos críticos.

Software Vulnerabilities

O que é:
Falhas, erros ou vulnerabilidades descobertas no software que podem originar
problemas de segurança.

[4]
Novas vulnerabilidades de software são descobertas a toda a hora e deixadas por
resolver, tornando-se portas de entrada para ciberataques e infeções.

Como se proteger:
Considere investir em software de gestão de patching e uma estrutura funcional que
torne a gestão de vulnerabilidades numa prática diária. Sempre que possível, limite e
uniformize as versões dos sistemas operativos e aplicações que os seus funcionários
utilizam. Desta forma, os processos de scanning de vulnerabilidades, patchs e
atualizações tornam-se mais fáceis de gerir.

Ataque de Negação de Serviço (DoS/DDoS)

O que é:
Uma tentativa de inutilizar um serviço online ao entupi-lo com tráfego (como se se
tratasse de uma autoestrada entupida com trânsito), algumas vezes através do uso de
redes inteiras de dispositivos eletrónicos infetados, conhecidas como botnets,
resultando num ataque de negação de serviço (DDoS).

Ataques DDoS podem ser utilizados por hacktivistas para “deitar abaixo” websites por
razões políticas ou por criminosos como mais um método de extorsão.

Como se proteger:
Para proteger o website da sua empresa deve conseguir bloquear ou absorver tráfego
malicioso. Fale com o seu fornecedor de serviço de Internet, bem como de outros
serviços informáticos e informe-se das possibilidades existentes no mercado.

[5]
Drive-by Downloads

O que é:
Um ataque que instala malware no dispositivo do utilizador, assim que ele visita um
website infetado.

Infelizmente, nem todo o malware precisa de tanta interação, por vezes não é
necessária qualquer interação da parte do utilizador para que o malware seja instalado.
No caso dos drive-by downloads, os utilizadores podem ser infetados automaticamente
ao visitarem simplesmente um website. Assim como o malvertising, o website não tem
que parecer suspeito para estar infetado — os criminosos podem comprometer
websites legítimos que tenham um tráfego muito elevado.

Como se proteger:
Tendo em conta que a infeção pode ocorrer sem o seu conhecimento é importante
reduzir tanto o risco como as consequências do ataque. Para se proteger, deve
certificar-se que os utilizadores têm o software atualizado, têm segurança endpoint
instalada nos seus dispositivos e que as máquinas não têm privilégios de administração.

SQL Injection

O que é:
Um tipo de exploit de segurança consiste na inserção, pelo atacante, de código
“structured query language” (SQL) numa entrada do dispositivo eletrónico, para
permitir a execução do(s) programa(s) pretendido(s).

Por exemplo, um atacante poderia utilizar o formulário de login de um utilizador para


enviar um pedido à base de dados para obter as credenciais de acesso em vez de tentar
entrar com nome de utilizador e usar a sua palavra-passe. Se tiver sucesso, o ataque
pode garantir ao atacante o acesso ilegítimo a toda a base de dados.

[6]
Como se proteger:
Ataques de SQL injection são possíveis devido a vulnerabilidades existentes na fase de
desenvolvimento do software. Para se proteger, deve fazer todas as atualizações dos
sistemas e instalar os respetivos patchs.

Man-in-the-Middle (MITM) Attack

O que é:
Uma técnica utilizada para intercetar e atrasar a comunicação entre duas partes ou
sistemas, para capturar, enviar e receber informação privilegiada.

Os hackers utilizam ataques man-in-the-middle para adquirir credenciais de acesso e


outras informações privilegiadas, modificar transações e comprometer sistemas.

Como se proteger:
Para se proteger de ataques man-in-the-middle tente utilizar técnicas de autenticação
e encriptação, de forma a garantir ligações mais seguras. Uma dessas formas é o uso
de “virtual private networks” (VPN). Evite também transferir ficheiros, dados e
informações sensíveis por email.

Ataques às palavras-passe

O que é:
Tentativa para descobrir palavras-passe.

Os atacantes podem tentar ganhar acesso ao seu sistema de uma maneira menos
sofisticada — tentando descobrir as suas palavras-passe. Mesmo sendo uma técnica
antiga, atualmente as ferramentas que os hackers têm ao seu dispor são tecnologia de

[7]
ponta. Determinado software e ataques de força bruta podem permitir aos atacantes
obter as palavras-passe de terceiros, em minutos.

Como se proteger:
Deve utilizar e encorajar os seus funcionários a adotar palavras-passe mais fortes, a
usar software de gestão de palavras-passe, atualizá-las com regularidade e a não
partilhá-las com terceiros, nem utilizarem a mesma palavra-passe para diferentes
plataformas.

Scareware

O que é:
Software malicioso que engana as pessoas, levando-as a acreditar que os seus
dispositivos eletrónicos estão infetados e as convence a fazer o download de falsas
ferramentas para remoção de malware. Ferramentas essas que vão infetar a máquina.

Através do scareware os atacantes aproveitam-se do medo das vítimas para as fazer


instalar software malicioso nas suas máquinas. Este tipo de ataque é, geralmente,
propagado através de janelas pop-up onde os utilizadores são informados sobre a
forma como devem proceder para resolver o problema da (falsa) infeção e como limpar
o sistema informático, indicando o link para descarregar a ferramenta de limpeza.

Como se proteger:
Uma defesa sólida inclui a instalação de firewalls e de várias camadas de segurança.
Contudo, a sensibilização e preparação dos utilizadores é a barreira mais segura contra
este tipo de ciberataque.

[8]
Estabeleça a sua Ciberagenda
Nesta secção apresentam-se alguns princípios básicos, incluindo como avaliar as
suas necessidades para ter a certeza que se está a focar nas coisas que
realmente interessam.

[9]
Passo 1: Avalie as suas necessidades
Na cibersegurança não existe uma solução universal. Por muito tentador que seja
copiar estratégias de segurança de outras entidades, não há garantias de que essas
resultem consigo ou com a sua organização. Por esta razão, o primeiro passo para
melhorar a segurança da sua organização é realizar um diagnóstico e autoavaliação.
Pode parecer complicado, mas não é. Basta responder a um conjunto de questões
muito simples:

Porque é que precisamos de melhorar a nossa cibersegurança?


Para responder a esta pergunta, pode começar a desenvolver algumas ideias sobre os
objetivos e prioridades da sua organização. Qual a maior preocupação da organização?
Que problemas e riscos seriam colmatados com o aumento da cibersegurança na
organização?

A partir das respostas às questões anteriores, tente compreender as razões pelas quais
considera que a organização ainda não está segura e desenvolver objetivos concretos
com o intuito de corrigir a situação.

Ponto-chave: Definição clara dos objetivos de cibersegurança a alcançar.

O que é que estamos a tentar proteger?


A resposta a esta pergunta, se for bem formulada, pode ajudá-lo a evitar querer
proteger tudo de todas as ameaças. Para responder concretamente a esta questão é
necessário identificar e focar nos ativos mais críticos da organização, bem como avaliar
o seu atual estado de segurança, determinando as falhas (se existirem) que se pretende
resolver.

Ponto-chave: Listagem de ativos críticos a proteger.

A resposta a estas questões permite, de forma rápida e simples, perceber o estado da


Cibersegurança da sua organização e começar a delinear planos de ação para atingir os
seus objetivos.

[10]
Passo 2: Saiba como se manter seguro

Conhecer as suas necessidades específicas e garantir a segurança do que é essencial é


a chave para o sucesso.

No momento da avaliação da segurança da sua organização pode ter a tendência para


considerar tudo muito importante e querer proteger tudo. Como muitas soluções de
Cibersegurança são bastante dispendiosas, pode haver a tentação de optar por
soluções menos dispendiosas e/ou gratuitas e essas podem não ser as melhores nem
garantir a segurança do que realmente importa proteger – os ativos críticos da sua
organização.

Opte por proteger da melhor forma, primeiramente, os ativos críticos da sua


organização e apostar na sensibilização e formação dos recursos humanos como forma
de proteção contra ciberameaças.

Firewall(s)
Uma boa firewall irá ajudá-lo a reforçar o seu perímetro de segurança, ao adicionar uma
camada de proteção entre a sua rede interna de Internet e quaisquer potenciais
atacantes que tentem ganhar acesso não autorizado à sua rede.

United Threat Management (UTM)


UTMs são soluções apelativas, especialmente para pequenas e médias empresas, por
combinarem firewalls, sistemas de filtragem de conteúdos, capacidades de virtual
private network (VPN) e tecnologias de deteção de intrusão numa só solução.

[11]
Endpoint protection
Uma abordagem que garante a proteção das redes face às ameaças que possam vir dos
dispositivos eletrónicos dos vários utilizadores dessas redes é alcançada através do
cumprimento de determinadas normas de segurança pelos utilizadores das redes (ex.
existência de firewall ativa, sistemas operativos com as atualizações em dia, etc.).

Security Information and Event Management (SIEM)


SIEM é um software que permite ter uma visão panorâmica dos sistemas informáticos
da organização. Este software permite a integração, normalização e correlação (da
informação) de sistemas de proteção e identificação de padrões e uma melhor gestão
de incidentes de segurança informática e comportamentos dos utilizadores.

Data backup
Nenhuma iniciativa para garantir a segurança estaria completa sem a realização regular
de backups e estratégias de recuperação eficazes. Para além de boa prática, a
realização de backups é o método mais eficaz para fazer face a ataques de encriptação
de dados e ransomware.

Whitelisting
A aplicação whitelisting pode ajudar a reduzir a probabilidade de ser infetado, uma vez
que limita o número de aplicações e ficheiros que podem ser executados em
determinada máquina. Esta é uma solução que aumenta o nível de Cibersegurança das
organizações. Contudo, é importante ter em conta que pode limitar a produtividade
dos utilizadores, impedindo-os de fazer diversas tarefas e correr diversas aplicações em
simultâneo nas suas máquinas.

Patch management
As soluções de software estão em constante desenvolvimento, pois estão também
constantemente a ser descobertas vulnerabilidades. No entanto, após a descoberta de
uma vulnerabilidade surge um patch para solucionar essa vulnerabilidade. Esta
dinâmica é constante e pode ser difícil estar sempre atualizado e gerir a quantidade de
patchs que surgem diariamente ou quase diariamente. Uma solução é automatizar a
gestão de patchs, através de soluções de patch management.

[12]
Security awareness training
A Cibersegurança não é só uma questão tecnológica, é também uma questão humana
e social, de interação entre o homem e a máquina.

Muitos ciberataques são realizados devido a ações imponderadas por parte das suas
vítimas – clicar em links desconhecidos, instalar aplicações de fontes desconhecidas,
partilhar informação sensível com atacantes, entre outros.

Uma das soluções mais eficazes de Cibersegurança é a sensibilização e formação dos


utilizadores dos dispositivos eletrónicos. As soluções tecnológicas não são eficazes, os
equipamentos podem mesmo ficar inutilizados, sem a formação dos utilizadores.

[13]
Passo 3: Procure a ajuda necessária
Um responsável pela segurança da uma organização nem sempre tem muitos
conhecimentos em Cibersegurança e não tem que os ter, obrigatoriamente. O
importante é reconhecer e aceitar as suas limitações temporais, de recursos e know-
how.

O responsável deve garantir a segurança, fazendo para isso o que for necessário.

Algumas das soluções para a garantia da Cibersegurança de uma organização são:

Contratar alguém que fique responsável pela cibersegurança da organização


Com a contratação de um gestor de segurança ou de um CISO, deve ficar claro que não
se investe apenas num recurso humano, é necessário também investir e fornecer-lhe
as ferramentas de trabalho adequadas.

Obter um fornecedor de soluções de gestão de serviços de segurança (MSSP)


Ao invés de internalizar todos os custos associados à garantia da Cibersegurança, a
solução mais económica para muitas organizações será o outsourcing de alguns aspetos
da segurança da sua empresa a um MSSP. Desta forma, é possível evitar algumas
despesas, como aquelas associadas à contratação de recursos humanos, bem como a
aquisição e manutenção de soluções de segurança, que geralmente são bastante
dispendiosas.

Esta opção é atrativa. No entanto, se considerar a opção de outsourcing, tenha em


conta alguns aspetos: a segurança da sua organização, dos dados dos seus clientes e
dos seus ativos é muito importante e a responsabilidade é, em última análise, da
organização; em caso de incidente ou problema, os clientes não responsabilizarão
ninguém para além da própria organização; a informação sobre a arquitetura de
segurança é estratégica e crítica, não deve ser totalmente externalizada e ser do
conhecimento apenas de terceiros (trata-se de conhecimento que a própria
organização deve ter internamente); é essencial existir confiança entre a organização e
o MSSP.

Antes de optar por esta solução, é necessário avaliar as hipóteses e a criticidade do que
se pretende externalizar.

[14]
Plano Básico de 30-60-90 dias
Mês 1: Determine as suas necessidades

• Realização de um inventário dos ativos importantes (o que deve ser protegido?);

• Realização de um balanço das necessidades específicas de segurança, relacionadas


com a área de atuação da sua organização;

• Avaliação da atual cobertura de segurança (tem as camadas básicas de proteção?):

o Firewall(s);

o Sistemas de deteção de intrusão (IPS) e/ou gestão de ameaças (UTM) que


combinam firewall, filtro de conteúdo, virtual private network (VPN) e
tecnologias de deteção de intrusão;

o Endpoint protection (ex. A/V, anti-malware, etc.);

o Security information and event management (SIEM);

o Data backup and recovery;

o Whitelisting;

o Patch management.

• Identificação das falhas de segurança e áreas problemáticas;

• Estabelecimento das prioridades e desenho de uma estratégia de segurança.

[15]
Mês 2: Adquira a ajuda necessária e atinja os seus objetivos

• Determinação da necessidade (ou não) de contratar alguém para a segurança ou


de ajuda externa (MSSP);

• Avaliação de potenciais contratações, outsourcing e outras soluções que ajudem


a responder às necessidades prioritárias da organização;

• Segmentação das componentes da rede da organização;

• Revisão dos controlos de acesso dos utilizadores;

• Avaliação da possibilidade da introdução de mecanismos de dupla autenticação;

• Garantia da segurança dos pontos de rede wireless;

• Documentação de todas as políticas e procedimentos de segurança e garantia


do seu cumprimento pelos serviços de outsourcing.

Mês 3: Melhore a visibilidade & responsabilidade

• Aquisição de mais e melhor conhecimento sobre a rede da organização e a


atividade dos utilizadores nos sistemas;

• Apresentação regular de relatórios, com o objetivo de revisão de métricas de


segurança, tanto a nível interno, como com outsourcers;

• Desenvolvimento de programas de awareness e formação na área da


Cibersegurança para os funcionários.

[16]
Dicas para uma estratégia de sucesso

O que fazer para obter um sucesso duradouro?


A segurança é maioritariamente garantida pela preparação. O sucesso das reações a
incidentes de segurança é atribuído à preparação dos funcionários, e da organização
como um todo, para esse tipo de incidentes e essa preparação tem que ir sendo
desenvolvida de forma contínua.

Eis alguns erros que pode evitar:


1. Soluções mais caras garantem maior segurança
As soluções caras não são eficazes se os funcionários e utilizadores não estiverem
sensibilizados nem formados para lidar com os perigos do ciberespaço e sem a
existência de políticas e procedimentos internos de segurança, devidamente cumpridos
por todos.

2. Considerar a cibersegurança apenas um problema de IT


A Cibersegurança não é apenas um problema tecnológico, poque quem interage com
as máquinas são os seres humanos. Estes são quem clica em links não fidedignos,
instalam software malicioso, muitas vezes sem se aperceberem, realizam tranferências
de ficheiros com informação crítica de foma pouco segura, introduzem dispositivos que
podem estar infetados (ex. pen USB) nas máquinas da organização, entre outros.

Os responsáveis pela segurança da organização devem ter este fator em consideração


e minimizar as vulnerabilidades de segurança da organização, que muitas vezes são os
recursos humanos, através da criação e promoção de uma cultura de Cibersegurança.
Para isso, os responsáveis nas organizações devem ser os primeiros a dar o exemplo,
assumir o compromisso de garantia da segurança e fornecer aos restantes funcionários
o conhecimento e as ferramentas necessárias para a prevenção de incidentes.

[17]
3. Fazer da segurança apenas um problema do utilizador
Apesar de muitas infeções e incidentes serem provocadas por utilizadores que não
foram sensibilizados e formados para lidar com os perigos do ciberespaço, não
devemos atribuir-lhes toda a culpa.

Os responsáveis pela segurança devem garantir que as vulnerabilidades dos sistemas


são colmatadas ou, pelo menos, minimizadas da melhor forma possível.

4. Não existem soluções milagrosas


Ao avaliar as possíveis soluções, é importante não focar em soluções individuais, sem
considerar a sua interação e integração em outras tecnologias, bem como abordagens
alternativas para melhorar a segurança em geral. Verifique como as ferramentas
distintas funcionam em conjunto para melhorar a segurança em várias camadas.

5. Avaliação da eficácia
A avaliação de programas de segurança, tanto os adquiridos recentemente, como
outros que já existam na organização há algum tempo, é muito importante, pois
permite a identificação das vulnerabilidades existentes e procurar soluções para as
minimizar e solucionar, assim como atualizar as políticas e os procedimentos de
segurança mais adequados às realidades das organizações.

O presente conteúdo é propriedade do Centro Nacional de Cibersegurança estando protegido nos


termos da legislação de propriedade intelectual aplicável. O utilizador pode copiar, importar ou usar
gratuitamente parte ou a totalidade da informação, para uso pessoal ou público, desde que não
tenha finalidades lucrativas ou ofensivas e seja referida a fonte de informação.

[18]

Você também pode gostar