Principais conclusões
- A cibersegurança protege sistemas, redes e dados contra ataques, danos e acesso não autorizado
- A disciplina abrange sete domínios: rede, endpoint, aplicação, nuvem, identidade, dados e segurança de IA
- Confidencialidade, integridade e disponibilidade são as três propriedades que todo controle de segurança foi projetado para proteger
- A maioria dos ataques bem-sucedidos explora falhas básicas: sistemas sem correção, senhas reutilizadas e pessoal sem treinamento
- O relatório de custo de violação de dados de 2024 da IBM estima o custo médio global de violação em US$ 4,88 milhões
- O NIS2 e o GDPR impõem obrigações legais sobre como as organizações europeias protegem os dados e relatam incidentes
O que a segurança cibernética cobre
A segurança cibernética não é uma disciplina única.As organizações enfrentam ameaças em múltiplas camadas de sua tecnologia, cada uma exigindo controles diferentes.Sete domínios cobrem todo o escopo.
1
Segurança de rede
Proteger a infraestrutura que transporta dados entre sistemas e para a Internet.Firewalls, sistemas de detecção de intrusão, VPNs e segmentação de rede estão aqui.A segurança da rede controla o tráfego que entra e sai do seu ambiente e limita o que um invasor pode alcançar se entrar.
2
Segurança de endpoint
Protegendo dispositivos individuais: laptops, servidores, telefones celulares e estações de trabalho.As ferramentas de detecção e resposta de endpoint (EDR) monitoram atividades maliciosas no nível do dispositivo.Cada dispositivo gerenciado é um ponto de entrada potencial, tornando a segurança de endpoint uma camada fundamental para qualquer programa.
3
Segurança de aplicativos
Protegendo o software que sua organização cria e usa.Testes de penetração, revisão segura de código, firewalls de aplicativos da web e verificação de dependências abordam essa camada.Muitas das violações mais significativas dos últimos anos ocorreram através de vulnerabilidades de aplicativos que eram publicamente conhecidas e não corrigidas.
4
Segurança na nuvem
Protegendo cargas de trabalho, dados e identidades em ambientes de nuvem.Buckets de armazenamento em nuvem mal configurados, contas de serviço com permissões excessivas e registros inadequados estão entre as fontes mais comuns de exposição à nuvem.A segurança na nuvem exige que os controles do provedor e suas próprias decisões de configuração estejam corretos.
5
Gerenciamento de identidade e acesso
Controlar quem e o que pode acessar quais sistemas e dados.Isso abrange contas de usuários humanos e
identidades de máquina: as chaves de API, contas de serviço e certificados que os sistemas usam para autenticação entre si.
Autenticação multifator, logon único, gerenciamento de acesso privilegiado e controle de acesso baseado em função são as ferramentas principais.Credenciais comprometidas aparecem na maioria das violações, tornando o gerenciamento de identidades uma das áreas de controle de maior aproveitamento.
6
Segurança de dados
Protegendo dados confidenciais em repouso e em trânsito.Criptografia, ferramentas de prevenção contra perda de dados e controles de acesso determinam quem pode ler, copiar ou transmitir suas informações mais confidenciais.A segurança dos dados é também onde as obrigações regulamentares, como o GDPR e o NIS2, têm os requisitos técnicos mais diretos.
7
Segurança de IA
Proteger os sistemas e aplicações de IA contra ataques e utilizar a IA para reforçar as defesas.Os invasores usam injeção imediata, envenenamento de dados e extração de modelos para manipular ou roubar sistemas de IA.De acordo com uma pesquisa da IBM, apenas 24% das iniciativas de IA generativa estão atualmente protegidas.A segurança de IA aborda tanto a proteção de ferramentas de IA quanto o uso de análises orientadas por IA para detectar e responder a ameaças com mais rapidez.
Confidencialidade, integridade e disponibilidade
Três propriedades sustentam todas as decisões de segurança.Os profissionais de segurança chamam isso de tríade da CIA.Cada controle que você implementa protege pelo menos uma dessas três propriedades e entende qual delas esclarece as compensações envolvidas.
C
Confidencialidade
As informações são acessíveis apenas para aqueles autorizados a vê-las.Criptografia, controles de acesso e políticas de privilégios mínimos protegem a confidencialidade.Uma quebra de confidencialidade significa que os dados chegaram a alguém que não deveria tê-los.
I
Integridade
Os dados são precisos e não foram adulterados.Hashing, assinaturas digitais e registros de auditoria detectam ou impedem modificações não autorizadas.Uma violação de integridade significa que alguém alterou dados sem autorização.
A
Disponibilidade
Sistemas e dados estão acessíveis quando a empresa precisa deles.Backups, redundância, aplicação de patches e proteção DDoS oferecem suporte à disponibilidade.Uma violação de disponibilidade significa que seus sistemas ou dados estarão inacessíveis no momento em que você precisar deles.
As ameaças mais comuns
US$ 4,88 milhões
custo médio global de uma violação de dados em 2024 (IBM)
68%
das violações envolvem um elemento humano (Verizon DBIR 2024)
25% +
dos incidentes de violação envolvem ransomware (Verizon DBIR 2024)
1
Phishing e engenharia social
Os invasores manipulam a equipe para que divulguem credenciais, cliquem em links maliciosos ou autorizem transações fraudulentas.O phishing é o vetor de acesso inicial mais comum porque atinge diretamente as pessoas, contornando os controles técnicos.Comprometimento de e-mail comercial, spear-phishing e smishing (phishing por SMS) são variações da mesma abordagem.
2
Ransomware
Malware que criptografa arquivos e exige pagamento pela chave de descriptografia.Os incidentes de ransomware diminuíram desde 2023, em parte porque mais organizações se recusam a pagar e as autoridades responsáveis pela aplicação da lei derrubaram vários grupos importantes.A recuperação é cara de qualquer maneira: restaurar sistemas, notificar os clientes e gerenciar a interrupção resultante geralmente custa mais do que o resgate.Backups limpos e off-line com recuperação testada são a defesa mais eficaz.
3
Ataques de credenciais
Força bruta, preenchimento de credenciais e pulverização de senhas exploram senhas fracas ou reutilizadas.Os invasores compram despejos de credenciais de violações anteriores e os testam em portais de login corporativos em grande escala.
Autenticação multifator interrompe a maioria dos ataques automatizados de credenciais.
4
Ataques à cadeia de suprimentos
Comprometer um fornecedor confiável, pacote de software ou provedor de serviços gerenciados para alcançar clientes posteriores.Um único comprometimento de um software amplamente utilizado pode afetar milhares de organizações simultaneamente.As práticas de gerenciamento de risco do fornecedor e lista de materiais de software (SBOM) reduzem a exposição aqui.
5
Ameaças internas
Funcionários, prestadores de serviços e ex-funcionários com acesso legítimo podem causar danos por negligência ou intenção.As ameaças internas são mais difíceis de detectar do que os ataques externos porque o acesso é autorizado.Acesso com privilégios mínimos, procedimentos de desligamento e análise do comportamento do usuário são os principais controles.
6
Ataques DDoS
Os invasores inundam sistemas ou redes com tráfego para torná-los indisponíveis para usuários legítimos.Os ataques DDoS podem interromper as operações sem exigir qualquer violação dos próprios sistemas.Os serviços de mitigação de DDoS baseados em nuvem absorvem ataques volumétricos antes que eles atinjam sua infraestrutura.
7
Ataques alimentados por IA
Os invasores usam IA generativa para produzir e-mails de phishing convincentes, áudio deepfake e documentos comerciais fabricados em grande escala, além de escrever códigos maliciosos com mais rapidez do que antes.Eles também visam diretamente os sistemas de IA: a injeção imediata manipula as ferramentas de IA para divulgar dados confidenciais ou realizar ações não intencionais.À medida que a adoção da IA cresce, também aumenta a superfície de ataque que ela cria.
O caso empresarial e regulatório
Dois fatores impulsionam o investimento em cibersegurança na maioria das organizações: o custo direto dos incidentes e a obrigação legal de os prevenir.
O Relatório de Custo de Violação de Dados de 2024 da IBM estima o custo médio global de violação em US$ 4,88 milhões, um aumento de 10% em relação ao ano anterior e o valor mais alto registrado.Isso cobre detecção, contenção, custos legais, notificação de clientes e perda de negócios.As organizações que pagam resgates acrescentam o resgate a isso.Para organizações menores, o custo por registro é muitas vezes superior à média porque os custos fixos, como honorários advocatícios e notificação, são escalonados de forma menos eficiente.Globalmente, estima-se que o cibercrime custe à economia mundial 10,5 biliões de dólares anualmente.
A escassez de competências de segurança agrava o risco.Um estudo do Fórum Económico Mundial descobriu que a lacuna entre os trabalhadores de segurança cibernética disponíveis e as funções abertas pode chegar a 85 milhões até 2030. Os dados de violação da IBM mostram que as organizações com escassez significativa de competências de segurança enfrentam custos médios de violação de 5,74 milhões de dólares, em comparação com 3,98 milhões de dólares para aquelas com escassez de nível inferior.A diferença entre programas de segurança bem dotados e com falta de pessoal é agora mensurável em dólares por incidente.
Patching, MFA e backups interrompem a maioria dos ataques.As organizações com estes sistemas implementados e bem mantidos têm menos incidentes do que aquelas com ferramentas mais sofisticadas e menos disciplina em torno dos fundamentos.
O quadro regulamentar na Europa é claro.O GDPR exige que as organizações que processam dados pessoais de residentes da UE implementem medidas de segurança apropriadas e relatem violações às autoridades de supervisão no prazo de 72 horas após a descoberta.As penalidades chegam a 4% do faturamento anual global. NIS2, que os estados membros da UE implementaram na legislação nacional até outubro de 2024, estende os controles obrigatórios de segurança cibernética e os requisitos de notificação de incidentes em energia, transporte, saúde, bancos, água, infraestrutura digital e serviços gerenciados.As organizações abrangidas devem implementar medidas de gestão de riscos, realizar avaliações de segurança e notificar as autoridades sobre incidentes significativos no prazo de 24 horas após a deteção.
Escopo NIS2
NIS2 abrange entidades essenciais e importantes em 18 setores.Se sua organização opera num setor coberto ou presta serviços a organizações que o fazem, o NIS2 provavelmente se aplica.As autoridades nacionais publicaram sua transposição para o direito interno até outubro de 2024. As sanções por incumprimento atingem 10 milhões de euros ou 2% do volume de negócios global para entidades importantes e 20 milhões de euros ou 4% para entidades essenciais.
Mitos comuns sobre segurança cibernética
Vários equívocos persistentes levam as organizações a subinvestir ou a alocar mal seus gastos com segurança.
1
“Senhas fortes são suficientes”
Uma senha de 16 caracteres é muito mais difícil de decifrar do que uma senha curta, mas as senhas são roubadas, e não apenas adivinhadas.Phishing, keyloggers, mercados de credenciais da dark web e bancos de dados violam todas as senhas válidas dos invasores manuais, sem a necessidade de quebrar nada.
AMF aborda o que senhas fortes não conseguem.
2
“Somos pequenos demais para sermos um alvo”
Os atacantes não escolhem os alvos por tamanho.Eles escolhem pela vulnerabilidade.Ferramentas automatizadas examinam a Internet em busca de sistemas não corrigidos, credenciais expostas e serviços mal configurados 24 horas por dia.O Relatório de Preparação Cibernética da Hiscox descobriu que 41% das pequenas empresas dos EUA sofreram um ataque cibernético em um único ano.
3
“Nossa indústria não está em risco”
Todos os setores enfrentam exposição à segurança cibernética.Os grupos de ransomware agora têm como alvo governos locais, hospitais, escolas e empresas de logística, juntamente com instituições financeiras.Os ataques à cadeia de suprimentos afetam qualquer organização que usa software, ou seja, todos eles.
4
“Temos antivírus, por isso estamos protegidos”
O antivírus detecta ameaças conhecidas combinando padrões em seu banco de dados de assinaturas.Explorações de dia zero, malware sem arquivo e ataques de phishing que redirecionam os usuários para páginas aparentemente legítimas ignoram totalmente a detecção de assinaturas.O antivírus é uma camada;não é um programa de segurança.
5
“Os riscos cibernéticos são bem compreendidos e contidos”
O cenário de ameaças muda mais rápido do que a maioria das organizações consegue acompanhar.Milhares de novas vulnerabilidades são divulgadas a cada ano.A IA está criando novas categorias de ataque.A nuvem, a IoT e o trabalho distribuído ampliaram a superfície de ataque para além do perímetro que os modelos de segurança mais antigos foram projetados para proteger.
Onde as organizações começam
A maioria das violações não requer técnicas sofisticadas.Os invasores exploram lacunas nos controles básicos que as organizações ainda não fecharam.
Seis controles que fecham a maior exposição pelo menor custo:
1
Uma senha comprometida não deve ser suficiente para conceder acesso aos seus sistemas.A MFA bloqueia a maioria dos ataques automatizados de credenciais e é o controle de maior impacto e menor custo que a maioria das organizações pode implantar.
2
Gerenciamento de patches
Vulnerabilidades não corrigidas estão entre os pontos de entrada mais comumente explorados.Um processo estruturado de aplicação de patches com cronogramas definidos para correções críticas e de alta gravidade elimina a maior parte dessa exposição.A maioria das explorações bem-sucedidas usa vulnerabilidades para as quais há patches disponíveis há meses.
3
Backups com recuperação testada
O ransomware é neutralizado por backups limpos e offline e por um processo de recuperação que foi realmente testado.Os backups que nunca foram restaurados com êxito não são confiáveis.Os testes de recuperação pertencem ao calendário, não à lista de desejos.
4
Segmentação de rede
Um invasor que atinge um sistema não deve ter acesso automático a todos os outros.A segmentação limita o movimento lateral e transforma uma possível violação completa em um incidente contido.
5
Treinamento de conscientização de segurança
A maioria dos ataques envolve um elemento humano.A equipe que consegue reconhecer tentativas de phishing detecta o que os controles técnicos não percebem.O treinamento regular que utiliza cenários realistas é mais eficaz do que as caixas de verificação anuais de conformidade.
6
Gerenciamento de superfície de ataque
Você não pode defender o que não pode ver.O gerenciamento da superfície de ataque envolve a descoberta e o monitoramento contínuo de ativos voltados para a Internet, identificando exposições e priorizando a correção.Muitas violações entram por meio de ativos esquecidos: servidores antigos, shadow IT ou armazenamento em nuvem mal configurado que as equipes de segurança não sabiam que existia.
Como Cyvra ajuda
Cyvra fornece consultoria em segurança cibernética em avaliação, implementação e serviços gerenciados.Ajudamos as organizações a identificar onde está sua exposição, atender NIS2 e obrigações do GDPR e criar controles proporcionais ao seu risco real.Se você está procurando um ponto de partida, um avaliação de segurança cibernética é a maneira mais rápida de entender o que precisa de atenção e em que ordem.