outubro 25, 2023

[Segurança] O ataque de 100 milhões de dólares ao cassino MGM

Com poucos dias de diferença, ficamos sabendo de dois ataques de ransomware direcionados à duas grandes operadoras de cassino de Las Vegas, os grupos MGM Resorts e Caesars Entertainment. As redes Caesars e MGM são gigantes, elas operam vários cassinos que, somados, representam mais de 60 mil apartamentos em Las Vegas (hum, não lembro de onde tirei essa informação, rs, mas confia!).

Certamente esses ciberataques vão entrar para a história da segurança e serão contados e recontados em várias apresentações a partir de agora. Podemos apostar também que a MGM será a "nova Stuxnet" nas apresentações dos vendedores de produtos de segurança ao redor do mundo.

A diferença entre os dois casos? (spoiler alert!) O grupo Caesars foi atacado primeiro, mas pagou o resgate e ninguém percebeu o ocorrido. Já a MGM optou por não pagar o resgate aos ciber criminosos e teve suas operações fortemente impactadas por vários dias.

A treta começou quando a MGM divulgou a ocorrência de um problema de segurança em 11 de setembro, um incidente que afetou por vários dias seu site principal, os sistemas de reservas online e os serviços de seus cassinos, como caça-níqueis, terminais de cartão de crédito, caixas de estacionamento e caixas eletrônicos.


Apesar da MGM não ter informado inicialmente a natureza do ataque cibernético, rapidamente diversos veículos da imprensa noticiaram que foi um incidente de ransomware, muitas vezes com base nas informações compartilhadas pela empresa vx-underground. O ataque foi atribuído à uma afiliada da gangue de ransomware BlackCat/ALPHV conhecida como Scattered Spider.

Desde então seu site ficou fora do ar e, nas redes sociais, os clientes relataram problemas generalizados nos cassinos, desde caça-níqueis fora do ar até chaves de quartos sem funcionar. Incapazes de cobrar os clientes, os estacionamentos foram liberados. Os clientes compartilharam fotos e vídeos de medidas temporárias que os cassinos tomaram para tentar continuar suas operações enquanto os sistemas estavam inoperantes.

   



Há relatos de que as máquinas de jogos dos cassinos estavam funcionando "offline", ou seja, sem qualquer comunicação com os sistemas da MGM. Por isso, as operações delas tinham que ser feitas manualmente, principalmente para retirar o dinheiro apostado (para receber o que ganhou ou simplesmente resgatar o que sobrou do dinheiro depositado na máquina). Por isso, os clientes tinham que esperar pacientemente, por muito tempo, a chegada de um funcionário do cassino para receber a devolução do dinheiro nas máquinas de jogos, já que esse processo estava sendo feito manualmente.

A MGM possui vários cassinos de grande destaque e alto custo em Las Vegas, incluindo o Mandalay Bay, Bellagio, Cosmopolitan e Aria. Como o faturamento do grupo é estimado em 25 milhões de dólares por dia, então o impacto financeiro desse ciber ataque é, para dizer o mínimo, milionário!

Em 05 de outubro a MGM Resorts revelou, em seu relatório para a Comissão de Valores Mobiliários dos EUA (Securities and Exchange Commission, SEC) que o ataque cibernético causou um impacto negativo na ordem de...


100 milhões de dólares



Além disso, deve-se incluir no cálculo uma despesa de cerca de 10 milhões referente a consultoria e serviços relacionados à resposta ao incidente. A empresa também revelou que o atacante teve acesso a dados pessoais de clientes anteriores a Março de 2019, incluindo nome, dados de contato, data de nascimento, número de licença de motorista, de seguro social (SSN) e, até mesmo, número de passaporte.

O excesso de notícias e rumores sobre o caso tornam o entendimento um pouco confuso, então fiquem a vontade para comentar se eu cometi algum engano aqui nesse post. O próprio grupo que atacou a MGM fez um post público, compartilhado pela imprensa, assumindo a autoria do ataque, comentando sobre como ele ocorreu e criticando a MGM pela sua estratégia de resposta a incidentes e a imprensa que, segundo eles, divulgaram informações falsas sobre o incidente, não validando suas fontes. Segundo eles, a MGM desligou seus computadores e sua rede antes mesmo do ransomware ser implantado e não responderam às tentativas de contato do grupo. Eles tomaram conhecimento que os criminosos haviam invadido seu ambiente Okta e o desligaram - mas naquele momento os criminosos já tinham obtido credenciais de administrador.

Com base nas diversas notícias e nas alegações feiras pelo grupo BlackCat/ALPHV, é possível construir uma linha do tempo com os principais acontecimentos relacionados a esse incidente:

  • 08/09: Os cibercriminosos se infiltram na rede da MGM;
  • 10/09: Os cibercriminosos tentam entrar em contato com a MGM, mas não são respondidos;
  • 10/09: Na noite de domingo a MGM implementou restrições que barraram todo o acesso ao seu ambiente Okta (MGMResorts.okta.com);
  • 11/09: Lançado com sucesso ataques de ransomware contra mais de 100 hipervisores ESXi no ambiente da MGM;.
  • 11/09: a MGM anunciou oficialmente que sofreu um incidente cibernético afetando alguns de seus sistemas (o tweet foi removido posteriormente);
  • 12/09: um post no perfil do vx-underground alega que os criminosos obtiveram acesso aos sistemas da MGM via engenharia social: eles procuraram funcionários no LinkedIn e entraram em contato como se fosse uma chamada do suporte técnico de TI;

  • 12?09: Rumores de que a MGM não conseguirá pagar seus funcionários por causa do ciberataque;
  • 14/09: A Caesars Entertainment notificou a ocorrência de um ciber ataque à SEC;
  • 20/09: A MGM informou que todos os hotéis e cassinos voltaram a operar normalmente.

Tanto a MGM Resorts quanto a Caesars Entertainment foram vítimas do grupo cibercriminoso conhecido como Scattered Spider (ou Scatter Swine, 0ktapus ou UNC3944), agindo como afiliado da operação de ransomware ALPHV/BlackCat - uma das gangues mais ativas atualmente O Grupo-IB batizou o grupo de “0ktapus” porque ele tem como alvo os usuários dos serviços de gerenciamento de identidade e acesso da empresa Okta. Normalmente, eles usam mensagens de phishing para direcionar as vítimas para páginas semelhantes e roubar as credenciais no Okta.

O interessante é que esse caso chamou muito a atenção da mídia pelo grande impacto que o ciberataque causou nos cassinos da rede MGM, facilmente visível para o público: máquinas de jogos desligadas, sistemas de pagamento offline em restaurantes, lojas e até no estacionamento (que foi liberado, sem cobrança), além de filas gigantes para realizar o checkin e checkout nos hotéis do grupo, pois eles eram feitos manualmente.

Em 14 de Setembro,, bem no meio de todo o bafafá sobre o ataque à MGM, a rede de cassinos Caesars Entertainment relatou a ocorrência de um ciber ataque ao órgão regulador americano Securities and Exchance Commission (SEC).  A ocorrência desse incidente passou desapercebido pois, logo que foi detectado, foi rapidamente resolvido com o pagamento de resgate. Segundo a notificação para a SEC, o incidente foi causado por um ataque de engenharia social em um fornecedor terceirizado de suporte em TI. Eles também notificaram que os criminosos obtiveram cópias de seu banco de dados de programas de fidelidade, que inclui números de carteira de motorista e/ou números de previdência social (SSN) de um número significativo de membros no banco de dados.

Segundo diversas notícias que surgiram, a Caesars pagou um resgate de US$ 15 milhões, valor que foi negociado após ser solicitado um resgate de US$ 30 milhões. Podemos inferir que o pagamento realmente ocorreu por essa frase no relatório enviado a SEC: "We have taken steps to ensure that the stolen data is deleted by the unauthorized actor, although we cannot guarantee this result." ("Tomamos medidas para garantir que os dados roubados sejam excluídos pelo ator não autorizado, embora não possamos garantir esse resultado.").

Segundo a Reuters, que disse ter entrado em contato com o grupo Scattered Spider, os cibercrminosos exfiltraram seis terabytes de dados dos sistemas da MGM Resorts e da Caesars Entertainment. Os cibercrminosos usaram um esquema de engenharia social para comprometer a rede do Caesars: um deles entrou em contato com o suporte técnico de TI da empresa como se fosse um funcionário, pedindo para alterar sua senha, segundo disseram pessoas familiarizadas com o assunto. 

O CISO da Okta confirmou que os dois ataques cibernéticos exploraram a ferramenta da empresa como um vetor de acesso. Segundo ele, a Okta tem sido um foco persistente de interesse do grupo Scattered Spider há mais de um ano. Em 2022 eles realizaram uma série de ataques à indústria tecnológica e, recentemente, iniciaram uma nova onda de ataques que já incluem pelo menos 5 clientes da Okta, incluindo a MGM Resorts e o Caesars Entertainment.

Esta não é a primeira vez que a MGM lida com um incidente de hacking. A empresa de apostas esportivas online BetMGM relatou uma violação de dados em dezembro de 2022 que envolveu nomes, números de seguro social e informações financeiras de um número desconhecido de clientes. Em 2020, as informações pessoais de 10,6 milhões de usuários que se hospedaram no MGM Resorts vazaram em um fórum.

Acho que vale a pena encerrar esse post com a mensagem do CEO da MGM, agradecendo ao apoio dos clientes e funcionários:

PS (Adicionado em 16/11): A Microsoft publicou um relatório com análise do grupo Scattered Spider (que ela chama de "Octo Tempest"):

PS/2 (Adicionado em 17/11): A CISA e o FBI também lançaram um relatório em conjunto no qual detalham o modus operandi e TTPs do Scattered Spider: Scattered Spider (AA23-320A).

PS3 (Adicionado em 21/12): Seguem algumas fotos da época do incidente, compartilhadas em redes sociais:

  


  


  

  

Mais informações:

PS: Pequena atualização em 29/11 e 21.12.


outubro 17, 2023

[Segurança] Novo curso da ABNT sobre Segurança da Informação e Cibernética, Proteção da Privacidade e de Dados Pessoais

A ABNT está lançando um novo curso sobre Gestão da Segurança da Informação, Segurança Cibernética, Proteção da Privacidade e de Dados Pessoais usando as Normas BNT NBR ISO e Normas ISO.

Esse curso tem como objetivo capacitar o profissional a tomar decisões estratégicas e táticas sobre o planejamento, implementação, operação, monitoramento e melhoria contínua das atividades de segurança da informação, segurança cibernética e proteção da privacidade e de dados pessoais da organização, com base nas Normas ABNT NBR ISO e Normas ISO existentes.

O curso da ABNT foi estruturado em três Módulos, totalizando 120 horas de aula. Cada módulo é composto por diversas aulas baseadas nas normas existentes sobre o tema abordado no módulo:

  • Módulo I:Aspectos Preventivos da Segurança da Informação, Segurança Cibernética e Proteção da Privacidade e de Dados Pessoais
  • Módulo II: Correção, Tratamento e Recuperação de Incidentes
  • Módulo III: Melhoria Contínua

Conduzido por profissionais que atuam no mercado de segurança da informação, segurança cibernética e proteção da privacidade e de Dados Pessoais, o participante irá conhecer os benefícios da adoção das principais normas nacionais (ABNT NBR ISO) e internacionais (ISO).

O curso é aplicável a todos os tipos de organização, independentemente do porte e natureza da atividade, assim como se a organização é do setor público, privado ou sem fins lucrativos. O público-alvo inclui Diretores e Gerentes de TI, DPOs (Data Protection Officer), Chief Security Officers (CSO), Chief Risks Officers (CRO), Analistas de Segurança da Informação, Profissionais da área da Privacidade e Proteção de Dados, Auditores de Sistemas de Gestão da Segurança da Informação e da Privacidade da Informação e Consultores.

As Normas ABNT NBR ISO apresentadas no curso serão disponibilizadas para os participantes por um período de 12 meses, no portal ABNT Coleção. 

O curso será realizado online de Março a Maio de 2024, das 19:00/22:00h, de segunda a quinta feira.

No dia 19 de outubro às 10:00, a ABNT realizará um Webinar para apresentar o novo curso, ao vivo no canal da ABNT no YouTube.

[Segurança] Senhas e escovas de dente

É muito comum vermos uma associação entre as senhas e roupas íntimas para ilustrar os cuidados básicos que devemos ter com nossas senhas.

Mas essa relação com roupas íntimas ou objetos relacionados a algum grupo populacional específico pode não agradar a todas as pessoas. Por isso, uma outra forma de representar esses cuidados, bem mais sutil, é comparar as senhas com nossas escovas de dente.

Afinal, as escovas de dente, cuecas, batons e senhas tem 3 coisas em comum:
  • Devemos trocar regularmente;
  • São coisas que não emprestamos para ninguém;
  • Devem ser guardadas, jamais deixadas jogadas em qualquer lugar.
Eu fiz uma imagem para representar essa analogia, com uma bela foto retirada do Unsplash:


PS: Fique a vontade para usar e compartilhar essa imagem.

outubro 16, 2023

[Segurança] Novo ataque DDoS: HTTP/2 Rapid Reset

Uma nova técnica de ataque distribuído de negação de serviço (DDoS), explorando uma vulberabilidade de zero day no protocolo HTTP/2, está causando o terror e batendo os recordes de volumetria dos ataques DDoS:


HTTP/2 Rapid Reset



O bug, rastreado como CVE-2023-44487, permite sobrecarregar os servidores web com uma nova técnica de ataque, aonde uma enxurrada de tráfego faz com que o site, alvo do Ataque, fique temporariamente indisponível para os usuários.

Esta vulnerabilidade HTTP/2 consiste no envio de um determinado número de solicitações HTTP usando HEADERS seguido por RST_STREAM e repetindo esse padrão para gerar um alto volume de tráfego nos servidores HTTP/2. Ao agrupar vários quadros HEADERS e RST_STREAM em uma única conexão, os invasores podem causar um aumento significativo de solicitações por segundo e causar alta utilização da CPU nos servidores, o que eventualmente pode causar esgotamento de recursos e a interrupção do servidor.

Esse diagrama, da Google, ilustra o funcionamento do ataque:

A Amazon, Google e Cloudflare disseram ter detectado os maiores ataques DDoS já registrados em todos os tempos, graças à essa vulnerabilidade recém-descoberta:

  • A Google mitigou um ataque em Agosto que foi oito vezes maior que o recorde anterior. Envolveu 398 milhões de solicitações por segundo (RPS). Em junho de 2022, eles relataram a interrupção de um ataque que atingiu o pico de 46 milhões de solicitações por segundo. Isso equivalia a “receber todas as solicitações diárias à Wikipédia em apenas 10 segundos”;
  • A Amazon disse que entre 28 e 29 de agosto de 2023, [eles testemunharam um ataque](https://aws.amazon.com/blogs/security/how-aws-protects-customers-from- ddos-events/ atingindo um pico de mais de 155 milhões de solicitações por segundo;
  • A Cloudflare disse que viu um ataque atingir um pico de 201 milhões de solicitações por segundo.

Para saber mais:

outubro 13, 2023

[Segurança] Mês da Conscientiação com as Cartilhas do CERT.br e Autodefesa Digital

Outubro é o mês da conscientização em segurança!!!

Se a sua empresa já tem uma estratégia formada para conscientização dos seus colaboradores, então parabéns, certamente você tem algumas atividades planejadas para realizar nesse mês.

Mas, se a sua empresa não tem alguém responsável por cuidar da conscientização, como é o caso da maioria das empresas, é possível que vocês façam quase nada para educar seus usuários no dia-a-dia. Então, o mínimo que você deveria fazer é criar alguma ação ou campanha rapidinho para aproveitar esse mês. Talvez uma palestra, o envio de mensagens com dicas, alguns cartazes no escritório e alguma chamada na Intranet.

Nesse período do ano, diversas empresas e entidades de segurança fornecem gratuitamente um material de conscientização que você pode usar como inspiração. Neste ano, tem 3 iniciativas bem legais que eu gostaria de destacar, uma beeem clássica e duas mais recentes.

Primeiro de tudo, uma ótima dica é aproveitar as Cartilhas de Segurança do CERT.br.


O CERT.br possui diversas cartilhas, bem didáticas, e cada uma sobre um tema importante no nosso dia-a-dia. São 16 cartilhas, que abordam temas como Privacidade, Phishing, Autenticação, Furto de celular, etc. Elas podem ser baixadas em PDF e o site também indica vídeos explicativos para várias delas.


As cartilhas podem ser vistas e baixadas gratuitamente pelo site https://cartilha.cert.br. Também são fornecidas em versões para impressão e eles tem versão em espanhol (neste caso, sugiro entrar em contato com o pessoal do CERT.br, pois não achei aonde baixá-las no site).

As cartilhas podem ser usadas para educar os colaboradores e também a população em geral. Que tal compartilhar elas com seus amigos e familiares?

Outra iniciativa muito interessante são os vídeos do Curso de Autodefesa Digital, do Silvio Rhatto, que é uma série de vídeos bem curtinhos que apresentam os fundamentos de segurança e "autodefesa digital" para usuários finais. Ele é um profissional da área que sempre se interessou pelo ativismo digital, pela educação dos usuários finais sobre cuidados de proteção e privacidade online. Por isso, não foi surpresa para mim quando soube dessa iniciativa.

Vale a pena ver também o Guia de Autodefesa Digital, disponível online e gratuitamente.

Por fim, merece destaque a iniciativa da Axur, que lançou uma cartilha sobre o uso seguro da Internet para o dia das crianças: Ciber Safári: Uma jornada divertida para pais e filhos rumo à cibersegurança.

PS: A Cartilha do CERT.br existe desde o início dos anos 2000, sempre com excelente qualidade no conteúdo. Eu lembro quando a cartilha era distribuída em um arquivo texto!!! kkkkkk.....

outubro 11, 2023

[Segurança] Diretrizes éticas para hacktivistas na guerra - Geneva Code of Cyber-War

A Cruz Vermelha Internacional (CICV, sigla para Comit6e iNternacional da Cruz Vermelha) lançou um manifesto com 8 regras para hacktivistas atuando em cenários de guerra. A iniciativa foi batizada de "Geneva Code of Cyber-War" ("O Código de Guerra Cibernética de Genebra", numa tradução minha).

A idéia principal do documento é lembrar que, mesmo em tempos de guerra, alguns cuidados humanitários e diretrizes éticas devem ser seguidos para poupar a população civil de maior sofrimento - mesmo quando o conflito é no campo cibernético.

O hacktivismo tem estado presente em conflitos armados e turbulências políticas há muitas décadas, mesmo que seja em ações esporádicas. Mas a participação de civis no papel de hacktivistas tem tomado protagonismo nos conflitos recentes, principalmente na atual guerra entre a Ucrânia e a Rússia e nos últimos incidentes relacionados ao conflito entre Israel e Palestina. O CICV afirma que a participação civil em ciberataques durante conflitos armados atingiu um nível “sem precedentes” e ressalta que isso traz grandes riscos para as pessoas envolvidas. Tais ações, por exemplo, podem tornar estes hacktivistas alvos legítimos de ataques militares – seja com balas e mísseis ou através de operações cibernéticas – uma vez que os seus adversários os consideram envolvidos diretamente nas hostilidades.

Ao tomar parte em conflitos armados, os hacktivistas também devem considerar as leis humanitárias internacionais, que foi criadas para proteger os mais vulneráveis (a população civil e soldados presos ou feridos).

Veja, portanto, quais são as 8 regras para hackers civis envolvidos em conflitos armados proposta pela Cruz Vermelha:
  1. Não direcione ataques cibernéticos contra objetivos civis;
  2. Não utilize malware ou outras ferramentas ou técnicas que se espalhem automaticamente e que causem dano à alvos militares e civis indiscriminadamente;
  3. Ao planejar um ataque cibernético contra um alvo militar, faça todo o possível para evitar ou minimizar os efeitos que sua operação possa ter sobre os civis;
  4. Não conduza qualquer operação cibernética contra instalações médicas e humanitárias;
  5. Não conduza qualquer ciberataque contra alvos indispensáveis para a sobrevivência da população ou que possam libertar forças perigosas;
  6. Não faça ameaças de violência para espalhar o terror entre a população civil;
  7. Não incentive a violação do direito humanitário internacional;
  8. Cumpra estas regras mesmo que o inimigo não o faça.
O artigo original da Cruz Vermelha detalha um pouco mais cada uma das regras acima e propõe algumas  responsabilidades e limites aos Estados sobre tais operações de hackers civis.

Essas diretrizes acima são direcionadas aos hacktivistas pois a Cruz Vermelha entende que, quando uma operação cibernética é realizada por um Estado contra outro em conjunto ou em apoio a operações militares clássicas (“físicas” ou “cinéticas”) no contexto de um conflito armado existente, o Direito Internacional Humanitário (International Humanitarian Law, ou IHL)) aplica-se a tais operações.

E qual foi a resposta dos grupos hacktivistas para a Cruz Vermelha? Inicialmente eles criticaram a Cruz Vermelha e declararam: ‘War has no rules’.


Mas a boa notícia é que, alguns dias depois, os dois grupos mais relevantes da Ucrânia e da Rússia chegaram a um acordo para aderir ao código proposto pela Cruz Vermelha - o Killnet e o IT Army of Ukraine. O Killnet (pró-Rússia) disse que “concorda com os termos e regras da Cruz Vermelha, que este seja o primeiro passo do Killnet para a paz”, e o IT Army of Ukraine declarou que “fará todos os esforços para seguir as regras”.

Para saber mais:


outubro 10, 2023

[Segurança] Conheça as 10 principais configurações incorretas de segurança

A NSA (National Security Agency) e a CISA (Cybersecurity and Infrastructure Security Agency)  lançaram recentemente um documento informativo (cybersecurity advisory) destacando as configurações incorretas de segurança cibernética mais comuns em grandes organizações e detalhar as táticas, técnicas e procedimentos (TTPs) que os atores usam para explorar essas configurações incorretas.

A NSA e a CISA identificaram as 10 configurações incorretas de rede mais comuns:

  1. Configurações padrão (default) de software e aplicações
  2. Separação inadequada de privilégios de usuário e administrador
  3. Monitoramento insuficiente da rede interna
  4. Falta de segmentação da rede
  5. Gerenciamento inadequado de patches
  6. Contorno dos controles de acesso ao sistema
  7. Métodos de autenticação multifator (MFA) fracos ou mal configurados
  8. Listas de controle de acesso (ACLs) insuficientes em compartilhamentos e serviços de rede
  9. Pouca higiene das credenciais
  10. Execução irrestrita de código 

Essas configurações incorretas ilustram: uma tendência de fraquezas sistêmicas em muitas organizações, inclusive as grandes empresas com postura cibernética mais madura. Eles destacam que as configurações incorretas descritas no comunicado são muito comumente encontradas em avaliações, buscas e respostas a incidentes conduzidas por suas equipes e os TTPs são métodos padrão usados por vários atores cibernéticos - e que causaram vários comprometimentos.

O documento, com 44 páginas, inclui o detalhamento destas configurações, incluindo as táticas e técnicas mapeadas junto ao MITRE ATT&CK, além de apresentar as recomendações para mitigação desses erros.

Para saber mais:

outubro 09, 2023

[Carreira] Premiação do " IV Top Women in Cybersecurity Americas 2023

Nessa semana ocorre a premiação  do concurso IV Top Women in Cybersecurity Americas 2023 organizado pela WOMCY (LATAM Women in Cybersecurity).

Esse é um evento que foi criado pela WOMCY para celebrar as mulheres excepcionais do nosso tempo, aquelas que se destacaram no mercado de segurança e que podem inspirar outras mulheres interessadas em trabalhar na área.

Neste evento são homenageadas as líderes, inovadoras, empreendedoras e defensoras incríveis que têm feito a diferença em suas áreas de atuação, moldando o presente e o futuro em cibersegurança. É um momento para celebrar a força das mulheres que quebram barreiras nesse nosso mercado dominado pela figura masculina, e que precisa urgentemente promover a diversidade.

Junte-se a WOMCY nessa jornada de empoderamento, acompanhando a transmissão online e gratuita da cerimônia de premiação:
Veja também:

outubro 03, 2023

[Segurança] 95% dos incidentes de segurança ocorrem devido a erro humano

Essa estatística é tão significativa, que merece um post! O relatório global de riscos de 2022 do Fórum Económico Mundial (World Economic Forum) indicou que...


95% dos incidentes de segurança cibernética ocorrem devido a erro humano.


Não é possível identificar a real origem dessa estatística. Ela, na verdade, foi retirada de um artigo de 2020 publicado no próprio site do Fórum, que cita que "studies show that 95% of cybersecurity issues can be traced to human error" - mas não diz qual estudo é esse.

Frequentemente encontramos estatísticas que associam o fator humano ao risco de ciberataques. A Verizon, por exemplo, considera que 74% das violações de segurança incluem o elemento humano.

De qualquer forma, sendo 74% ou 95%, uma coisa é certa: acompanhando as principais notícias sobre segurança, fica claro que a maioria dos casos foi relacionado a uma falha humana. Na grande maioria das vezes, o ataque inicia com um phishing bem sucedido ou com a exploração das credenciais de um usuário válido. Engenharia social, erros e mal uso também são portas de entrada para ciberataques.

Há vários anos o Fórum Econômico Mundial aborda os riscos de ciber segurança e ciber crime entre os pricipais fatores de risco que podem afetar todo o mundo. Em 2022 o relatório dedicou um capítulo inteiro sobre riscos cibernéticos foi bem completo, com muitas estatísticas e análises relevantes. Afinal, havíamos acabado de sofrer a vulnerabilidade do Log4j, que afetou milhares de empresas no mundo todo, e estávamos saindo da pandemia, que aumentou a digitalização e os riscos cibernéticos em geral.

Dentre as várias estatísticas apontadas no relatório de 2022, quando falamos dos usuários, o relatório destaca que os mais vulneráveis são aqueles que começaram a usar a Internet só agora ou que o farão em breve, e lembra que cerca de 40% da população mundial ainda não está ligada à Internet. Mesmo nas sociedades digitalmente avançadas, as populações vulneráveis também estão em maior risco digital e de se tornarem vítimas de crimes cibernéticos.

Neste ano, no relatório do Fórum Econômico Muhdial, a cibersegurança também ganhou uma pequena sessão, no capítulo que discutiu "As Catástrofes de Amanhã". Afinal, o cibercrime e a insegurança cibernética ficou em 8o lugar entre os 10 mais severos riscos para os próximos 10 anos.


É interessante ver como o relatório relaciona o risco do cibercrime e da insegurança cibernética generalizados com outros fatores de risco presentes no relatório, como os conflitos entre países, o terrorismo, as atividades ilícitas, as campanhas de desinformação, etc. 

Para saber mais:

outubro 02, 2023

[Segurança] Nova buzzword: Human Detection and Response (HDR)

Você certamente já ouviu falar muito da família "*DR", uma linha de soluções de segurança que se popularizou muito nos últimos 5 anos: Endpoint Detection and Response (EDR), Network Detection and Response (NDR), Managed Detection and Response (MDR) e Extended Detection and Response (XDR).

São ferramentas que buscam promover a visibilidade, detecção e resposta a ciber ataques em diferentes níveis. Mas, ao assistir uma palestra da KnowBe4 no evento Cultsec, acabei aprendendo sobre uma nova abordagem na indústria de conscientização de usuários, que a KnowBe4 chamou de...

Human Detection and Response (HDR)


A Detecção e Resposta Humana (HDR) é uma nova abordagem que se concentra na camada humana da estratégia de ciber segurança. Assim como o EDR, NDR e XDR são voltados para permitir a detecção e resposta em ativos específicos de tecnologia, a idéia do HDR é trazer essa preocupação para as ameaças relacionadas a atividade humana, como os ataques de phishing e as táticas de engenharia social.

O HDR pretende correlacionar, identificar e responder ao comportamento de segurança relacionado ao usuário, enxergando o usuário como uma parte importante da nossa estratégia de defesa cibernética.

O conceito é uma evolução da buzzword "firewall humano". Até pouco tempo atrás, os usuários eram considerados "o elo mais fraco da segurança". Ou seja, eles eram vistos como parte do problema, como uma ameaça. Quando falamos de Firewall Humano e HDR, estamos reposicionando os usuários para serem parte da nossa estratégia de defesa. 

O conceito de HDR ajuda os funcionários a compreender seu papel na proteção da empresa e cria um sentimento de propriedade e responsabilidade em relação à segurança cibernética. Ao envolver os usuários proativamente e com uma mensagem de que eles fazem parte da nossa linha de defesa, as organizações reforçam uma cultura de colaboração que incentiva os indivíduos a cuidarem de si e uns dos outros.

Para saber mais:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.