Fundamentos de Cyber Security para não comprometer o seu e-mail empresarial!




censorship-limitations-freedom-of-expression-restricted-39584.jpeg

Cibercriminosos bem organizados cobiçam grandes somas de dinheiro, de modo que o sequestro de sistemas de negócios para a mineração com criptomoedas está em declínio, e o comprometimento de e-mail comercial (BEC) agora é a coisa.

Claro, a mineração sub-reptícia continua a ser viável quando o objetivo é mudado do agora pesado Bitcoin para o Monero e outras moedas. Mas a recompensa ainda pode ser maior em outros lugares, de acordo com Chris Tappin, consultor-chefe do Centro de Consultoria de Pesquisa de Ameaças (VTRAC) da Verizon.

“Se você for cometer crimes cibernéticos e tiver acesso ao servidor da Web de alguém, há mais que você pode fazer agora, o que tem um retorno melhor, que está acabando e comprometendo as contas de e-mail”, disse Tappin nesta semana.

“Para comprometer um servidor web e executar software nele, você precisa ter um acesso razoavelmente bom a ele. Então, para fazer apenas uma mineração criptomoeda, é um pouco anticlímax”, disse ele.

“A criptografia ganha muito tempo de mídia, mas não estamos vendo em nosso conjunto de dados que é uma preocupação tão grande quanto coisas como o comprometimento de e-mail comercial.”

Tappin está se referindo ao conjunto de dados que informa o relatório anual de violação de dados da Verizon (DBIR), agora em seu décimo segundo ano. Este ano, o relatório muito respeitado é uma análise de 41.686 incidentes de segurança, com informações contribuídas por 73 organizações.

Isso revela que os ataques dos atores dos estados-nações estão em alta. Estados de nação e partes afiliadas a eles agora representam 23% das violações de dados. Isso é certamente uma preocupação.Mas para este escritor, os números do DBIR em torno do compromisso de e-mail comercial são uma preocupação maior.

Para incidentes envolvendo uma violação de dados real, o uso de credenciais de login roubadas era de longe a maneira mais comum de invasão, com um aplicativo da Web sendo o caminho mais comum.

“A utilização de credenciais válidas para aplicações web pop não é exatamente vanguardista”, escreveu a Verizon.

“O motivo pelo qual se torna notável é que, em 60% do tempo, o vetor de aplicativos da Web comprometido foi o front-end para servidores de e-mail baseados em nuvem.”
No mês passado, o FBI informou que as perdas de empresas com golpes do BEC dobraram em 2018 e os ataques estão se tornando mais sofisticados. Os criminosos cibernéticos registraram US $ 1,3 bilhão apenas em empresas dos EUA.

As perdas globais atingiram US $ 12,5 bilhões, segundo o FBI, que é US $ 3 bilhões a mais que a previsão da Trend Micro. De acordo com Tappin, no entanto, o número real é provavelmente muito maior, já que “muitas” perdas de BEC não são reportadas.

“Muitos desses, obviamente, não são divulgados, apenas são arrumados. Nós trabalhamos em vários outros grandes, e nunca houve qualquer consideração em divulgá-los à polícia”, disse Tappin.

“Foi apenas uma perda de negócios e todos continuaram e não quiseram falar sobre isso, e ficaram bastante constrangidos com o que aconteceu.”
O phishing continua sendo o método número um para roubar credenciais de login.
“Estamos vendo mais dessas campanhas de phishing direcionadas – spear phishing, whaling, o que você quiser chamá-lo – onde indivíduos específicos são direcionados”, disse Tappin ao ZDNet.

“Coisas como autenticação de dois fatores ou autenticação multifator ainda são as prioridades para o tipo de negócios tanto na Austrália quanto globalmente”. Então, como sempre, há o fator humano.

Sabemos há anos que o phishing funciona e continua a funcionar porque explora as fraquezas da psicologia humana e da cultura organizacional – mesmo em questões de cultura nacional.

Quando os funcionários se apaixonam por um phishing, geralmente ficam longe de suas mesas, usando dispositivos móveis que não exibem necessariamente o e-mail completo.
Os cibercriminosos agora são espertos o suficiente para atingir as pessoas certas na organização: pessoas com autorização sobre pagamentos e seus assistentes executivos. E eles são espertos o suficiente para tentar alcançar seus alvos quando provavelmente estarão em seu dispositivo móvel.

“Para mim, a coisa com a qual as pessoas devem se concentrar é o material de segurança”, disse Tappin.

Você treinou usuários sobre phishing? Você voltou para o diretor do menor privilégio? Você tem um plano de resposta a incidentes? Você já tentou isso?

 

 

Fonte: https://www.zdnet.com

Da sobrevivência à prosperidade na Segurança Cibernética




A maioria dos CISOs duram 13 meses em seu trabalho, ou foi o que me disseram uma década atrás. Eu já vi até 18 meses e tão baixo quanto 11 meses, mas independentemente do tempo real, acho que todos nós podemos concordar que qualquer carreira com uma expectativa de vida curta em alcançar a posição de liderança de um departamento inteiro é extremamente desperdício! O motivo é simples: não estamos alinhados com o negócio. O que é preciso para chegar ao assento CISO não é o que é necessário quando se está sentado nele.

Fiz uma apresentação no DEEP, a conferência da minha empresa intitulada “Como manter seu emprego por mais de 13 meses”, focada em minhas próprias experiências e nas discussões que tive com vários de meus colegas. Para a transparência, como posso dizer com o LinkedIn, realizei quatro cargos de CISO / CSO híbridos e eles duraram sete anos, oito meses, vinte e dois meses e agora 29 meses. Meu mandato médio é de aproximadamente 35 meses ou pouco menos de 3 anos. No meu caso, optei por seguir em frente. No entanto, a implicação na maioria desses casos é que seguir em frente é involuntário, e isso é um desperdício também.

Também me pediram muito em discussões sobre como atrair e reter talentos, como novas pessoas na indústria devem chegar onde estou. A resposta é “não faça o que eu fiz”. Por quê? Porque a segurança estava em uma fase nascente e crescente, sem carreiras definidas quando eu estava entrando no setor. A maioria de nós, como Babe Ruth, não apontou para as arquibancadas e bateu a bola lá. Nossas carreiras se parecem mais com o movimento browniano do que com a perfeita execução de um plano. Isso levanta a questão de o que será necessário para produzir o CISO de próxima geração, mais duradouro e futuro? Se somos honestos aqui, na verdade, é sobre fazer um CISO que pode durar mais de 13 meses para esta geração.

Algumas pessoas podem discordar de mim aqui, mas acredito que o problema fundamental por trás desse desperdício e a maior questão da segurança não é como impedir os maus, como gerenciar controles ou contratar as pessoas certas. O maior problema é a falta de alinhamento com o negócio. Esta é a causa de todo esse desperdício. Quando o CISO obtém sua nova e orgulhosa posição, ele está em um apêndice do negócio e não é visto como uma função principal pela grande maioria das empresas.

Há 20 anos atrás, esse era o problema do CIO. Hoje é o nosso problema. A segurança é percebida como o outro e sofre por isso. Somos amadores que falam em techno-jargão e não entendem o core business que paga nossas contas. Nós sempre queremos um novo brinquedo da mesma maneira que o R & D quer mais desenvolvedores e o Marketing quer mais dinheiro do programa. Mas nossos brinquedos são movidos por FUD (medo, incerteza, dúvida) e vendedores ganhando e jantando. O que os conselhos, os CEOs e os CFOs não entendem é quando terminará ou se o risco realmente está sendo gerenciado.

Então, o que um jovem CISO precisa fazer e focar para ter sucesso em seu trabalho? Como eles podem preparar e elevar a empresa para o futuro, certificando-se de que eles prosperem para continuar fazendo isso? Aqui está minha opinião sobre o que qualquer jovem ou aspirante a CISO pode e deve fazer para ter sucesso:

  • Sempre use a linguagem dos negócios: Resumo isso em 6 frases ou ideias: (1) receita, (2) custo / margem, (3) risco, (4) satisfação do cliente, (5) eficiência do empregado e (6) estratégia corporativa. É isso aí. Nenhuma conversa sobre vírus, firewalls, BGP, registros, PCAP ou qualquer coisa assim, a menos que seja devido a um incidente ou risco específico.
  • Não pule em toda segurança assim que ela aparecer: Deixe os outros obterem a propriedade. Você não tem nada para provar. Todo mundo sabe que você é a pessoa mais inteligente em segurança, mas também se torna conhecido por falar de negócios sempre que possível.
  • Quebre o pão com frequência e caminhe para ver as pessoas: Sneakerware é o que você deve investir. Diminua a velocidade e busque conversas. Cara a cara. A confiança exige confiabilidade, credibilidade, intimidade e alinhamento entre si. Os problemas reais acontecem por causa da falta de intimidade e alinhamento, mas confiabilidade e credibilidade geralmente são os culpados: “Eles não sabem o que estão fazendo” ou “eles não são capazes de fazer isso”. É o que as pessoas vão dizer sobre você prefere as verdadeiras razões de “eu não as conheço” ou “nós não estamos buscando o mesmo resultado”. Concentre-se nos relacionamentos laterais como o primeiro emprego porque você satisfará seu chefe e seu pessoal o satisfará.
  • Alinhe com os colegas e esteja preparado para fazer uma apresentação de negócios a qualquer momento: Tenha alguns slides disponíveis e compartilhe os KPIs de forma agressiva. Depois enrole as mangas e desça e se suje. Veja o exemplo do gerenciamento de vulnerabilidades. Se você aparecer e pedir 40 patches, o CIO ouvirá: “Eu quero causar quebra, slam SLAs, aumentar o volume de chamadas e o tempo de chamada.” Nas negociações, você luta por 10 e as recebe. Um mês depois, você pede 60 porque 30 não foram corrigidos e 30 novos, mas o CIO diz: “você pode ter 5 porque nada de ruim aconteceu com os 30 não corrigidos e você arruinou meus KPIs”. Compartilhar KPIs: se o CIO levar um KPI de redução de risco e você pega seus KPIs de SLA e de tempo de chamada, você está alinhado.
  • Seja o principal responsável pela narrativa de riscos: Prepare uma estratégia, um plano e os KPIs e entregue-os ao membro do conselho mais técnico e envolvido no numero 1: 1. Coloque-os em um apêndice, distribua e venha e apresente uma história. Quem quer mergulhar, recebê-lo e estar preparado para discuti-lo (veja o último ponto). Mas faça isso com as histórias de segurança para a maior parte do público e tenha a profundidade para fazer o backup.