As senhas tradicionais estão cada vez mais vulneráveis a ataques cibernéticos, como phishing e vazamento de dados, enquanto a complexidade exigida muitas vezes resulta em combinações fracas ou reutilizadas. Esses problemas geram a necessidade urgente de métodos de autenticação mais seguros e práticos. Nesse cenário, as passkeys se destacam como uma solução promissora para a segurança digital, conforme apresentado pela Microsoft em maio de 2024.
O que são passkeys?
As passkeys são um método avançado de autenticação baseado em criptografia de chave pública. Elas utilizam fatores biométricos, como impressões digitais ou reconhecimento facial, ou um PIN específico do dispositivo. Ao contrário das senhas convencionais, as passkeys são geradas automaticamente e vinculadas exclusivamente a um usuário e dispositivo, tornando-se impossíveis de serem reutilizadas ou roubadas.
Essa tecnologia elimina a necessidade de lembrar combinações complexas ou correr o risco de vazamentos em ataques de força bruta. Sua estrutura única combina segurança robusta com uma experiência de uso simplificada.
Como funcionam as passkeys?
Quando um usuário acessa um serviço que suporta passkeys, o dispositivo cria um par de chaves criptográficas:
Chave pública: enviada para o servidor e usada para identificar o usuário.
Chave privada: armazenada localmente no dispositivo e protegida por biometria ou PIN.
No momento da autenticação, o servidor emite uma solicitação que só pode ser respondida pela chave privada. Esse processo garante a identidade do usuário sem compartilhar informações sensíveis.
Por serem vinculadas ao dispositivo, as passkeys atuam como uma solução multifatorial, aumentando a proteção contra ataques e adaptando-se ao ambiente do usuário.
Vantagens
As passkeys oferecem diversos benefícios que superam as limitações das senhas tradicionais:
Resistência a ataques: Sem senhas para serem digitadas ou adivinhadas, as passkeys são imunes a ataques de força bruta e phishing.
Praticidade: Com apenas um toque ou reconhecimento facial, a autenticação é realizada de forma rápida e intuitiva.
Eliminação de memorização: Não há necessidade de lembrar combinações complicadas ou redefinir senhas frequentemente.
Segurança avançada: A autenticação por chave pública evita o compartilhamento de informações sensíveis, reduzindo o risco de vazamentos.
Além disso, essa tecnologia facilita a detecção de fraudes, pois é capaz de identificar acessos não autorizados com mais eficácia.
Desafios na adoção
Embora promissoras, as passkeys enfrentam obstáculos significativos:
Compatibilidade: A implementação da tecnologia em diferentes serviços e dispositivos ainda é limitada.
Segurança do dispositivo: A proteção da chave privada depende diretamente da segurança física e digital do aparelho usado.
Educação do usuário: Muitos usuários ainda desconhecem essa solução, exigindo esforços para conscientização e treinamento.
Com o tempo, espera-se que esses desafios sejam superados à medida que mais empresas e desenvolvedores adotem padrões universais para passkeys.
O futuro da autenticação com passkeys
A expectativa é que, em breve, as passkeys substituam as senhas em larga escala, revolucionando o conceito de segurança digital. Combinadas a outras inovações, como inteligência artificial, elas têm o potencial de criar sistemas de autenticação ainda mais robustos.
A integração com serviços de pagamento, redes sociais e plataformas corporativas promete reduzir drasticamente problemas relacionados a roubos de credenciais. Essa tecnologia não apenas aumenta a proteção, mas também proporciona uma experiência de uso muito mais fluida.
As passkeys estão moldando o futuro da autenticação digital, oferecendo uma solução que combina segurança avançada e praticidade. Ao eliminar a dependência de senhas vulneráveis, elas prometem uma internet mais segura para todos os usuários.
A Microsoft e outras gigantes da tecnologia já estão liderando o caminho para essa transformação, que poderá marcar o fim das senhas tradicionais como as conhecemos.
Por Humberto Gonçalves de Oliveira, consultor de cibersegurança na Protiviti Brasil.
Descubra como as normas ISO estão moldando a governança, segurança e ética no uso da Inteligência Artificial.
A Inteligência Artificial (IA) é um campo em constante evolução, que ganhou protagonismo nas discussões ao longo dos últimos anos, mas que tem raízes profundas na história. Desde a Antiguidade, a ideia de máquinas que realizam tarefas humanas intriga a humanidade. Na Grécia Antiga, por exemplo, filósofos como Aristóteles e Platão já discutiam conceitualmente criaturas artificiais capazes de desempenhar funções humanas. Na década de 1940, Warren McCulloch e Walter Pitts propuseram modelos de redes neurais baseados no funcionamento de neurônios, criando as bases para circuitos inteligentes. Em 1950, Alan Turing introduziu o “Teste de Turing” para avaliar a inteligência das máquinas. Já em 1956, John McCarthy cunhou o termo “inteligência artificial”, inaugurando oficialmente o campo.
Avanços Recentes e Impactos Práticos da IA
Nos últimos anos, a IA avançou de forma exponencial, permitindo inovações como reconhecimento facial, processamento de linguagem natural e ferramentas como ChatGPT e Google Gemini. Essas tecnologias estão transformando áreas como automação, produtividade e análise de dados.
No entanto, o uso crescente da IA também revela desafios significativos, incluindo riscos relacionados à privacidade de dados, decisões opacas e possíveis falhas de segurança. Esses desafios aumentam a necessidade de regulamentações claras.
Normas ISO: um marco na governança de IA
Para mitigar os riscos e promover o uso ético da IA, a ISO (International Organization for Standardization) introduziu duas normas cruciais em 2023:
ISO 23894 – Gestão de Riscos de IA: Uma extensão da ISO 31000, com foco em riscos específicos da Inteligência Artificial.
ISO 42001 – Sistema de Gestão de IA: Um modelo abrangente de governança com possibilidade de certificação.
ISO 23894 – Gestão de Riscos de IA
A ISO 23894 adapta os princípios de gestão de risco da ISO 31000 às particularidades da IA. Entre os riscos mais comuns tratados pela norma estão:
Complexidade dos sistemas: Supervisão e controle de sistemas altamente complexos.
Explicabilidade: Necessidade de decisões transparentes e justificáveis.
Automação: Desafios no gerenciamento de sistemas autônomos.
Dados e aprendizado de máquina: Dependência de grandes volumes de dados e impacto de sua qualidade no desempenho.
Hardware e ciclo de vida: Problemas técnicos e atualizações que afetam a operação.
Essa norma é essencial para organizações que desenvolvem, implantam ou utilizam IA, ajudando a identificar e mitigar riscos eficazmente.
ISO 42001 – Sistema de Gestão de IA
A ISO 42001 estabelece um modelo de melhoria contínua baseado no ciclo PDCA (Plan-Do-Check-Act), oferecendo diretrizes para implementar e manter sistemas de IA seguros e éticos. Entre seus principais benefícios estão:
Governança padronizada: Garantia de práticas consistentes e alinhadas globalmente.
Transparência e ética: Promoção de confiança e responsabilidade no uso da IA.
Certificação: Demonstração do compromisso da organização com segurança e conformidade.
Esse framework é especialmente valioso para organizações que buscam se posicionar como líderes no uso responsável da tecnologia.
Conclusão
A Inteligência Artificial é uma tecnologia transformadora, mas seu impacto requer responsabilidade e regulamentação. Normas como a ISO 23894 e a ISO 42001 são ferramentas essenciais para orientar empresas em direção a um futuro ético, seguro e inovador. Ao adotar essas diretrizes, as organizações estão melhor equipadas para explorar o potencial da IA enquanto minimizam riscos e promovem a confiança pública.
Para abordar as tendências atuais em cibersegurança, é essencial compreender o panorama dinâmico e em constante evolução das ameaças cibernéticas. Nesse artigo, conheça as tendências mais recentes identificadas por pesquisas especializadas, destacando os desafios emergentes e as estratégias inovadoras adotadas para proteger sistemas e dados contra ameaças cada vez mais sofisticadas.
Cibersegurança: panorama atual
A cibersegurança tornou-se uma prioridade crucial para organizações de todos os setores, devido ao aumento significativo de incidentes cibernéticos e à crescente sofisticação dos ataques. Conforme indicado pela IBM Security, o custo médio global de uma violação de dados em 2023 foi de aproximadamente 4,24 milhões de dólares, demonstrando o impacto financeiro substancial que esses eventos podem ter.
Evolução das ameaças cibernéticas
As ameaças cibernéticas estão se tornando mais diversificadas e complexas, adaptando-se rapidamente às novas tecnologias e vulnerabilidades emergentes. Um estudo da McAfee observa um aumento alarmante no número de ransomwares direcionados a grandes corporações e infraestruturas críticas, refletindo uma tendência preocupante de ataques direcionados e sofisticados. Além disso, ataques de phishing continuam sendo uma ameaça significativa, com hackers aproveitando técnicas avançadas de engenharia social para enganar usuários e obter acesso não autorizado a sistemas corporativos.
Desafios emergentes em cibersegurança
Com o advento da Internet das Coisas (IoT) e a proliferação de dispositivos conectados, surgem novos desafios em termos de segurança cibernética. Dispositivos IoT frequentemente carecem de padrões de segurança robustos, tornando-se alvos fáceis para invasores que buscam explorar vulnerabilidades e comprometer redes corporativas. De acordo com o relatório da Trend Micro, ataques a dispositivos IoT aumentaram em 300% nos últimos dois anos, sublinhando a necessidade urgente de estratégias de segurança adaptativas.
Tendências Emergentes em Cibersegurança
A utilização de inteligência artificial (IA) e machine learning (ML) está se tornando fundamental na detecção proativa de ameaças cibernéticas. Soluções baseadas em IA podem analisar grandes volumes de dados em tempo real, identificando padrões anômalos e comportamentos suspeitos que podem indicar potenciais ataques. De acordo com a Gartner, até 75% das organizações utilizarão ferramentas de detecção de ameaças baseadas em IA até 2024.
A arquitetura de Zero Trust está ganhando popularidade como uma abordagem de segurança que desafia o modelo tradicional de perímetro de rede. Em vez de confiar automaticamente em usuários e dispositivos dentro da rede corporativa, o Zero Trust requer verificações contínuas de identidade e autorização para acessar recursos, independentemente da localização do usuário. Segundo o Forrester Research, a implementação de Zero Trust pode reduzir em até 30% o impacto de violações de dados.
Com a adoção crescente de serviços em nuvem, a segurança na nuvem tornou-se uma prioridade crítica. Soluções de segurança em nuvem oferecem proteção avançada contra ameaças cibernéticas, garantindo a integridade e a confidencialidade dos dados armazenados e processados na nuvem. De acordo com a Microsoft, investimentos em segurança em nuvem estão aumentando exponencialmente, com empresas priorizando soluções que ofereçam visibilidade e controle abrangentes sobre suas cargas de trabalho na nuvem.
Estratégias de resposta e mitigação
Diante dessas tendências e desafios em cibersegurança, as organizações estão adotando abordagens multifacetadas para proteger seus ativos digitais e mitigar o impacto de possíveis violações. Isso inclui a implementação de políticas rigorosas de segurança da informação, a realização regular de testes de penetração e vulnerabilidade, e a formação contínua dos colaboradores em práticas seguras de navegação e uso de tecnologia.
Exemplo de implementação prática
Um exemplo de implementação prática pode ser observado em uma empresa de tecnologia líder que adotou uma abordagem de segurança em camadas para proteger sua infraestrutura crítica. A empresa utilizou ferramentas avançadas de detecção de ameaças baseadas em IA para monitorar continuamente o tráfego de rede e identificar atividades suspeitas. Além disso, implementou políticas de Zero Trust para restringir o acesso a dados sensíveis apenas a usuários autorizados, independentemente de sua localização física. Essas medidas ajudaram a empresa a mitigar riscos significativos e manter a integridade de seus sistemas em face de ameaças crescentes.
Conclusão
Em suma, as tendências em cibersegurança estão evoluindo rapidamente à medida que novas tecnologias emergem e as ameaças cibernéticas se tornam mais sofisticadas. Adotar abordagens inovadoras, como inteligência artificial, arquitetura de Zero Trust e segurança em nuvem, tornou-se imperativo para proteger organizações contra violações de dados e interrupções de operações. Ao implementar estratégias eficazes de cibersegurança e manter-se atualizado com as últimas pesquisas e práticas recomendadas, as organizações podem mitigar riscos, garantir a conformidade regulatória e fortalecer sua postura de segurança digital.
Por Matheus Jacyntho, Diretor de Cibersegurança e Resiliência na Protiviti Brasil, e Cíntia Soares, Market Sector Leader l Senior Manager – Business Performance & Transformation.
Na era digital, a segurança da informação se tornou uma preocupação primordial para indivíduos e organizações. Duas técnicas cruciais nessa área são a esteganografia e a criptografia.
Embora ambas sejam usadas para proteger informações, elas operam de maneiras distintas e têm diferentes aplicações.
Neste artigo, confira o que são esteganografia e criptografia, suas diferenças e como podem ser utilizadas tanto para o bem quanto para o mal.
Esteganografia
A esteganografia é a prática de esconder a existência de uma mensagem, ao contrário da criptografia, que transforma o conteúdo de uma mensagem para torná-la ilegível para pessoas não autorizadas, a esteganografia esconde a própria presença da mensagem, envolve a ocultação de informações dentro de outros dados aparentemente inofensivos, como imagens, áudio ou vídeo.
A principal diferença em relação à criptografia é que a esteganografia não altera a estrutura dos dados ocultos, mas sim esconde a existência da informação.
Exemplos de Esteganografia
Uma imagem digital pode conter uma mensagem secreta codificada nos bits de informação menos significativos de seus pixels, sem causar mudanças perceptíveis na imagem tornando a mensagem invisível a olho nu, mas recuperável através de técnicas específicas.
Uma empresa pode ocultar uma mensagem confidencial dentro de uma imagem digital usando a técnica de esteganografia de LSB (Least Significant Bit), a imagem pode ser compartilhada publicamente sem levantar suspeitas, mas aqueles que conhecem a técnica e a chave correta podem extrair a mensagem escondida.
Criptografia
A criptografia, por outro lado foca na proteção do conteúdo da mensagem tornando-a ilegível (texto claro) em um formato ilegível, (texto cifrado) usando algoritmos matemáticos, isso garante que apenas indivíduos autorizados possam decifrar e acessar os dados, e que pessoas que não possuam a chave de decriptação correta possam decifrar e acessar os dados.
Existem dois tipos principais de criptografia: simétrica e assimétrica.
Na criptografia simétrica, a mesma chave é usada para criptografar e descriptografar a mensagem.
Na criptografia assimétrica, são utilizadas duas chaves: uma pública, para criptografar a mensagem, e uma privada, para descriptá-la.
Exemplos de Criptografia:
O uso do protocolo HTTPS na web, que criptografa dados transmitidos entre o navegador e o servidor para garantir privacidade e segurança.
Em uma comunicação por e-mail, um usuário pode usar a criptografia PGP (Pretty Good Privacy) para cifrar a mensagem. Apenas o destinatário com a chave privada correta poderá decifrar e ler o conteúdo da mensagem.
Diferenças entre Esteganografia e Criptografia
A principal diferença entre esteganografia e criptografia é o objetivo e a metodologia de cada técnica, e no propósito e método de proteção da informação.
A criptografia foca na transformação dos dados para torná-los ilegíveis sem a chave correta, protegendo o conteúdo da interceptação e leitura não autorizada, já a esteganografia foca na ocultação dos dados, de modo que um observador desatento nem sequer perceba que existe uma mensagem oculta, ambas podem ser complementares, por exemplo, uma mensagem criptografada pode ser escondida usando esteganografia para adicionar uma camada extra de segurança.
Uso benéfico e malicioso das técnicas
Tanto a esteganografia quanto a criptografia têm aplicações benéficas e maliciosas. No lado positivo, elas são essenciais para proteger a privacidade e a integridade dos dados.
Governos e empresas utilizam essas técnicas para proteger informações sensíveis contraespionagem e ciberataques. No entanto, essas mesmas técnicas podem ser usadas por criminosos para ocultar comunicações ilegais e dados roubados.
A esteganografia pode ser empregada para esconder malwares em arquivos aparentemente inofensivos, ocultando códigos maliciosos dentro de arquivos legítimos, como imagens ou documentos.
Isso pode permitir que o malware passe despercebido pelos sistemas de segurança e seja executado nos dispositivos sem serem percebidos.
Os principais objetivos da criptografia são confidencialidade, disponibilizando informações somente para usuários autorizados, a integridade, que garante que as informações não tenham sido manipuladas, e autenticação, que confirma a autenticidade das informações ou a identidade de um usuário, e o Não repúdio que impede que um usuário negue compromissos ou ações anteriores, destacando que a criptografia pode proteger as comunicações de organizações terroristas.
Conclusão
Concluímos que a esteganografia e a criptografia são técnicas poderosas na segurança da informação, elas servem a propósitos diferentes e podem ser usadas em conjunto para aumentar a segurança dos dados proporcionando uma camada adicional de proteção, cada uma com seus métodos e finalidades específicas.
Compreender suas diferenças e aplicações é crucial para utilizar essas técnicas de forma eficaz e ética, apesar do potencial para uso malicioso, com o avanço das tecnologias e das ameaças digitais, a combinação dessas técnicas continua a ser uma parte vital da estratégia de segurança de dados em ambientes digitais, quando empregadas corretamente ambas contribuem significativamente para a proteção da privacidade e segurança no mundo digital.
Referências
Esteganografia – Definição e Explicação: kaspersky/resource-center/definitions/what-is-steganography
O que é criptografia: aws.amazon.com/pt/what-is/cryptography/
De assistentes digitais pessoais a veículos autônomos, a Inteligência Artificial (IA) está revolucionando a forma como interagimos com a tecnologia e uns com os outros. Nesse cenário, o Microsoft Copilot e o ChatGPT da Open AI estão na vanguarda, aproveitando tecnologias transformadoras como Generative Pretrained Transformers (GPT) e Large Language Models (LLM). Essas ferramentas avançadas aproveitam o processamento de linguagem natural para entender e gerar respostas semelhantes às humanas a partir de grandes quantidades de dados, executando uma ampla gama de tarefas, como análise de sentimentos, resposta a perguntas, resumo e geração de imagens e textos. À medida que continuamos a explorar as fronteiras na inovação da IA, as tendências sugerem um futuro cada vez mais guiado por essas plataformas poderosas que não apenas aprimoram nossas habilidades, mas também moldam um futuro em que a influência da IA irá permear todos os aspectos de nossas vidas.
IA e LLMs oferecem benefícios importante para empresas que desejam aproveitar o poder da linguagem natural para seus negócios. Essas ferramentas podem ajudar as empresas a aperfeiçoarem seu atendimento ao cliente, aumentar a produtividade, otimizar processos, gerar insights e agregar valor aos negócios. No entanto, IA e LLMs também representam desafios significativos para empresas que desejam usá-los de forma eficaz e responsável.
Isso porque elas exigem muitos dados, poder de computação e experiência para treinar, implantar e manter. Tanto a IA quanto os LLMs também levantam questões sobre questões éticas, legais e sociais, como privacidade de dados, segurança, preconceito, justiça, responsabilidade e transparência. É importante observar que os LLMs não são necessariamente treinados para precisão: em vez disso, eles são treinados para fornecer a próxima melhor resposta de conversação a uma consulta. A quantidade de dados que precisam ser gerenciados e governados está crescendo exponencialmente e, com o início da IA generativa, a geração de novos dados não estruturados está impactando significativamente a como os dados são registrados, descobertos, protegidos, monitorados, auditados e principalmente terem sua veracidade confirmada.
Governança e gestão dos ativos de IA
O Microsoft Purview é o conjunto de soluções de segurança de dados da Microsoft que fornece um único local para descobrir, proteger e gerenciar dados em todo o ambiente corporativo para privacidade de dados, conformidade regulatória e segurança cibernética. Esta ferramenta permite que os usuários descubram, protejam e monitorem prompts e respostas, usando dados de IA generativa em ferramentas internas e externas.
Essas soluções são essenciais para que a IA opere de maneira gerenciada e controlada, mas também são relevantes para as empresas que estão adotando rapidamente a tecnologia sem os devidos controles de uso, compartilhamento e exportação de dados. A Microsoft anunciou recentemente o Microsoft AI Hub, que aproveita os recursos do MS Purview para identificar, proteger e gerenciar o uso de IA de uma organização em um único dashboard de indicadores.
Entre os principais recursos do MS Purview AI Hub estão a capacidade de inventariar atividades de IA generativa, incluindo o uso de dados confidenciais em uma ampla variedade de aplicativos e sites. A ferramenta permite proteger as interações do Copilot impedindo o acesso não autorizado confidencial de dados confidenciais e, mais especificamente, o Hub de IA do MS Purview pode monitorar, alertar ou até mesmo impedir que os usuários enviem informações confidenciais para sites de IA generativa. Além disso, ele também permite detectar e mitigar riscos de negócios e violações regulatórias enquanto o uso do AI Hub generativo no Purview, que permite a análise de riscos e impacto do uso de algoritmos de IA, ajuda os usuários a superarem esses desafios de e maximizar os benefícios de sua utilização nas empresas.
O Hub de IA do Microsoft Purview e as políticas que ele monitora estejam vinculadas ao DLP, exigindo que os dispositivos sejam integrados a esta plataforma. O AI Hub disponibiliza políticas integradas que podem ser ativadas e personalizadas para definir o escopo para usuários/grupos específicos e adaptá-las aos requisitos organizacionais. As políticas internas incluem:
Descoberta de prompts confidenciais em assistentes de IA;
Detectação quando os usuários acessam o navegador da Web para utilizar outros assistentes de IA;
Habilitação da proteção em assistentes de IA por meio da integração com o Gerenciamento de Riscos Internos do Microsoft Purview.
Os administradores e as equipes de proteção de dados também podem usar o Gerenciador de Atividades do Microsoft Purview para monitorar as interações de IA dos usuários e ser alertados quando uma regra DLP corresponder à interação de um usuário com um site de IA generativa. As principais preocupações dos líderes de segurança incluem riscos éticos, legais e regulatórios da utilização da IA.
À medida que as organizações aumentam a adoção de recursos de IA, regulamentações adicionais serão promulgadas para apoiar a utilização responsável e, ao mesmo tempo, proteger dados pessoais confidenciais. Embora o AI Act Europeu, juntamente com as estruturas com o NIST AI e a ISO 42.001, forneçam orientação para adoção, identificação e mitigação de riscos, é fundamental desenvolver uma estrutura de governança para IA que considere as implicações em seu modelo de negócios e do funcionamento de segmento de atuação.
Microsoft Purview: suporte à AI
Para assegurar a integração entre o monitoramento proativo e a necessidade de governança de IA, os novos modelos de IA Premium do Microsoft Purview Compliance Manager oferecem uma solução estratégica para gerenciar e relatar o risco de conformidade de IA, garantindo que utilização ética e legal da IA esteja alinhada com os padrões organizacionais e os regulamentos futuros. O Gerenciador de Conformidade do Microsoft Purview dá suporte à conformidade de IA por meio de quatro novos modelos de IA Premium para ajudar a avaliar, gerenciar e relatar os riscos de conformidade de IA. Esses modelos identificam as melhores práticas, monitoram as interações de IA, evitam o compartilhamento inadequado de dados confidenciais em aplicativos de IA e gerenciam políticas de retenção e exclusão para interações de IA. O Gerenciador de Conformidade inclui monitoramento em tempo real em aplicativos Multicloud e Software as a Service (SaaS), podendo ser revisado como parte de um programa completo de governança de IA.
O Copilot para Microsoft 365 permite otimizar o acesso a dados não estruturados em toda a organização, visto que a implantação e a utilização exigem acesso a dados atuais e relevantes. No entanto, a maioria das organizações têm dificuldades em evitar a proliferação, o gerenciamento e a proteção de dados. À medida que as organizações avançam para adotar a IA, o foco crítico deve ser aplicado para garantir um forte gerenciamento de dados em toda a empresa. Isso inclui a remoção de dados obsoletos e desatualizados, a proteção de dados críticos e confidenciais e a identificação proativa do uso inadequado.
Os recursos de Gerenciamento de Registros e Ciclo de Vida de Dados do Microsoft Purview permitem que as organizações descartem de forma defensável os dados que não são mais necessários. Ao aproveitar políticas e rótulos nessas ferramentas, as organizações podem permanecer em conformidade com os regulamentos de retenção de dados, reduzir sua superfície de ataque descartando dados que não são mais necessários e permitir que o Copilot para Microsoft 365 acesse as informações mais relevantes e atualizadas para fornecer as respostas mais relevantes e úteis.
O Microsoft Purview eDiscovery Premium permite que as equipes jurídicas e de descoberta eletrônica descubram quais tipos de informações os usuários estão inserindo nos prompts do Copilot para Microsoft 365 e quais tipos de respostas estão recebendo. Esse é um recurso essencial ao investigar o possível uso mal-intencionado de IA em organizações ou realizar avaliações de conformidade sobre como as informações estão sendo compartilhadas por meio da IA generativa.
O AI Hub no Purview, juntamente com os recursos de proteção de dados do Purview, fornece uma nova maneira de gerenciar ativos de IA com responsabilidade, com foco na segurança e na conformidade.
–
Baseado no artigo original escrito por: Patrick Anderson, MD Protiviti; Patrick Anderson, MD Security & Privacy; Antonio Maio, MD Microsoft.
Embora não envolva códigos complexos ou vulnerabilidades técnicas, a Engenharia Social é uma das ameaças mais eficazes e difíceis de combater. O “hacking humano” é a arte de manipular e atrair usuários desavisados para expor dados, espalhar infecções por malware, ou dar acesso a sistemas restritos. Por isso, os ataques podem acontecer on-line, pessoalmente, ou por outros meios de interação afim de obter vantagens indevidas.
A engenharia social envolve a exploração da natureza humana, para obter acesso não autorizado a informações sensíveis. Em vez de atacar diretamente sistemas de segurança, os engenheiros sociais usam técnicas psicológicas para obter informações. Assim, visam os pontos fracos das interações humanas, como confiança, medo, curiosidade e desejo de ajudar, afim de realizar ações prejudiciais, no geral os invasores de engenharia social têm como objetivo a sabotagem (interrupção ou corrupção de dados para causar danos ou incômodos) ou o roubo (obtenção de objetos de valor, como informações, acesso ou dinheiro).
Exemplos de ataques de Engenharia Social:
Phishing: Os engenheiros sociais enviam e-mails falsos ou mensagens de texto que parecem legítimas, mas na verdade são projetadas para enganar os destinatários a revelar informações confidenciais, como senhas ou números de cartão de crédito.
Pretexting: Nesse método, os atacantes criam uma narrativa falsa ou pretextam uma situação para obter informações pessoais ou acesso a áreas restritas. Isso pode envolver fingir ser um funcionário de uma empresa ou um conhecido em comum. Por exemplo, um engenheiro social pode se passar por um funcionário de manutenção para entrar em um prédio corporativo.
Vishing: Os engenheiros sociais podem fazer uso do telefone para manipular pessoas a revelarem informações confidenciais, como senhas ou códigos de acesso.
Dumpster Diving: Busca por informações em lixeiras, como documentos confidenciais e sigilosos.
Quid Pro Quo: Oferece itens valiosos ou serviços para o alvo, em troca de informações confidenciais. Por exemplo, o engenheiro social envia uma mensagem afirmando que você recebeu algum prêmio e que precisa acessar um site específico para recebê-lo, você terá que fornecer seus dados pessoais e sensíveis. Essa é uma das formas muito populares dos golpistas obterem materiais sensíveis.
Mídias Sociais: Os atacantes exploram informações publicamente disponíveis em mídias sociais para criar perfis falsos e estabelecer confiança com os alvos, a fim de obter informações sensíveis.
Como funciona a Engenharia Social?
O ataque de engenharia social depende da comunicação entre atacante e vítima. O invasor motiva o usuário a se comprometer, não necessitando o uso de força bruta para violar os dados, o ciclo de ataque oferece aos criminosos um processo confiável para enganar o alvo, o ciclo de ataque de engenharia social na maioria das vezes são os seguintes:
Fase de Reconhecimento: O engenheiro social pesquisa o alvo, e suas rotinas, colhe informações sobre seu histórico ou de um grupo maior no qual você pode fazer parte.
Fase de Ataque: Estabelece uma relação ou inicia uma interação, que começa pela construção de confiança.
Exploração da vitima, coleta e fraude: O engenheiro social agora tem acesso as informações do alvo, já que a confiança e uma vulnerabilidade foram estabelecidas para avançar com o ataque.
Desvinculação: acontece assim que o alvo realiza a ação desejada.
Como se proteger da engenharia social?
Proteger uma empresa da engenharia social exige um foco em conscientização. O treinamento dos funcionários é fundamental para reconhecer técnicas de engenharia social (e fugir delas).A implementação de políticas rigorosas de segurança pode ajudar a lidar com solicitações de informações confidenciais, mas o comportamento humano é a última barreira de segurança e precisa estar treinado para evitar os riscos.
Usar senhas fortes ou mesmo um gerenciador de senhas também é parte de uma estratégia em prol da segurança. As senhas devem ser complexas e usar caracteres diversos, como o uso de maiúsculas e minúsculas, símbolos e números, além de autenticação multifator, que adiciona camadas extras para verificar a identidade ao fazer login em uma conta.
Devemos evitar compartilhar dados familiares, como nomes de animais de estimação, de escolas, local de trabalho, nascimento ou outros detalhes pessoais, e ter muita cautela ao construir amizades online, e manter os softwares utilizados atualizados sempre que disponíveis.
A engenharia social representa uma ameaça significativa à segurança cibernética e à privacidade das organizações e indivíduos. Ao compreender os métodos comuns utilizados pelos engenheiros sociais e implementar medidas de segurança adequadas, as organizações e pessoas podem reduzir o risco de serem vítimas desses ataques.
*Marcelo Oliveira dos Santos é Consultor de Segurança da Informação na Protiviti Brasil.
A história do Cavalo de Troia, um dos mais famosos contos da mitologia grega, oferece uma poderosa metáfora para entender os perigos da autenticação fraca na era digital. Da mesma forma que o famoso cavalo de madeira permitiu aos gregos penetrar nas defesas de Troia e abrir as portas para a invasão, a exploração de autenticação fraca em sistemas de segurança cibernética pode conceder acesso não autorizado aos invasores, comprometendo a integridade das organizações.
Assim como os troianos confiaram na aparente inocência do presente, as organizações muitas vezes subestimam a importância de implementar medidas robustas de autenticação, abrindo inadvertidamente as portas para intrusões maliciosas. Este paralelo histórico ressalta a necessidade premente de reconhecer e mitigar os riscos associados à autenticação fraca na proteção das informações e ativos das organizações contra ameaças cibernéticas cada vez mais sofisticadas.
Autenticação é o processo de verificar a identidade de um usuário ou dispositivo para garantir que eles sejam quem afirmam ser. É uma etapa crucial na segurança da informação e desempenha um papel fundamental na proteção de sistemas e dados contra acesso não autorizado. A autenticação é importante porque ajuda a garantir a confidencialidade, integridade e disponibilidade dos recursos de uma organização, protegendo-os contra ameaças cibernéticas, como ataques de hackers e violações de dados.
Modelos de autenticação: muito além das senhas
O modelo de autenticação mais conhecido e tradicional é a feita por meio de senha. Para incrementar a segurança e evitar ataques de força bruta, há aprimoramentos como o Captcha, a troca periódica das senhas, a obrigatoriedade de criação de senhas fortes e assim por diante. Porém, há outros mecanismos mais eficientes e com menor fricção ao usuário e que são mais efetivos, tais como:
Autenticação Multifator (MFA): este método exige que os usuários forneçam duas ou mais formas de autenticação para acessar um sistema. Pode incluir algo que o usuário sabe (senha), algo que o usuário tem (um token enviado em um segundo dispositivo) e algo que o usuário é (biometria, como impressão digital ou reconhecimento facial). A MFA é mais segura do que a autenticação apenas por senha.
Autenticação de Certificado: Neste método, os usuários possuem um certificado digital único que é usado para autenticar sua identidade. Esse certificado é geralmente armazenado em um token ou dispositivo seguro e é muito utilizado por instituições financeiras.
Aprimorar a autenticação nas empresas pode ser desafiador devido a diversas resistências. Os custos associados à implementação de tecnologias avançadas, a complexidade dos novos processos para os usuários, questões de compatibilidade com sistemas existentes e resistência cultural à mudança são algumas das barreiras enfrentadas. Além disso, preocupações com a privacidade, especialmente em relação ao uso de biometria, e a necessidade de garantir uma experiência do usuário simples e eficiente também contribuem para a dificuldade na adoção de medidas mais robustas de autenticação. Superar esses desafios requer comprometimento da liderança, investimentos adequados em tecnologia e treinamento, além de uma abordagem equilibrada que leve em consideração tanto a segurança quanto a usabilidade.
Para as organizações que utilizam o pacote Microsoft, a solução de gestão de identidades Microsoft Entra ID resolve grande parte desses desafios. As licenças corporativas já possuem o Microsoft Entra ID com a funcionalidade de robustecer os métodos de autenticação. Logo, os custos para melhorar a autenticação são praticamente inexistentes. Além disso, é uma solução nativa e integrada com todo o ambiente Microsoft, reduzindo as necessidades de integração. Para habilitar o MFA, por exemplo, a Microsoft disponibiliza o aplicativo Microsoft Authenticator, que permite validar acessos por meio do dispositivo móvel. Restam as questões associadas à privacidade e cultura de segurança da informação. Para estes casos, é fundamental aplicar um programa de gestão da mudança gradual para minimizar os impactos de um modelo de autenticação mais robusto.
Ao robustecer os métodos de autenticação das identidades na sua organização, a barreira de entrada dos cibercriminosos passa a ser muito maior. Além de confiar nas defesas do castelo, proteger a porta de acesso é um aprendizado que a história prova ser fundamental.
O cenário de segurança cibernética está em constante evolução e as organizações precisam estar preparadas para enfrentar ameaças cada vez mais sofisticadas. Nesse contexto, o SOC (Security Operations Center) tem desempenhado um papel vital na defesa contra essas ameaças.
Nesse contexto, o SOC agora utiliza de ferramentas avançadas de detecção de ameaças emergentes, como ataques direcionados, ransomware, phishing avançado e APTs (Advanced Persistent Threats). Entre as soluções estão o EDR (Endpoint Detection and Response) e o SOAR (Security Orchestration, Automation and Response), que permitem uma resposta automatizada e coordenada aos incidentes, além de fornecer visibilidade e controle nos endpoints, ou seja, qualquer dispositivo conectado a uma rede de computadores.
Além disso, uma tendência importante na evolução do SOC é a implementação de tecnologias de Inteligência Artificial (IA), que pode analisar grandes volumes de dados em tempo real, identificar padrões e anomalias, além de prever e detectar ataques antes que eles ocorram. O Machine Learning (ML), por sua vez, permite que o SOC aprenda com o passado, adaptando-se a ameaças emergentes e refinando suas capacidades de detecção e resposta.
Ou seja, ao integrar IA e ML, o SOC pode detectar e responder “automaticamente” a ameaças, reduzindo o tempo de resposta e minimizando o impacto de incidentes de segurança.
É possível afirmar que o SOC desempenha um papel fundamental na proteção da infraestrutura digital e na defesa contra ameaças cibernéticas. No entanto, além de suas habilidades técnicas e conhecimento especializado, é essencial que os profissionais do SOC sigam princípios éticos sólidos.
Isso inclui acatar rigorosas políticas e práticas de segurança para garantir que as informações confidenciais não sejam divulgadas indevidamente, além de manter segredos comerciais, informações pessoais e estratégias de defesa em sigilo, protegendo a privacidade dos dados e garantindo que apenas as pessoas autorizadas tenham acesso.
Além disso, os profissionais do SOC não devem permitir influências pessoais, preconceitos ou discriminação na análise e resposta aos incidentes. Todas as ações devem ser baseadas em evidências e em uma avaliação objetiva dos riscos e impactos. A imparcialidade também implica em tratar igualmente todas as partes envolvidas, independentemente de posição, empresa ou relacionamento com a organização.
Mas o trabalho do SOC não para por aí. Enquanto o resto do mundo está aproveitando uma boa noite de sono, eles estão ocupados verificando sistemas de detecção, implementando atualizações de segurança e fortalecendo as defesas das organizações. Sem eles, os hackers teriam festas cibernéticas durante a madrugada. E, nesse mundo noturno, a colaboração é a chave do sucesso.
Há um trabalho, lado a lado, do SOC com outras equipes de segurança, formando uma liga de heróis da segurança cibernética. Juntos, compartilham informações confidenciais, trocam conhecimentos e se unem para enfrentar as ameaças mais poderosas. Eles são os super-heróis invisíveis do mundo cibernético!
*Humberto de Oliveira que é consultor de Segurança da Informação da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Gerenciar projetos não é trivial e as centenas de páginas do PMBoK (Project Management Body of Knowledge) são um atestado disso. Um Gerente de Projetos (PMO) é um malabarista dos bons: além de controlar os “malabares” de Escopo, Custo, Tempo e Qualidade, também tem que controlar a rotação dos pratos onde estão as expectativas dos stakeholders, o gerenciamento dos anseios e conflitos da equipe do projeto, a comunicação adequada, o controle dos riscos do projeto, influências externas e internas, etc.
Um antigo colega de trabalho me disse diversas vezes: “A responsabilidade é sempre do GP”. Será que o GP é o único responsável pelo projeto? A verdade é que um GP não é (e não pode ser) um “lobo solitário”. É fundamental que esse profissional tenha uma retaguarda para auxiliá-lo nos diversos aspectos da condução de um projeto. Seja fornecendo modelos ou templates, apoiando nas análises de riscos dos projetos, disponibilizando estudos de caso ou lições aprendidas em projetos semelhantes, cobrando ou lembrando o GP da necessidade de executar determinadas atividades na condução do projeto. Essa retaguarda é o PMO – Project Management Office.
O PMO não deve ser visto como um xerife fiscalizando a condução adequada dos projetos e nem como um mero distribuidor de modelos. Muito mais do que isso, o PMO é o parceiro, o ponto de apoio dos GPs na condução dos projetos. O PMO é o “conselho Jedi” dos GPs, o local onde os GPs encontram orientação e apoio, onde dúvidas sobre questões da gestão dos projetos podem ser debatidas e soluções podem ser elaboradas.
Um PMO bem estruturado apoiando o trabalho dos GPs permite projetos mais bem planejados e conduzidos. Qualquer organização que execute projetos, sejam eles internos ou como serviços para outras organizações, deve considerar a criação de um PMO. Com o apoio do PMO os gerentes de projetos não estão sozinhos e, dessa forma, as chances de sucesso dos projetos melhoram substancialmente.
*Armando Ribeiro é consultor de cibersegurança da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.