Nos últimos 18 meses, houve um aumento significativo nas ameaças direcionadas à infraestrutura crítica e às redes de tecnologia operacional (segurança OT). Esses ambientes são alvos prioritários devido à sua idade, complexidade e importância para as organizações. A OT é a força motriz por trás das maiores corporações do mundo – seja, por exemplo, misturando a receita secreta da Coca-Cola, gerando energia para milhões de clientes ou produzindo medicamentos que salvam vidas. Para grandes corporações, uma interrupção na rede OT pode facilmente causar milhões de dólares em perda de receita por hora.
Não é de admirar que empresas como JBS Foods , Colonial Pipeline e Brenntag pagaram US$ 19,8 milhões em ransomware para recuperar o acesso às redes OT e reiniciar a produção. Estes são apenas três exemplos, com um consenso geral entre os profissionais de segurança de que a quantidade não-divulgada é provavelmente impressionante. Isso certamente inclui violações multimilionárias e pagamentos de ransomware que não foram divulgados.
Dado o potencial de perda de receita, reputação prejudicada e multas regulatórias, as empresas estão se esforçando para proteger seus programas de segurança OT em grande escala. Ou seja, o desejo natural é encontrar a maneira mais rápida, eficiente e eficaz de obter “segurança”. Esse desejo por uma “bala de prata” é ainda mais complicado para organizações globais multinacionais que têm arquiteturas de rede OT muito diferentes, pilhas de tecnologia variadas, uma abundância de oportunidades para TI paralela, visibilidade limitada da rede OT e dezenas de idiomas, culturas e política para navegar.
Qualquer tentativa de medir o risco residual de um Programa OT para um provedor de seguro cibernético ou conselho de administração parece uma tarefa monumental. Além disso, por onde começar a priorizar os riscos e comparar os locais uns com os outros para identificar tendências e compartilhar as melhores práticas? Neste artigo, identificaremos uma abordagem comprovada de quatro etapas para organizações grandes e complexas começarem a medir seus riscos de segurança OT em várias unidades.
Etapa 1 – Definir a estrutura de gerenciamento de riscos
Uma estrutura de gerenciamento de risco (RMF) permite que as organizações usem uma abordagem baseada em risco para revisar valores de negócios e tolerâncias de risco para criar processos que integram controles de segurança em plantas industriais e redes OT de uma organização. Essa estrutura deve estar alinhada com a política de segurança OT. Ou seja, definindo indicadores de risco e requisitos de controle de segurança dimensionados pelo risco relativo da planta.
É importante trabalhar com contrapartes para entender como o valor comercial é definido para locais de produção. A planta 1 é um caminho crítico na cadeia de suprimentos para produzir materiais em outros locais? Na Planta 2 existe uma fórmula proprietária que deve ser protegida a todo custo, enquanto a 3 tem processos que são conhecidos publicamente? A Planta 3 tem contratos de entrega em que a empresa deve fornecer todo o produto ou ser responsável financeiramente por todo o embarque?
Indicadores adicionais que afetam os cálculos de risco de negócios podem ser valor comercial, impacto na cadeia de suprimentos, conectividade do equipamento do local, geografia, produto fabricado, receita e considerações regulatórias. Cada empresa é única e pode ter restrições de confidencialidade, integridade e disponibilidade que diferem muito entre as unidades. Assim, a adesão dos stakeholders sêniores desde o início é fundamental para adquirir recursos, financiamento e suporte para aumentar a resiliência e a segurança OT.
Etapa 2 – Delinear o conjunto de controle para a segurança OT
Defina os controles de segurança OT para medir as plantas em relação aos riscos do setor, estruturas externas, práticas recomendadas e a capacidade de execução. Dado o delta entre a prontidão de uma organização para implementar e o perfil de risco dos sites de segurança OT, é altamente recomendável ter uma linha de base consistente de controles que mapeiam os padrões do setor (ou seja, IEC 62443, NIST 800-82, Diretiva de segurança TSA 2) e níveis de controles necessários com base no cenário regulatório e de risco dos sites OT. Por exemplo, o local de maior geração de receita, onde a disponibilidade é a principal preocupação, deve ter requisitos mais altos de resiliência. Além disso, precisa também investir em redundância de hardware e backups locais.
A seleção de controles de segurança OT é um processo importante que equilibra a necessidade de proteger ativos organizacionais críticos, evitando impactos adversos nas operações ou na saúde e segurança das equipes. Os controles de segurança OT devem ser definidos em uma política organizacional e permitir flexibilidade para atender diferentes perfis de ameaça. Deve haver um processo para lidar com exceções de política com considerações para questões de viabilidade técnica. Ou seja, onde a tecnologia não pode atender a um controle e o foco precisa estar na mitigação de controles para reduzir o risco.
Etapa 3 – Medindo a maturidade no nível da planta
Meça a conformidade das plantas OT em relação aos controles definidos e priorize o risco residual com base na probabilidade de comprometimento e impacto nas operações da organização (aproveitando a estrutura de risco da Etapa Um), considerando as mitigações em vigor. Ou seja, as organizações precisam desenvolver um processo repetível para coletar informações sobre riscos e medir resultados. Assim, recomenda-se usar um conjunto consistente de perguntas para avaliar os locais de OT em relação a um conjunto comum de controles-padrão da indústria.
Nos últimos 5 anos, vimos uma maior adoção do NIST CSF Framework, útil para comunicar os resultados da maturidade em vários locais de maneira concisa. A adoção também alavanca um conjunto consistente de controles. Um dos maiores desafios com o gerenciamento de riscos em vários locais de OT é priorizar recursos para reduzir o risco organizacional e reunir fundos para resolver os problemas. As comparações de maturidade da segurança no nível da planta em características de risco, como geografia, produto e receita, podem ajudar a impulsionar as atividades de remediação.
Etapa 4 – Socialize os resultadosda segurança OT
Socialize as métricas de segurança OT de maneira impactante para obter suporte para recursos e correção de riscos residuais do programa. Assim, ao discutir os riscos de segurança OT com executivos, destaque os resultados potencialmente desfavoráveis que podem surgir de riscos residuais (perdas financeiras, impactos na saúde e segurança, danos à reputação). Painéis do PowerBI, como por exemplo o mostrado abaixo, podem ser uma ótima ajuda visual. Isso pode ajudar na adesão dos principais líderes organizacionais para garantir o financiamento, garantindo que as plantas OT atendam às expectativas básicas. Temos vários clientes em organizações complexas que obtiveram benefícios na adoção de processos de segurança e redução de riscos quando alavancaram métricas específicas do local para promover uma competição saudável entre VPs de unidades de negócios.
Gerenciar o risco de segurança OT em escala, portanto, é um desafio para muitas organizações. A chave é identificar adequadamente os riscos e alinhar os recursos para reduzir os riscos organizacionais, que podem afetar a saúde e a segurança. A abordagem em fases da Protiviti comprovadamente alinha os stakeholders internos em uma abordagem para medir e priorizar os riscos. Ao mesmo tempo, a metodologia reúne o financiamento e os recursos de suporte necessários para mitigar riscos e melhorar a resiliência do seu programa OT.
A cada dia, a segurança cibernética está se tornando mais importante, já que a vida dos cidadãos e dos negócios está ligada ao mundo virtual. Por isso, os termos malware, ciberguerra e brute force attack estão mais frequentes. Hoje, os especialistas em cibersegurança atuam como se estivessem na linha de frente de um campo de batalha. Um ataque Zero-Day é uma das ameaças a que as organizações estão expostas.
E esse cenário deve se intensificar: de acordo com a Statista, plataforma on-line especializada em dados de mercado e consumidores, o custo anual dos crimes cibernéticos vai crescer 40% e atingir US$ 11,5 trilhões em 2023, ou seja, R$ 59 trilhões.
Logo, é possível imaginar que, neste período, ocorrerá um ataque Zero-Day, ou seja, uma invasão em função de uma vulnerabilidade não conhecida de software que ainda não foi identificada pelo fornecedor ou público. Para efeitos de analogia, imagine que uma fechadura da sua casa está quebrada, mas você não sabe e, até que descubra e conserte, os malfeitores tiram proveito dessa situação. Ocorre o mesmo num ataque Zero-Day. Mas, é possível proteger o ambiente de um evento desse nível e manter os dados íntegros. Para isso, devemos seguir as boas práticas de segurança listadas abaixo:
Sempre manter os firmwares, hardwares, softwares e sistemas operacionais atualizados. Os fornecedores estão sempre incluindo correções de segurança recém identificadas em novas versões. Isso garante mais segurança;
Utilizar equipamentos de segurança, como firewall e VPN, entre outros, que tem como foco proporcionar a proteção essencial contra ameaças, sempre atualizados e configurados para permitir somente transações necessárias.
Conscientizar os colaboradores com treinamentos, palestras e políticas de segurança. Com os bons hábitos, os colaboradores estarão seguros no ambiente on-line, apoiando a organização na proteção de ameaças digitais;
Utilizar somente softwares necessários, o que reduzirá as vulnerabilidades e os riscos à rede;
Tenha uma rotina de backup do seu ambiente. É importante procurar mantê-lo armazenado em outro local além da empresa, reforçando a segurança em caso de acidentes que o comprometa fisicamente.
Um ataque Zero-Day é um risco enorme para as empresas, causando prejuízos incalculáveis. E hoje, mais do que nunca, é fundamental que as organizações invistam em Segurança da Informação para garantir os princípios básicos de confidencialidade, integridade e disponibilidade de ambientes, bem como para se fortalecerem no mercado.
*Adenilson Almeida é gerente se cibersegurança da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
OT (Operational Technology) refere-se aos sistemas e equipamentos usados para controlar, monitorar e gerenciar processos industriais. Sistemas OT são encontrados em fábricas, indústrias, hospitais, centros logísticos, fazendas e outras infraestruturas críticas. Geralmente, estes incluem controladores lógicos programáveis, sistemas de controle de supervisão e aquisição de dados e outros tipos de equipamentos, usados para automatizar e gerenciar processos industriais.
No contexto da segurança cibernética, os sistemas de OT são particularmente preocupantes. Isso porque muitas vezes estão conectados à internet, o que os torna vulneráveis a ataques cibernéticos . Hackers podem tentar comprometer os sistemas OT para interromper ou manipular processos industriais, o que pode ter sérias consequências. Além disso, danos físicos, perdas financeiras e até mesmo perda de vidas estão entre os riscos de um potencial ataque cibernético.
A importância da implementação de medidas de segurança de OT (Tecnologia Operacional) nas organizações não pode ser minimizada. Estes sistemas desempenham um papel vital na operação de muitas organizações, por isso sua interrupção ou comprometimento pode ter sérias consequências.
Assim, é essencial que as organizações implementem medidas robustas de segurança de OT para proteger esses sistemas contra ameaças cibernéticas. Isso inclui medidas como firewalls, detecção de intrusão e sistemas de prevenção, controles de acesso seguro e monitoramento e manutenção de segurança contínuos. Implementando essas medidas, as organizações podem prevenir ou mitigar os riscos de ataques a seus sistemas. Ou seja, podem ajudar a garantir a operação contínua e a confiabilidade da operação.
Diferença entre segurança de OT e segurança de TI
Segurança de OT e segurança de TI são dois tipos distintos de segurança cibernética, projetados para proteger diferentes tipos de sistemas e equipamentos. Ou seja, a principal diferença elas é justamente o tipo de sistemas e equipamentos que eles são projetados para proteger. A segurança de OT se concentra na proteção específica de sistemas e equipamentos industriais. Já a segurança de TI se concentra na proteção de sistemas e equipamentos de tecnologia da informação.
Embora ambos sejam importantes, os riscos e as consequências de um ataque cibernético em sistemas de OT podem ser mais graves. Isso porque esses sistemas costumam ser críticos para a operação das organizações e podem ter sérias consequências se forem interrompidos ou comprometidos.
Etapas para implementar a Segurança de OT
Entre as várias etapas que as organizações podem seguir para implementar medidas de segurança de OT, destacamos aqui as 5 principais:
Avalie os riscos: a primeira etapa na implementação da segurança de OT é avaliar os riscos para seus sistemas OT. Isso inclui identificar as possíveis ameaças e vulnerabilidades que podem afetar seus sistemas, além de mapear as possíveis consequências de um ataque cibernético .
Desenvolva um plano de segurança: depois de identificar os riscos para seus sistemas de OT, a equipe responsável deve desenvolver um plano de segurança que descreva as medidas que serão tomadas para proteger esses sistemas.
Implemente medidas de segurança: a próxima etapa é implementar, de fato, as medidas de segurança descritas em seu plano de segurança, colocando em prática os planos de ação e a tecnologia necessária.
Teste e avalie: é importante testar e avaliar regularmente suas medidas de segurança de OT para garantir que sejam eficazes e atualizadas. Isso pode incluir, por exemplo, a realização de testes de penetração regulares e avaliações de vulnerabilidade.
Treine e eduque os funcionários: finalmente, é essencial educar seus funcionários sobre a segurança de OT e o papel que eles desempenham na proteção de seus sistemas. Isso pode incluir treinamento sobre como identificar e relatar possíveis ameaças, bem como a importância de seguir protocolos e procedimentos de segurança.
Perguntas-chave para entender se você tem segurança de OT
Algumas perguntas que você pode fazer para entender se uma organização implementou medidas de segurança de OT:
Quais sistemas e equipamentos a organização usa para controlar, monitorar e gerenciar processos industriais?
Como esses sistemas estão conectados à internet ou outras redes? Quais os pontos vulneráveis?
A organização possui uma política ou plano de segurança cibernética para proteger seus sistemas de OT?
Quais medidas a organização implementou para proteger seus sistemas de OT?
A organização mantém seus sistemas e software de OT atualizados com os últimos patches e atualizações de segurança?
Existe um processo para responder a ameaças cibernéticas e incidentes envolvendo seus sistemas de OT? Ele está atualizado?
A organização tem um processo para testar e avaliar regularmente suas medidas de segurança de OT para garantir que sejam eficazes e atualizadas?
Como a organização treina seus funcionários sobre segurança de OT e o papel que eles desempenham na proteção desses sistemas?
Ao fazer essas perguntas, você pode entender melhor as medidas que a organização implementou para proteger seus sistemas de OT. Além disso, também será possível perceber o nível de foco que ela coloca na segurança de OT.
Terceirização da segurança de OT em sua organização
É possível para as organizações terceirizar algumas ou todas as suas necessidades de segurança de OT. A terceirização da segurança de OT pode, por exemplo, fornecer às organizações acesso a conhecimentos e recursos especializados que talvez não tenham internamente. Com isso, a empresa libera recursos e tempo para que suas equipes se concentrem em suas principais operações de negócios.
No geral, a terceirização da segurança de OT pode fornecer às organizações muitas vantagens. Alguns exemplos são o acesso a conhecimentos e recursos especializados, economia de custos, postura de segurança aprimorada e conformidade regulamentar.
Vantagens de terceirizar a segurança dos sistemas OT
Acesso a conhecimentos especializados: a terceirização da segurança de OT pode fornecer às organizações acesso a conhecimentos e recursos especializado. Isso pode ser particularmente útil para organizações que não possuem uma equipe de segurança cibernética dedicada ou que não tenham as habilidades e conhecimentos necessários para proteger com eficácia seus sistemas de OT.
Economia de custos: terceirizar a segurança de OT pode ser mais econômico do que construir e manter uma equipe de segurança interna. Com isso, pequenas e médias empresas que não têm orçamento para contratar e treinar uma equipe podem, ainda assim, ter acesso à estrutura de segurança OT.
Postura de segurança aprimorada: trabalhar com um provedor de segurança de OT experiente e respeitável pode ajudar as organizações a melhorar sua postura de segurança e, com isso, reduzir o risco de um ataque cibernético. Isso pode ser particularmente importante para organizações que dependem de sistemas de OT para operações e processos críticos.
Conformidade regulamentar: muitas organizações podem estar sujeitas a requisitos regulamentares relacionados à segurança de OT, como por exemplo os relacionados à proteção de infraestrutura crítica. A terceirização da segurança de OT pode ajudar as organizações a garantir que estejam em conformidade com esses requisitos e evitar possíveis multas e penalidades.
A Protiviti Brasil presta serviços gerenciados de segurança de OT nas organizações por meio do seu time de cibersegurança. Com isso, as organizações têm acesso a conhecimento e expertise global da empresa, com escritórios espalhados mundialmente.
Softwares de segurança de OT
Um software de segurança de OT desempenha um papel vital em ajudar as organizações a proteger seus sistemas de OT contra ameaças cibernéticas. Um software de segurança de OT pode ajudar, por exemplo, a:
Proteger-se contra ameaças cibernéticas: o software de segurança de OT pode ajudar a proteger contra uma ampla gama de ameaças cibernéticas, incluindo malware, ransomware e outros tipos de ataques que podem interromper ou comprometer sistemas críticos.
Monitorar a atividade da rede: o software de segurança de OT pode monitorar a atividade da rede em tempo real e alertar as organizações sobre qualquer atividade suspeita ou maliciosa.
Automatizar os processos de segurança: o software de segurança de OT pode automatizar muitos processos de segurança, como gerenciamento de patches e atualizações de segurança, o que pode ajudar as organizações a economizar tempo e recursos. Isso pode ser particularmente útil para organizações com redes OT grandes e complexas.
Melhorar a conformidade: o software de segurança de OT pode ajudar as organizações a cumprir os regulamentos e padrões do setor, como os relacionados à proteção de infraestrutura crítica.
Aumentar a visibilidade: o software de segurança de OT pode fornecer às organizações visibilidade de seus sistemas e redes OT, permitindo identificar vulnerabilidades.
No geral, o software de segurança de OT pode desempenhar um papel vital para proteger sistemas de OT, por exemplo, contra ameaças cibernéticas. Dessa forma, é possível garantir a confiabilidade e a segurança contínuas de sistemas e infraestrutura críticos.
A Protiviti usa o software Claroty, líder de mercado em segurança de OT e utilizado mundialmente por milhares de organizações. Os produtos e serviços da Claroty são projetados para proteger redes e sistemas industriais contra ameaças cibernéticas. As ameaças mapeadas incluem malware, ransomware e outros tipos de ataques que possam interromper ou comprometer a infraestrutura crítica.
Inteligência de ameaças cibernéticas (IAC, ou CTI em inglês) é a atividade de coleta, análise e disseminação sobre ameaças cibernéticas atuais e potenciais para auxiliar uma empresa na tomada de decisões e nos processos de gerenciamento de riscos. A IAC pode incluir uma ampla gama de informações, como detalhes técnicos sobre exploração de vulnerabilidades, informações sobre agentes de ameaças e suas táticas, técnicas e procedimentos, uso inapropriado de marcas para prática de phishing ou outro tipo de dano reputacional, fraudadores se passando por executivos de empresas para praticar engenharia social e coletar dados das organizações, além de outros objetivos dos criminosos cibernéticos.
A inteligência de ameaças é usada para entender o cenário de ameaças atual e em evolução e para suportar o desenvolvimento de defesas eficazes e planos de resposta. Ela pode ser coletada de várias fontes, incluindo a dark web, feeds de inteligência comercial e fontes de dados proprietárias, redes sociais etc. A IAC é normalmente usada por organizações para melhorar sua postura de segurança cibernética, mas também pode ser usada por governos e agências de aplicação da lei para identificar e mitigar ameaças cibernéticas.
Implementação de um programa de IAC nas organizações
Existem várias etapas que as organizações podem seguir para implementar a inteligência de ameaças cibernéticas de forma eficaz:
Defina o escopo e os objetivos do programa inteligência de ameaças: defina claramente os tipos de ameaças que mais preocupam a organização e determine quais tipos de inteligência serão mais valiosas para lidar com essas ameaças.
Identifique fontes de inteligência de ameaças: determine quais fontes de inteligência de ameaças estão disponíveis para a organização, incluindo a dark web, feeds de inteligência comercial e fontes de dados proprietárias, redes sociais etc.
Analise e avalie inteligência de ameaças: Desenvolva processos para coletar, analisar e avaliar inteligência de ameaças para garantir que a inteligência seja precisa, relevante e oportuna.
Divulgue a inteligência de ameaças para as partes interessadas relevantes: garanta que a inteligência de ameaças seja compartilhada com as pessoas apropriadas dentro da organização, incluindo profissionais de segurança cibernética, alta gestão e outras partes interessadas relevantes.
Integre a inteligência de ameaças aos processos de gerenciamento de riscos: use a inteligência de ameaças para informar as decisões de gerenciamento de riscos, incluindo o desenvolvimento de políticas e procedimentos de segurança cibernética, a seleção de tecnologias de segurança e o planejamento dos esforços de resposta a incidentes.
Monitore e atualize continuamente o programa de IAC: Revise e atualize regularmente o programa inteligência de ameaças para garantir que ele permaneça eficaz e relevante diante das ameaças cibernéticas em constante evolução.
Alguns benefícios da implementação da IAC nas empresas:
Postura de segurança aprimorada: a inteligência de ameaças pode fornecer às organizações uma melhor compreensão do cenário de ameaças atual e em evolução, o que pode ajudá-las a identificar e abordar vulnerabilidades e desenvolver defesas mais eficazes.
Tomada de decisão aprimorada: a inteligência de ameaças pode fornecer às organizações as informações de que precisam para tomar decisões informadas de gerenciamento de riscos, incluindo a seleção de tecnologias de segurança, o desenvolvimento de políticas e procedimentos e o planejamento de esforços de resposta a incidentes.
Maior conscientização: a inteligência de ameaças pode ajudar as organizações a se tornarem mais conscientes das ameaças potenciais e das táticas, técnicas e procedimentos usados pelos agentes de ameaças, o que pode capacitá-los a lidar proativamente com os riscos potenciais.
Resposta aprimorada a incidentes: a inteligência de ameaças pode fornecer às organizações as informações de que precisam para responder com eficácia a incidentes cibernéticos, incluindo detalhes sobre as táticas e motivações dos agentes de ameaças e o impacto potencial de um ataque.
Economia de custos: a implementação de um programa de inteligência de ameaças pode ajudar as organizações a identificar e lidar com ameaças potenciais antes que resultem em violações dispendiosas ou outros incidentes, levando a economias de custos a longo prazo.
Vantagem competitiva: as organizações que usam inteligência de ameaças de forma eficaz podem obter uma vantagem competitiva ao estarem mais bem preparadas para se defender contra ameaças cibernéticas e serem mais ágeis diante dos riscos em constante mudança.
Terceirização da IAC nas organizações
É possível para as organizações terceirizar seus esforços de inteligência de ameaças para empresas especializadas ou empresas de consultoria. Essas empresas podem fornecer uma variedade de serviços de inteligência de ameaças, incluindo coleta e análise de dados, relatórios personalizados e integração com sistemas de segurança.
A terceirização da inteligência de ameaças pode ser uma maneira econômica de as organizações acessarem conhecimentos e recursos que talvez não tenham internamente. Ela também pode fornecer às organizações acesso a uma ampla gama de fontes de dados e ferramentas de análise, que podem ser particularmente valiosas para organizações com recursos limitados ou experiência no campo de inteligência de ameaças.
Terceirizar a IAC pode trazer vantagens para as empresas, como:
Acesso à expertise: a terceirização da inteligência de ameaças pode fornecer às organizações acesso a expertise e recursos especializados que talvez não tenham internamente. Isso pode ser particularmente valioso para organizações com experiência ou recursos limitados no campo de inteligência de ameaças.
Economia de custos: a terceirização da inteligência de ameaças pode ser mais econômica do que criar e manter um programa interno, especialmente para organizações com recursos limitados.
Gama mais ampla de fontes de dados: a terceirização da inteligência de ameaças pode fornecer às organizações acesso a uma variedade mais ampla de fontes de dados e ferramentas de análise, o que pode ser particularmente valioso para organizações com recursos limitados ou experiência no campo.
Flexibilidade: A terceirização da inteligência de ameaças pode fornecer às organizações flexibilidade para aumentar ou diminuir seus esforços conforme necessário, dependendo de suas necessidades e recursos atuais.
Foco nas principais competências: ao terceirizar a inteligência de ameaças, as organizações podem concentrar seus esforços em suas principais competências e deixar o gerenciamento e a análise da inteligência de ameaças para especialistas.
No entanto, é importante que as organizações considerem cuidadosamente os riscos e benefícios da terceirização da inteligência de ameaças e garantam que tenham supervisão e controle suficientes sobre o processo. Também é essencial avaliar cuidadosamente as credenciais e a reputação de potenciais parceiros de inteligência de ameaças antes de entrar em qualquer acordo.
A Protiviti do Brasil atua na inteligência de ameaças por meio de seu time de cibersegurança, prestando serviços confiáveis e gerenciados de segurança altamente qualificados para coleta, análise e comunicação de ameaças aos nossos clientes e executivos.
Softwares de inteligência de ameaças cibernéticas
O software de inteligência de ameaças cibernéticas (inteligência de ameaças) foi projetado para coletar, analisar e disseminar informações sobre ameaças de maneira estruturada e eficiente. O software inteligência de ameaças pode incluir uma variedade de recursos e capacidades, como:
Coleta e agregação de dados: o software inteligência de ameaças pode coletar dados de uma ampla variedade de fontes, incluindo inteligência de código aberto (OSINT), feeds de inteligência comercial e fontes de dados proprietárias. Ele também pode agregar e organizar esses dados de uma forma que os torne mais fáceis de analisar e entender.
Análise e avaliação: o software inteligência de ameaças pode incluir ferramentas e processos para analisar e avaliar dados de inteligência de ameaças, incluindo o uso de algoritmos automatizados e análise manual por especialistas no assunto.
Disseminação: o software inteligência de ameaças pode fornecer várias maneiras de disseminar informações sobre ameaças às partes interessadas relevantes, inclusive por meio de painéis, alertas, relatórios e outros formatos.
Integração com sistemas de segurança: o software inteligência de ameaças pode ser integrado a outros sistemas de segurança, como firewalls, sistemas de detecção e prevenção de invasões e plataformas de proteção de terminais, para permitir uma resposta automatizada a ameaças.
Personalização e configuração: o software inteligência de ameaças geralmente pode ser personalizado e configurado para atender às necessidades específicas de uma organização, incluindo os tipos de ameaças que mais preocupam e as fontes de inteligência mais valiosas.
No geral, o software inteligência de ameaças pode ajudar as organizações a coletar, analisar e disseminar informações sobre ameaças com mais eficiência e eficácia, o que pode melhorar sua postura de segurança cibernética e reduzir o risco de incidentes cibernéticos.
Para prestar nossos serviços de inteligência de ameaças, a Protiviti usa o Digital Shadows. ferramenta líder de inteligência de ameaças no mercado. O software Digital Shadows pode monitorar uma variedade de fontes online, incluindo mídia social, dark web e open web, para identificar ameaças como vazamentos de dados, acesso não autorizado a dados confidenciais e ataques cibernéticos. O software também pode monitorar abuso de marca, como o uso do nome ou logotipo de uma organização sem permissão, e ajudar as organizações a identificar e resolver problemas de reputação online.
No geral, o software Digital Shadows é projetado para ajudar as organizações a proteger seus dados confidenciais, reputação e ativos contra ameaças cibernéticas e para gerenciar seu risco digital.
Diante de uma onda de digitalização de processos, evitar ciberataques no agronegócio passou a ser ainda mais urgente.
por Helder Assis*
Numa crescente evolução, o agronegócio se tornou uma das principais atividades econômicas do Brasil, alcançando 27,4% do Produto Interno Bruno (PIB), segundo o Centro de Estudos Avançados em Economia Aplicada (Cepea – Esalq/USP), em parceria coma Confederação da Agricultura e Pecuária do Brasil (CNA).
Dada sua relevância para a economia nacional e internacional, o setor tem investido cada vez mais em tecnologias e mecanismos para a automatização de processos, o que possibilita melhorias na cadeia produtiva e, consequentemente, mais produtividade.
Porém, nos últimos anos, em função dessa nova onda de digitalização, vimos o aumento dos casos de incidentes de segurança da informação, tornando o setor um novo alvo para potenciais investidas de cibercrimosos. Na rotina do agronegócio, um dos principais riscos é o de indisponibilidade dos sistemas, uma vez que as práticas de produção são bastante suportadas por tecnologias e processos mecanizados. Desta forma, é fundamental que os produtores estejam atentos e protegidos contra vulnerabilidades de segurança que possam impactar sua operação.
Isso significa que não são apenas os grandes players que estão sofrendom com ciberataques no agronegócio. Os pequenos também. Toda a cadeia está se digitalizando e os cuidados devem ser tomados da pequena à grande operação, pois o ataque pode ocorrer de forma direcionada ou por meio de iscas, que alcança diferentes empresas.
Em junho de 2021, a maior empresa de processamento de carne do mundo, a brasileira JBS, foi alvo de um ataque cibernético sofisticado. Por meio de um ransonware, modalidade em que um vírus sequestra o computador da vítima e os criminosos cobram um valor em dinheiro pelo resgate, a JBS teve algumas de suas operações, como na Austrália, Canadá e Estados Unidos, fechadas temporariamente, afetando toda sua rotina.
Meses depois, o FBI divulgou um alerta comunicando que grupos de cibercriminosos estariam atacando empresas do setor e gerando diferentes prejuízos, seja no impacto à disponibilidade de sistemas, com solicitações de resgates após os ataques, ou mesmo com os custos de contenção, remediação e investigação dos incidentes. Os alertas do FBI chamaram a atenção ao mencionar que pequenas fazendas e produtores locais também foram alvo dos cibercriminosos.
6 dicas para evitar ciberataques no agronegócio
De olho nesse cenário e considerando que muitos ataques não são divulgados por se tratar de empresas de menor porte, seguem seis recomendações que valem para operações de qualquer porte minimizarem os impactos de um potencial ataque:
Instalar e manter atualizados softwares de antivírus ou antimalware e EDR (Endpoint Detection Response), que é utilizado para o bloqueio de ransomwares e a criptografia de arquivos nos servidores, desktops e notebooks.
Realizar um ciclo permanente de gestão de vulnerabilidades do ambiente tecnológico para identificar as vulnerabilidades, priorizá-las e corrigi-las.
Implementar o monitoramento dos eventos de segurança por meio de um SOC (Security Operation Center), que dará todo o suporte em caso de eventual incidente.
Implementar uma política de backup que permita a restauração das informações caso necessário.
Criar um processo de verificação e sanitização das contas com acesso aos ambientes, especialmente as que tenham acessos administrativos ou privilegiados.
Implementar uma política de senha forte para os usuários.
Sabemos que não existe um ambiente 100% seguro, pois novos tipos de ataque surgem diariamente. Entretanto, essas medidas podem proporcionar um padrão inicial de segurança no setor e, com um contínuo monitoramento, reduzir as vulnerabilidades.
*Helder Assis é gerente de cibersegurança e de privacidade de dados na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.
A Operação Singular 2, deflagrada pela Polícia Federal (PF) na semana passada, tem entre seus principais alvos fraudadores focados em crimes financeiros, como roubo de dados e clonagem de cartão de crédito. Além de danos morais e financeiros às vítimas, estima-se que esse tipo de fraude – o cartão de crédito clonado – seja responsável por um prejuízo anual de R$ 125 milhões ao comércio e às instituições bancárias.
A clonagem de cartões de crédito não é um crime trivial, e envolve organizações com grande abrangência nacional e técnicas avançadas para o roubo de dados. Por conta disso, é necessário ter bastante atenção para manter os dados bancários seguros e evitar ter um cartão, seja ele físico ou virtual, clonado. Abaixo estão algumas recomendações do consultor de Inteligência de Ameaças da Protiviti, Juan Riquelme Marin Santos.
Sete dicas para evitar ter o cartão de crédito clonado
Use cartões virtuais: hoje, a maior parte dos bancos e operadoras de cartão de crédito permite que seus clientes gerem cartões virtuais temporários e permanentes para compras online. Este recurso garante maior segurança nas negociações, mesmo em sites grandes e conhecidos. O cartão virtual temporário pode ser sempre a melhor opção, já que esta função permite que o cartão se extinga pouco depois da realização da compra.
Evite utilizar cartões em pequenos estabelecimentos: algumas quadrilhas usam sistemas para roubar dados de cartões em máquinas de pagamento. Segundo o especialista, pequenos estabelecimentos e vendedores ambulantes são os mais propícios a carregar este tipo de sistema em suas maquininhas. Nestes locais, uma opção é pagar com o Pix.
Cubra o teclado para digitar a senha: essa dica não é nova, mas não deixa de ser bastante útil. É possível que quadrilhas instalem câmeras de forma estratégica em estabelecimentos, incluindo bancos e caixas 24 horas, para capturar a digitação de senhas. Portanto, é importante dificultar a visualização de suas senhas, incluindo em caixas eletrônicos para evitar ter o cartão de crédito clonado.
Não entregue o cartão para terceiros: é comum que o lojista peça o cartão em casos em que a transação não é aprovada de primeira. Essa prática pode permitir que os dados do cartão sejam capturados por uma câmera, permitindo o roubo de dados. Também é possível que a transação seja levada para uma máquina mais distante da visão do cliente, o que também pode permitir o roubo de dados bancários.
Não acredite em ligações do banco alegando fraudes: desde meados da semana passada, o banco Itaú tem veiculado uma propaganda alertando sobre o golpe do portador. Caso alguém entre em contato com você alegando ser funcionário do banco, não faça nada do que for pedido e, em hipótese alguma, entregue seu cartão para alguém que se apresente como portador do banco, mesmo que o cartão esteja picotado.
Saiba em quais momentos sua senha poderá ser exigida: sua senha só será exigida em caixas eletrônicos, em compras físicas, na maquininha de cartão, e para confirmar transações bancárias pelo aplicativo do seu banco, como uma transferência pelo Pix. Qualquer caso diferente disso, deve ser encarado com atenção, porque pode ser golpe.
Fique de olho na fatura: os bancos permitem que seus clientes acompanhem suas transações em tempo real. Essa dica não é sobre evitar uma clonagem, mas como descobrir de maneira mais rápida caso uma fraude seja realizada. Caso verifique qualquer compra estranha ou que não se lembre, entre em contato com o banco imediatamente e informe que não reconhece determinada compra, informando data, valor e local em que ela foi realizada
O aumento do número de ciberataques provocou inúmeros impactos financeiros e na imagem de grandes empresas nos últimos meses. Neste cenário, os EUA lideram o ranking como alvo mundial de ciberataques, enquanto o Brasil ocupa o segundo lugar, de acordo com a Netscout.
Os ataques, a todos os tipos de negócio, estão cada vez mais sofisticados e complexos e, em cada novo incidente, lições são aprendidas, assim como processos e ferramentas são implementados. São várias as boas práticas recomendadas pelos especialistas de segurança com o objetivo de evitar ataques bem-sucedidos, sobretudo porque a antecipação e remediação por meio da gestão de vulnerabilidades é a indicação mais efetiva.
Isso porque, ao reduzir a falta de visibilidade das falhas nos sistemas, é possível fornecer maior controle no ambiente de Tecnologia da Informação. Essa orientação deve estar na lista de prioridade das empresas, pois o cenário futuro que se apresenta é o aumento das vulnerabilidades, muito em função da alta demanda de novos sistemas e infraestrutura.
O gerenciamento de vulnerabilidades é uma tarefa complexa e que gera muita demanda em várias partes de uma organização e grupos de trabalho de segurança. A complexidade do processo, em grande parte, ocorre em função da quantidade de novas vulnerabilidades, que são descobertas todos os dias e em todos os tipos de sistemas desenvolvidos. Não existe uma ação de mitigação imediata para evitar ciberataques, mas são necessárias soluções alternativas a fim de evitar riscos e, assim, impactos nas organizações.
A realidade é que se as vulnerabilidades já conhecidas fossem mitigadas, grande parte dos incidentes seriam evitados. Para que isso aconteça, o processo deve ser a identificação, classificação e tratamento das falhas. Também é papel da gestão de vulnerabilidades alterar as configurações dos programas para que fiquem mais seguros e eficientes.
A identificação da vulnerabilidade deve ser realizada a partir de um inventário de ativos que está de acordo com a realidade da empresa. Um erro bastante comum é não existir o mapeamento fidedigno com a infraestrutura como hardwares, softwares e peopleware. A partir da lista de ativos, o software de gestão irá identificar as falhas e vulnerabilidades que podem expor os sistemas e dados a diversas ameaças. Trata-se de uma avaliação ampla de segurança, indicando fraquezas para eliminar ou reduzi-las.
Na prática, a classificação da vulnerabilidade deve também estar de acordo com o risco e impacto que pode trazer para o negócio, sendo elas: urgente, crítica, alta, média e baixa. Já o tratamento consiste na correção da vulnerabilidade, na aplicação de controles para minimizar a probabilidade da sua exploração ou do seu impacto e, por fim, na aceitação dos riscos envolvidos. Para que essa etapa realmente seja efetiva, é importante identificar os fatores que podem gerar maior risco para o negócio e priorizar tais correções. Por exemplo, um ambiente de servidores e suas vulnerabilidades devem ser corrigidos primeiramente em relação ao ambiente da estação de trabalho, caso o negócio e a avaliação de risco assim estabelecer.
O importante é estar atento e sempre buscar a correção antes que os atores mal-intencionados explorem as falhas, gerando impactos negativos nos negócios.
Segurança cibernética, privacidade, dados e conformidade regulatória são classificados como os principais riscos em auditorias de TI
Uma nova pesquisa realizada pela Protiviti e ISACA descobriu que a segurança cibernética é o principal risco para os departamentos de auditoria de TI. Vários outros riscos relacionados, como privacidade e dados, bem como conformidade regulatória e liderando como principais preocupações, também foram citados na pesquisa. O estudo pediu aos entrevistados que classificassem a importância de 39 problemas de risco de tecnologia. Desses, os 10 principais riscos em auditoria de TI identificados foram os seguintes:
Violação cibernética
Gerenciar incidentes de segurança
Privacidade
Monitorar a conformidade regulatória
Risco de acesso
Integridade de dados
Recuperação de desastres
Gestão de dados
Risco de terceiros
Monitorar/auditar TI, conformidade legal e regulatória
O relatório foi baseado em uma pesquisa realizada no quarto trimestre de 2021. Nela, mais de 7.500 líderes e profissionais de auditoria de TI, incluindo diretores de auditoria (CAEs) e vice-presidentes e diretores de auditoria de TI foram entrevistados. Esses profissionais representam uma ampla gama de indústrias em todo o mundo, de múltiplos setores. A coleta de dados foi realizada em colaboração entre a Protiviti e a ISACA.
Os principais riscos citados na pesquisa deste ano destacam o papel vital, porém sensível, que os dados desempenham nas organizações hoje. Com isso, foi observado que entrevistados expressam preocupações significativas em relação à maneira como os dados são coletados, governados e protegidos. Além disso, os entrevistados também demonstraram que os profissionais de auditoria de TI estão cientes dos requisitos de conformidade em evolução enfrentados por suas organizações, relacionados à administração de dados, padrões do setor e requisitos nacionais e regionais. A pesquisa ajuda a entender as prioridades, expectativas e tendências observadas pelo setor para os próximos anos. Os resultados podem ajudar empresas de todos os portes a planejarem seus próximos passos de auditorias de TI.
Ao contrário de uma guerra convencional, a guerra cibernética não tem fronteiras. Como lidar com essa ameaça?
Quando ouvimos falar ou lemos alguma matéria sobre ataques cibernéticos, normalmente observamos que são ocorrências contra indivíduos ou empresas. Porém, podem existir ataques cibernéticos mais sofisticados, com objetivos estratégicos e, ou, geopolíticos. As consequências também podem romper a barreira tecnológica e trazer impactos físicos ou cinéticos, que são raros, porém mais temidos, porque geralmente estão associados à espionagem industrial e financeira.
Ao contrário de uma guerra convencional, a guerra cibernética não tem fronteiras, ou seja, não se limita a determinado espaço geográfico, por isso os países não envolvidos diretamente na questão motivadora também podem ser afetados.
E como as empresas do setor privado poderiam ser afetadas em caso de um ataque cibernético? A título de exemplo, um ataque direcionado a um site que esteja armazenado em uma nuvem pode afetar também outros serviços que estejam utilizando o mesmo ambiente, como uma loja virtual ou até mesmo uma base de dados. Ou seja, quanto mais uma empresa se desenvolve e expande seu ambiente tecnológico, mais suscetível a ataques ela está.
Dessa forma, não ter um bom plano de continuidade, backups e outros controles pode significar a indisponibilidade de diversos serviços em uma guerra cibernética, mesmo que o país não esteja participando diretamente.
Outros fatores, como o crescimento econômico e a liderança de mercados, como a importação de proteína animal, podem fazer com que empresas e países se tornem cada vez mais alvos de ataques e espionagem. No Brasil, por exemplo, algumas das tentativas de ataque recentes foram identificadas em players do agronegócio e em órgãos governamentais.
Mesmo com o avanço da Segurança da Informação e da proteção de dados, o Brasil ainda aparece como um dos países com mais credenciais e dados vazados no último ano. Segundo um relatório da Netscout, empresa especializada em cibersegurança, o Brasil é segundo maior alvo mundial de ciberataques, atrás apenas dos Estados Unidos, que lidera o ranking. O baixo investimento frente ao cenário, a falta de conscientização e a elevada quantidade de sistemas legados utilizados são fatores que contribuem para esta marca.
É importante considerar que praticamente 100% dos colaboradores das empresas possuem dados pessoais armazenados em sistemas públicos, e essas informações podem, sim, serem utilizadas para ataques direcionados ao setor privado. Outro ponto importante também é a consolidação das organizações criminosas, que utilizam o cibercrime como um negócio, com estratégias, metas definidas e até mesmo plano de carreira para seus integrantes, além de um alto retorno financeiro.
Em um cenário cujo aumento do interesse de cibercriminosos no Brasil é uma tendência, será necessária a disseminação de informação em todas as esferas populacionais, assim como um desenvolvimento de segurança em camadas para todas as empresas, especialmente as do setor público, que têm uma responsabilidade ainda maior em relação à proteção das informações pessoais.
É essencial que as lideranças dos setores privado e público estejam atentas e dispostas a aperfeiçoarem a sua postura de Segurança da Informação dado que o setor de atuação e a relevância de suas informações sob custódia, entre outros fatores, podem ser motivadores para uma tentativa de ataque cibercriminoso.
