A segurança não é um processo de receita única. Há formas diferentes de defesa contra ataques cibernéticos e cada empresa deve traçar a sua própria estratégia de segurança com base nas suas necessidades específicas. O primeiro passo no desenvolvimento deste plano é compreender que existem diversas ameaças, nem sempre tão óbvias, e que olhar para formas eficientes de detectar possíveis invasões ao ambiente digital é fundamental.

Algumas empresas, no entanto, podem não estar conscientes dos riscos que correm, principalmente quando não se atentam à atualização de sistemas e softwares, à aquisição de soluções que protejam máquinas e redes de vírus ou nem se preocupam em capacitar seus colaboradores sobre cibersegurança. Essa falta de conhecimento, não rara, coloca a instituição em posição vulnerável a criminosos. Só para se ter uma ideia, segundo um artigo publicado na Cybersecurity Ventures, até 2031, haverá um ataque de ransomware a cada dois segundos.

PUBLICIDADE

As armas de combate

Detectar ameaças que colocam a instituição em risco deve ser uma ação permanente. Até porque, os softwares evoluem, assim como os golpes de criminosos. Existem, contudo, uma série de iniciativas e ferramentas que podem reduzir os riscos, que focam na localização de ameaças e possibilitam uma ação rápida e efetiva. Veja algumas dessas ações, indicadas por Filipe Luiz Antonio, Analista de Infraestrutura Sênior da Plataforma de Segurança e Continuidade da Flowti:

Entender a maturidade da empresa quanto à cibersegurança

“Antes de fazer um assessment de segurança propriamente dito, conversamos com o responsável pela TI da empresa, que responde um questionário. Por meio dele, entendemos como funciona a rede, quais softwares possuem, se há antivírus e backup, entre outras informações”, conta Filipe.

A partir dessa análise de maturidade, ou seja, do que a empresa tem e conhece sobre as ameaças cibernéticas, é possível redirecionar o olhar para onde possa haver mais vulnerabilidades. Esta é uma etapa de detecção de ameaça, porque revela o nível de preparo (ou despreparo) da instituição para lidar com riscos.

Levantamento das vulnerabilidades

O reconhecimento das vulnerabilidades é um passo crucial para identificar se a empresa está exposta à ação de criminosos. Softwares desatualizados, sistemas operacionais antigos, máquinas ultrapassadas, servidores defasados, antivírus gratuitos. Estes — e outros — elementos deixam o ambiente digital vulnerável. O levantamento de todas as fragilidades da empresa é feito com softwares apropriados.

PUBLICIDADE

Instalação de EDR e XDR

“Antivírus gratuitos não são os mais adequados para empresas, pois eles não têm inteligência e não tratam as ameaças. Então, a partir do momento que eu não consigo gerenciar, não sei o que está acontecendo no equipamento”, explica Filipe.

A melhor alternativa, segundo o especialista, é a instalação de softwares que avaliam os níveis comportamentais da empresa, ou seja, que trabalham com Inteligência Artificial (IA). Para as estações de trabalho — sendo os computadores dos colaboradores —, há o chamado EDR (Endpoint Detection and Response, ou Detecção e Resposta de Endpoint), que tem vantagem sobre o antivírus comum gratuito.

“Assim que é instalado, o EDR começa a montar métricas, fazendo machine learning. Em três ou quatro dias, ele já sabe como a máquina se comporta. Quando aumenta o processamento, por exemplo, é sinal de que pode haver algum artefato malicioso. Então, o EDR já dá uma resposta, tirando a máquina da rede”, detalha Filipe.

Quando a máquina é isolada, o pessoal da TI recebe um alerta de que há uma ameaça em andamento. Já o XDR (Extended Detection and Response) faz o mesmo, mas no servidor. Ele analisará o servidor e, se detectar um comportamento estranho, já soa um alarme (sonoro, inclusive). Tudo isso é gerenciado por um Dashboard, monitorado pela área de TI.

Monitorar a criação de usuários

O Active Directory (AD) é o serviço da Microsoft pelo qual as empresas criam usuários e senhas. O criminoso cibernético, muitas vezes, tenta entrar no AD durante um ataque lateral (que vai da estação do usuário, segue explorando as vulnerabilidades do servidor até chegar ao AD) para fazer um usuário próprio, com acesso administrativo.

“Ao gerar esse usuário, ele não precisa mais da estação de trabalho, já tem acesso direto e consegue fazer o que quiser: excluir arquivo, modificar, criptografar servidor, apagar backup”, explica Filipe.

Outro risco de negligenciar o AD é que antigos colaboradores, que possam estar insatisfeitos, continuam com acesso à empresa ao sair dela.

“Fiz um assessment em que a empresa tinha 1500 usuários no AD, sendo que ela só tem 50 computadores. Não tem tudo isso de funcionário, nem remoto. As pessoas vão saindo e o RH precisa avisar o pessoal de TI sobre quem é desligado da empresa ou ter uma forma de bloquear estes e-mails automaticamente. Até pode deixar o e-mail ativo só para receber, por exemplo, mas sem a possibilidade de o colaborador acessar de fora. Mas tem muita empresa que não sabe disso”, conta o especialista da Flowti.

Por essas razões, é muito importante higienizar o AD, pelo menos, uma vez por mês, tirando usuários que não acessam mais a rede. Existem softwares gratuitos que fazem este trabalho. Também há softwares especializados que monitoram o AD.

“Quando um usuário é gerado com acesso administrativo, chega um e-mail para o nosso NOC, avisando sobre essa criação. O NOC liga para o cliente imediatamente, perguntando se foi ele que criou o usuário. Se foi, fica liberado. Se não, o usuário já é bloqueado e o pessoal da segurança é acionado”, explica Filipe.

Avaliação da maturidade e treinamento de colaboradores

Outra maneira eficiente de detectar ameaças é medir o grau de entendimento dos colaboradores sobre os riscos de ataques cibernéticos.

“Dá muito menos trabalho para o criminoso entrar em uma empresa através do email phishing, de uma engenharia social. Ele sabe que o colaborador, que não é da TI, nem sempre tem conhecimento e pode cair fácil na armadilha. Por isso, infelizmente, o próprio funcionário é uma ameaça, porque é quem, geralmente, abre as portas para o atacante”, conta Filipe.

Para medir o grau de maturidade dos colaboradores, são realizados testes em que eles recebem um e-mail phishing falso. Se abrir o link contido neste e-mail, o funcionário deverá ser encaminhado para um treinamento sobre segurança cibernética.