A mais nova ameaça à segurança chegou — e está em nossos calendários. Spammers têm enviado convites do Google Calendar contendo links, burlando as caixas de entrada e aproveitando-se das configurações padrão do calendário que permitem que convites sejam exibidos automaticamente, independentemente de terem sido aceitos ou não. Conversamos com nosso gerente de risco e conformidade, Wes Andrues, sobre a melhor maneira de educar sua empresa sobre as crescentes ameaças de segurança relacionadas à engenharia social (como phishing ou spam de calendário) e como o conhecimento generalizado pode ajudar a manter sua segurança tecnológica interna.
Primeiro, um pouco sobre Wes antes de entrarmos em suas dicas: seu histórico inclui serviço no Departamento de Defesa e nos Comandos Cibernéticos do Exército no Pentágono, seguido pela liderança do departamento de risco e conformidade na Dell SecureWorks. É desnecessário dizer que ele sabe do que está falando.
Phishing NÃO é hacking — é pior
Enquanto Hollywood adoraria que crêssemos que "hacking" envolve um cara digitando comandos furiosamente no terminal, esse tipo de vulnerabilidade foi em grande parte (embora não totalmente) desincentivada graças aos programas de "bug bounty". Wes explica desta forma: "Programas de bug bounty permitem que as empresas digam: ‘Vamos te pagar se você encontrar algo errado com nosso aplicativo. Não tente e hackear-nos; apenas nos diga e nós te pagaremos.'"
"A engenharia social contorna essa tentativa de hacking tradicional e vai diretamente através de humanos com acesso a dados — e isso provou ser muito mais eficaz."
Alguns são e-mails de má qualidade, mas muitos são bastante convincentes, aproveitando-se de nossos medos existentes de exposição para… nos expor! Você só precisa de uma pessoa para entrar em pânico para que a engenharia social impacte toda uma empresa.
O caso clássico de uma pessoa inteligente sendo enganada pela engenharia social? John Podesta. Dois anos atrás. O DNC. "Ele clicou no link de alterar senha que se espalhou pelo mundo," diz Wes. "Ele é um advogado formado em Georgetown que caiu na armadilha, então você pode ver por que a engenharia social oferece muito mais oportunidades do que hacking."
Como combater efetivamente as ameaças de segurança
Se os ataques de engenharia social são projetados para nos convencer de que já estamos expostos, como você, como empresa, pode educar seus funcionários a combater o impulso natural de entrar em pânico? Aqui, Wes é inequívoco:
"Você precisa mudar a cultura."
"Na Guru, geralmente compartilhamos as tentativas de phishing mais engraçadas que vemos — e elas costumam ‘vir’ de Rick [CEO da Guru], que parece estar constantemente precisando dos nossos números de celular. É engraçado, mas também não é. E se um dos nossos CSMs caísse na armadilha e fornecesse um número de celular ou um endereço de e-mail que fosse então usado para chegar até nossos clientes? Isso seria um grande negócio. Felizmente, como abordamos essas ameaças regularmente, conseguimos conversar sobre elas e educar uns aos outros sobre novas táticas, aumentando muito as nossas chances de identificá-las."
As empresas podem até tentar exercícios de phishing que permitem que sua própria equipe de risco e conformidade envie e-mails de phishing falsos para ver quem na empresa é mais propenso a cair em um ataque real, mas isso corre o risco de erodir a confiança na equipe. Em vez disso, aqui na Guru, Wes fez com que todos na empresa passassem pelo Google Jigsaw Phishing Quiz para fins de treinamento.
Como não combater as ameaças à segurança
"Por algum motivo, em muitos casos, o padrão de ouro na indústria é 'treinar' a força de trabalho anualmente sobre segurança de forma passiva. Todos assistem a um vídeo ou recebem um e-mail sobre os riscos de responder ao phishing, e então a equipe de segurança pode dizer: ‘Olha, todo mundo assistiu ou leu isso, então todos seguiram em frente.'"
Esse tipo de treinamento passivo não necessariamente ensina ninguém a responder a um ataque ou a identificar ativamente essas ameaças, especialmente à medida que as táticas mudam ao longo do ano. Sua equipe de risco e conformidade deve manter essa linha de diálogo aberta com a base de funcionários maior e garantir que seja uma conversa contínua.
A defesa mais forte contra phishing
"No final, a defesa mais forte contra phishing é uma desconfiança saudável," explica Wes. Em um mundo ideal, esse tipo de ameaças não existiria, mas uma vez que existem, manter uma quantidade razoável de ceticismo nas ferramentas das quais dependemos é a única maneira de realmente permanecer vigilante.
A mais nova ameaça à segurança chegou — e está em nossos calendários. Spammers têm enviado convites do Google Calendar contendo links, burlando as caixas de entrada e aproveitando-se das configurações padrão do calendário que permitem que convites sejam exibidos automaticamente, independentemente de terem sido aceitos ou não. Conversamos com nosso gerente de risco e conformidade, Wes Andrues, sobre a melhor maneira de educar sua empresa sobre as crescentes ameaças de segurança relacionadas à engenharia social (como phishing ou spam de calendário) e como o conhecimento generalizado pode ajudar a manter sua segurança tecnológica interna.
Primeiro, um pouco sobre Wes antes de entrarmos em suas dicas: seu histórico inclui serviço no Departamento de Defesa e nos Comandos Cibernéticos do Exército no Pentágono, seguido pela liderança do departamento de risco e conformidade na Dell SecureWorks. É desnecessário dizer que ele sabe do que está falando.
Phishing NÃO é hacking — é pior
Enquanto Hollywood adoraria que crêssemos que "hacking" envolve um cara digitando comandos furiosamente no terminal, esse tipo de vulnerabilidade foi em grande parte (embora não totalmente) desincentivada graças aos programas de "bug bounty". Wes explica desta forma: "Programas de bug bounty permitem que as empresas digam: ‘Vamos te pagar se você encontrar algo errado com nosso aplicativo. Não tente e hackear-nos; apenas nos diga e nós te pagaremos.'"
"A engenharia social contorna essa tentativa de hacking tradicional e vai diretamente através de humanos com acesso a dados — e isso provou ser muito mais eficaz."
Alguns são e-mails de má qualidade, mas muitos são bastante convincentes, aproveitando-se de nossos medos existentes de exposição para… nos expor! Você só precisa de uma pessoa para entrar em pânico para que a engenharia social impacte toda uma empresa.
O caso clássico de uma pessoa inteligente sendo enganada pela engenharia social? John Podesta. Dois anos atrás. O DNC. "Ele clicou no link de alterar senha que se espalhou pelo mundo," diz Wes. "Ele é um advogado formado em Georgetown que caiu na armadilha, então você pode ver por que a engenharia social oferece muito mais oportunidades do que hacking."
Como combater efetivamente as ameaças de segurança
Se os ataques de engenharia social são projetados para nos convencer de que já estamos expostos, como você, como empresa, pode educar seus funcionários a combater o impulso natural de entrar em pânico? Aqui, Wes é inequívoco:
"Você precisa mudar a cultura."
"Na Guru, geralmente compartilhamos as tentativas de phishing mais engraçadas que vemos — e elas costumam ‘vir’ de Rick [CEO da Guru], que parece estar constantemente precisando dos nossos números de celular. É engraçado, mas também não é. E se um dos nossos CSMs caísse na armadilha e fornecesse um número de celular ou um endereço de e-mail que fosse então usado para chegar até nossos clientes? Isso seria um grande negócio. Felizmente, como abordamos essas ameaças regularmente, conseguimos conversar sobre elas e educar uns aos outros sobre novas táticas, aumentando muito as nossas chances de identificá-las."
As empresas podem até tentar exercícios de phishing que permitem que sua própria equipe de risco e conformidade envie e-mails de phishing falsos para ver quem na empresa é mais propenso a cair em um ataque real, mas isso corre o risco de erodir a confiança na equipe. Em vez disso, aqui na Guru, Wes fez com que todos na empresa passassem pelo Google Jigsaw Phishing Quiz para fins de treinamento.
Como não combater as ameaças à segurança
"Por algum motivo, em muitos casos, o padrão de ouro na indústria é 'treinar' a força de trabalho anualmente sobre segurança de forma passiva. Todos assistem a um vídeo ou recebem um e-mail sobre os riscos de responder ao phishing, e então a equipe de segurança pode dizer: ‘Olha, todo mundo assistiu ou leu isso, então todos seguiram em frente.'"
Esse tipo de treinamento passivo não necessariamente ensina ninguém a responder a um ataque ou a identificar ativamente essas ameaças, especialmente à medida que as táticas mudam ao longo do ano. Sua equipe de risco e conformidade deve manter essa linha de diálogo aberta com a base de funcionários maior e garantir que seja uma conversa contínua.
A defesa mais forte contra phishing
"No final, a defesa mais forte contra phishing é uma desconfiança saudável," explica Wes. Em um mundo ideal, esse tipo de ameaças não existiria, mas uma vez que existem, manter uma quantidade razoável de ceticismo nas ferramentas das quais dependemos é a única maneira de realmente permanecer vigilante.
