Entender o risco de segurança
Objetivos de aprendizagem
Após concluir esta unidade, você estará apto a:
- Explicar como o cibercrime pode prejudicar sua empresa.
- Listar os principais comportamentos humanos que os invasores exploram.
- Descrever os métodos mais comuns que os criminosos usam para ter acesso às informações.
O comportamento seguro dos funcionários é tão importante quanto a tecnologia segura
Considerando que usamos tecnologia durante todo o dia em nossas vidas pessoais e no trabalho, faz sentido que o cibercrime esteja na mente de todos. O Relatório de investigação de violação de dados de 2021 da Verizon relatou um total recorde de 157.525 incidentes em categorias que variavam de malware a hacking, violações de engenharia social a ransomware. E o cibercrime continua a evoluir. Alguns dos vetores de ataque de maior sucesso nos últimos tempos, como o phishing, visam pessoas, não tecnologia. De acordo com o relatório de 2022, phishing e roubo de credenciais de usuários foram os maiores vetores de ameaças em 2021.
O cenário de ameaças está mais complexo do que nunca e está cada vez mais difícil para as equipes de segurança prevenir, detectar, analisar e responder a ameaças. Os cibercriminosos mudaram de tática e, em vez de usarem ataques tecnológicos, eles direcionam os ataques aos funcionários explorando comportamentos humanos básicos. À medida que a tecnologia de segurança se tornou mais avançada, os hackers procuram acessar o ponto mais fraco da rede; na maioria das vezes, isso vem a ser erro humano. As oportunidades de treinamento em segurança, como este emblema, são mais importantes do que nunca. Como os funcionários apresentam o alvo mais fácil para os hackers, é crucial que todos aprendam como proteger a si mesmos e a empresa. Mais do que nunca, cada um tem um impacto na segurança, independentemente de sua função ou cargo.
Basta um funcionário abrir um email de phishing para desencadear uma série de eventos que podem comprometer os dados da sua empresa. Isso significa que a segurança deve ser parte integrante do trabalho de todos. Neste módulo, vamos ver alguns comportamentos básicos que cada funcionário pode adotar para proteger melhor a empresa.
Invasores exploram comportamentos humanos
Vamos falar sobre como a natureza humana tem um papel no crime cibernético. Os criminosos aprenderam que podem explorar emoções humanas típicas, como curiosidade e vontade de agradar, para roubar credenciais e se infiltrar em sua rede. Vamos investigar algumas das mensagens que despertam essas emoções.
-
Medo: “Se você não me der as informações, vou denunciá-lo ao seu gerente.”
-
Confiança: “Sua conta acabou de ser fechada. Clique aqui para reativar."
-
Moralidade: “Você pode segurar a porta do escritório para mim? Meu braço está machucado e esse pacote é pesado.”
-
Recompensa: “Minha empresa está pensando em investir em seus produtos. Você pode responder a algumas perguntas sobre sua organização primeiro?”
-
Conformidade: “Bill Stevens do departamento financeiro sempre me dá atualizações sobre o resultado do T2, mas não estou conseguindo falar com ele. Você pode me ajudar com o relatório?”
-
Curiosidade: “Uau...confira este vídeo de uma cobra gigante comendo o funcionário do zoológico!”
Note métodos básicos de ataque
Os hackers ganham acesso a seus alvos de diversas maneiras. A lista abaixo de métodos de pontos de entrada são técnicas comuns que os criminosos cibernéticos utilizam para se aproveitar de nossos comportamentos humanos e obter acesso a informações ou redes confidenciais.
-
Phishing: tentativa de adquirir informações confidenciais, como nomes de usuário e senhas (conhecidos como credenciais), detalhes de cartão de crédito e informações bancárias, fazendo-se passar por uma entidade confiável. Existem vários tipos de phishing. Alguns dos métodos mais utilizados são phishing por email, phishing via telefone (chamado vishing), phishing via mensagem de texto ou SMS (smishing), e phishing direcionado a uma pessoa com alto nível de acesso (spear phishing).
-
Malware: enganar os usuários para fazerem download de software malicioso (malware) destinado a acessar, danificar ou controlar um dispositivo ou rede, muitas vezes entregue por meio de um link ou anexo em um email de phishing.
-
Engenharia social: uma forma de manipular as pessoas para que tomem medidas ou revelem informações confidenciais.
-
Exploração de informações públicas: uso de informações que estão disponíveis publicamente na Internet (por exemplo, uma plataforma de mídia social) para ajudar a projetar um ataque de engenharia social, quebrar uma senha ou criar um email de phishing direcionado.
-
Carona em crachá: entrar em uma área restrita acompanhando alguém com um crachá legítimo ou convencendo essa pessoa a deixá-lo entrar.
-
Bisbilhotar: ouvir discretamente conversas privadas dos outros.
-
Dumpster diving: coletar informações de lixeiras com materiais que não foram completamente destruídos.
-
Instalação de dispositivos desonestos: obter acesso a uma rede segura por meio da instalação de um roteador sem fio ou drive USB contendo software malicioso.
Recursos
- Ajuda do Salesforce: Salesforce Security Guide
- Salesforce: Melhores práticas de segurança da Salesforce