1 ISACA JOURNAL VOLUME 3, 2015

Artigo

O ecossistema dos crimes cibernéticos está se

alterando radicalmente. A evolução de algumas

das principais tecnologias e o aumento da

disponibilidade de malwares poderosos permitem

que criminosos cibernéticos adotem uma

mentalidade comercial. Nos últimos anos, vários

casos de APTs (ameaças persistentes avançadas) e

de violação de dados aconteceram, envolvendo as

maiores e mais proeminentes empresas, chamando,

portanto, a atenção da mídia. Esses cenários

representam apenas os problemas de crimes

cibernéticos conhecidos, pois, muito provavelmente,

muitos ataques ainda não foram detectados nem

revelados ao público. Desse ponto de vista, 2014

foi um ano crítico: grandes empresas, como

Sony, JP Morgan Chase, Target e muitas outras,

sofreram ataques cibernéticos que tiveram sérias

consequências para elas e para seus clientes.

Com base na análise dessas novas estratégias de

ataque, ficou evidente que, mais frequentemente,

os criminosos cibernéticos têm procurado

estabelecer uma posição dentro de redes

corporativas tirando proveito de vulnerabilidades

e, a partir disso, expandindo lateralmente o

perímetro comprometido e assumindo o controle

de outros sistemas na empresa alvo para obter

acesso a informações cruciais. Além disso, a

primeira fase do ataque quase sempre envolve a

manipulação do comportamento dos funcionários

por meio de técnicas de engenharia social.

O fatOr humanO cOmO parte necessária da segurança da infOrmaçãOHistoricamente, funcionários têm sido a fonte da

maioria dos problemas de segurança ocorridos nas

organizações. O primeiro aspecto está relacionado

a ameaças internas, o que significa qualquer

funcionário descontente, mal-intencionado ou sem

escrúpulos (bem como ex-funcionários, consultores

e parceiros de negócios) que possa tirar vantagem

do conhecimento interno de informações ou

sistemas com a intenção de prejudicar a empresa.

Além da tradicional ameaça interna, também

é necessário ter cuidado com funcionários

descuidados e é sobre eles que falaremos neste

artigo. Esse indivíduo, influenciado por um ataque

de engenharia social, pode colocar as informações

corporativas em risco ao executar uma ação

maliciosa sem perceber. Criminosos cibernéticos

compreendem que técnicas de engenharia

social podem ser utilizadas para manipular suas

vítimas a fim de obter informações sigilosas para

convencê-las a executar determinadas operações,

aumentando assim a taxa de sucesso dos ataques.

Na realidade, muitos dos casos recentes

de violação de dados podem ser considerados

exemplos desse cenário. A violação de dados

da ICANN se originou de um ataque de "spear

phishing", que permitiu que os criminosos

obtivessem acesso a informações de usuários

no sistema de dados da zona centralizada.1

De acordo com as investigações realizadas sobre

o ataque do Carabank, que envolveu diversos

bancos em diferentes países, os funcionários

foram alvos de ataques de engenharia social, o

que permitiu a disseminação do "malware".2

Pesquisas confirmam que o fator humano é

o elo fraco na cadeia de segurança de TI. Por

exemplo, foi demonstrado que a oferta de um

prêmio de US$ 1 é suficiente para convencer uma

grande porcentagem de usuários a fazer download

e executar um software potencialmente malicioso,

ignorando o costumeiro aviso de segurança.3

Erro humano ou comportamento inadequado

estão frequentemente relacionados à falta de

percepção de riscos associada a fatores não

racionais, como experiência pessoal e atitude

psicológica, especialmente em casos de pouca ou

falta de conscientização. Esse fato é confirmado

pela prática de "phishing", que continua sendo

uma das armas mais eficazes de engenharia social,

mesmo dentro de um contexto em que ataques

cibernéticos evoluem constantemente e ficam

mais sofisticados.4

Por todos esses motivos, não é mais possível

limitar a GEIT (Governança e gestão corporativas

de TI) a questões apenas tecnológicas. No passado,

seguir as melhores diretrizes era suficiente para

manter um nível adequado de segurança ao adquirir

novos aparelhos e configurar sistemas. Violações

de dados e outras ameaças eram somente uma

possibilidade remota para empresas.

roberto puricelli, cism,

é consultor de segurança

sênior de ICT (Tecnologia

da informação e de

comunicações) da CEFRIEL,

uma empresa de inovações

do Politecnico di Milano.

Ele possui experiência

em diversas áreas de

segurança da informação,

incluindo avaliação de

vulnerabilidade, testes

de penetração, aplicativo

Web, segurança móvel

e análise de risco. Além

disso, ele está envolvido

em pesquisas de ameaças

de nova geração, com foco

específico em ataques de

engenharia social. Portanto,

ele contribuiu para o

desenvolvimento de uma

metodologia específica

que visa mensurar o

risco relacionado.

Engenharia social: uma ameaça subestimada na governança e gestão de segurança de TI

2ISACA JOURNAL VOLUME 3, 2015

Infelizmente, essa não é a realidade atual. A questão não

se resume aos profissionais de segurança de TI de empresas

visadas terem implantado os melhores processos, tecnologias e

soluções (estar em conformidade total com práticas e padrões

do setor). Em vez disso, o fato relevante é que essas medidas

de segurança não são mais suficientes. Os ataques de segurança

dependem cada vez mais de vulnerabilidades humanas,

portanto, é fundamental ampliar a governança de segurança

de TI para incluir o fator humano em análises e avaliações

de riscos corporativos. Para fazer isso de maneira eficiente, é

crucial compreender e mensurar o risco real, bem como propor

contramedidas eficazes e personalizadas para mitigá-lo.

cOmO avaliar O fatOr humanOAs atuais abordagens de segurança e gestão de riscos de TI

tendem a subestimar, ou até ignorar, o fator humano nos

modelos de avaliação, ferramentas, processos e estrutura

jurídica. Como envolver os funcionários em uma avaliação

é uma abordagem relativamente inovadora, além de ser

considerada arriscada, planejar a avaliação de maneira

adequada é de fundamental importância. Primeiramente, os

departamentos de TI e de segurança não são os únicos atores

a definir a avaliação, pois pessoas são os alvos. Portanto, é

necessário envolver todas as partes interessadas relevantes,

como os departamentos de RH (recursos humanos), jurídico

e de comunicação, para explicar as ameaças, compartilhar

os objetivos, definir o escopo da avaliação e obter o

comprometimento de todos. Além disso, há muitas questões e

requisitos éticos que precisam ser levados em consideração ao

realizar uma avaliação do fator humano.5

Ataques de engenharia social significam que um

funcionário é manipulado para violar uma política. Apesar

de os criminosos serem inescrupulosos e tentarem efetuar os

ataques, as empresas precisam seguir importantes limitações

éticas e jurídicas, em particular, garantindo o respeito à

relação de confiança entre empregado e empregador e

evitando invadir a esfera pessoal do funcionário. Além disso, é

necessário considerar as estruturas jurídicas trabalhistas, que

são radicalmente diferentes entre os EUA e a Europa, onde

os funcionários são protegidos de qualquer interferência por

parte do empregador. Por exemplo, na Itália, a lei proíbe que

o empregador monitore o comportamento dos funcionários.

Portanto, em uma avaliação, não é possível revelar os detalhes

de usuários únicos que possam estar envolvidos em um

ataque. Apesar dessas limitações e da presença de algum risco

legal e ético, o interesse por este tópico está aumentando,

mesmo na Europa.

Desde 2010, avaliações de diversas empresas europeias

de grande porte, que estão tentando superar dificuldades

relacionadas a esse tipo de atividade, resultaram no

desenvolvimento da metodologia Avaliação de vulnerabilidades

sociais.6 O objetivo dessa avaliação é testar o comportamento

humano durante uma simulação de ataque de "spear-phishing",

na qual o criminoso tenta ludibriar os usuários (ou seja, os

funcionários da empresa) para que executem ações que possam

colocar os ativos da empresa em risco, por exemplo:

1. Fazer com que o funcionário clique em um link dentro de

um e-mail, visite um possível site malicioso, expondo assim

a empresa a um ataque infeccioso.

2. Fazer com que o funcionário insira determinadas

informações solicitadas em um formulário de um site,

fornecendo assim informações cruciais como credenciais

da empresa.

Utilizando um site controlado e monitorando o

comportamento dos usuários, é possível avaliar a

probabilidade de que eles caiam nessas armadilhas. Também

é possível estimar o nível de exposição da empresa a ataques

tecnológicos por meio de uma campanha de simulação de

"phishing" (por exemplo, identificando serviços desatualizados

que possam ser explorados por "fingerprinting" do sistema).

Qual é O riscO real?Foi realizado um número significativo de avaliações que utilizam

a metodologia Avaliação de vulnerabilidades sociais em grandes

empresas (com mais de 12.000 funcionários) para tentar

compreender (ou pelo menos ter uma ideia) o nível de risco.

Na maioria das avaliações, foi realizada uma campanha

de "spear-phishing" que utiliza iscas genéricas (isto é,

relacionadas a tópicos gerais que possam ser atrativos para

usuários, como ofertas especiais ou descontos). A maioria

dos ataques foi apenas levemente contextualizada na

empresa em questão (por meio de cores, logotipos, modelos

e estilos apropriados de comunicação). Em alguns casos,

foi utilizada uma referência à empresa específica (com base

em informações disponíveis publicamente). Mas isso não

influenciou os resultados de maneira significativa.

• Saiba mais, discuta e colabore com GEIT (Governança corporativa de TI), gestão de riscos e avaliação de riscos no Centro de Conhecimento.

www.isaca.org/knowledgecenter

Está gostando deste artigo?

3 ISACA JOURNAL VOLUME 3, 2015

Figura 1 mostra uma comparação dos resultados das

avaliações, exibindo a taxa de sucesso de cada uma das duas

etapas descritas anteriormente para a amostra envolvida no

teste: porcentagem de funcionários que clicaram em um

link dentro de um e-mail no eixo X e porcentagem dos que

inseriram credenciais da empresa no eixo Y. Cada círculo

representa uma avaliação feita em uma empresa. O raio

representa o tamanho da empresa e a cor representa o setor

de atuação da empresa. A média dos resultados é bastante

impressionante e confirma que ataques de "spear-phishing"

funcionam muito bem. Nessas avaliações, um em cada três

funcionários (34%) clicou no link em um e-mail de "phishing"

e um em cada cinco (21%) também inseriu credenciais da

empresa no formulário do site.

Os resultados são ainda mais impressionantes quando

correlacionados ao fator temporal. De acordo com esses

resultados, uma campanha de "phishing" se caracteriza por

um comportamento impulsivo do funcionário que provoca

um rápido aumento da taxa de sucesso do ataque nas fases

iniciais, alcançando 50% de taxa de eficiência apenas nos

primeiros 20 minutos. Isso significa que o período disponível

para uma reação eficaz da equipe de segurança de ICT

(Tecnologia da informação e de comunicações) é muito

curto. Especialmente em grandes empresas, parece que não

há processos formalizados que permitam contramedidas com

base em relatórios dos usuários. Além disso, frequentemente

os funcionários parecem não saber bem como relatar

incidentes de segurança.

Outro ponto interessante é que todos os funcionários estão

sujeitos a essas ameaças. Parece não haver muitas diferenças ao

analisar os resultados por idade, localização, departamento ou

cargo. Até a gerência e os executivos frequentemente são muito

vulneráveis. Em geral, foi observado que quanto mais alto for

o cargo, menor a exposição, mas a porcentagem de gerentes

ludibriados não é marginal, gerando alguns problemas que

devem ser considerados do ponto de vista de gestão de riscos.

Por fim, por meio de técnicas de "fingerprinting", foram

coletadas informações sobre o nível de segurança dos

dispositivos utilizados para acessar sites na Internet

(as estações de trabalho dos usuários) e foram encontradas

vulnerabilidades com alto nível de exposição a ataques

tecnológicos. Isso significa que utilizar uma combinação de

figura 1 — comparação dos resultados de avaliações de vulnerabilidades sociais

Fonte: CEFRIEL. Reimpresso com permissão.

Clique no link do e-mail (% da amostra)

Inse

rção

de

cred

enci

al

(% d

a am

ostra

)

50%

40%

30%

20%

10%

0%0% 10% 20% 30% 40% 50% 60% 70%

Bancário/Finanças/Seguros

Energia/Multiutilitário

Administração Pública

Manufatura

Tamanho da empresa (qualitativo)

4ISACA JOURNAL VOLUME 3, 2015

exploração de negligências, códigos de malware e técnicas

personalizadas de ofuscação (porém simples) permite superar

as contramedidas tecnológicas de uma empresa e obter

acesso privilegiado à sua rede interna, exatamente o objetivo

principal dos criminosos cibernéticos modernos.

cOmO mitigar Os riscOsDo ponto de vista da governança de segurança de

informações, o objetivo final de incluir o fator humano em

avaliações de vulnerabilidades é identificar formas adequadas

de mitigação. As contramedidas mais eficazes contra os riscos

destacados são conscientização e treinamento, que ajudam a

melhorar a cultura

de segurança dos

funcionários.

Infelizmente,

nem sempre

os programas

tradicionais de

conscientização

são eficientes,7 com

base no fato de que

alguns desses testes foram realizados logo após a implantação

de um programa de conscientização. Nesses casos, não foram

encontradas variações significativas em relação aos resultados

médios. Ou, pelo menos, a eficácia dos programas de

conscientização normalmente não é mensurada.

Crimes cibernéticos possibilitados por engenharia social

são ameaças que podem ser facilmente compreendidas por

pessoas sem conhecimento técnico e ter uma indicação

quantitativa do risco pode permitir que haja mais

comprometimento e orçamento para ações corretivas.

Uma medição objetiva também permite priorizar os alvos de

treinamento. Além disso, a repetição da avaliação antes e após

programas de treinamento pode ajudar a determinar a eficácia

dos programas de conscientização.

O problema real é saber como criar programas de

treinamento duradouros que possam aumentar efetivamente

o nível de segurança da empresa e como manter esse nível

elevado.8, 9 Os programas tradicionais de conscientização

nem sempre são bem-sucedidos porque os usuários podem

não estar motivados a aprender e prestar atenção a diferentes

sinais de comunicações falsas em seu cotidiano.

O fator-chave é descobrir a maneira certa de aumentar

a conscientização. As tentativas mais promissoras estão

relacionadas à utilização de elementos visuais, como vídeos,

infográficos ou pílulas de informação para estimular as

pessoas. Além disso, a "ludificação" é uma das tendências

mais promissoras. Recompensas, envolvimento social e

feedback direto no cotidiano de trabalho podem ajudar,

mesmo que a estratégia correta dependa de diferentes fatores

que devem ser cuidadosamente explorados.

a estratégia de gestãO de riscOs de engenharia sOcial

O fator humano, em especial o aspecto da engenharia social,

é uma vulnerabilidade relevante nos sistemas de empresas.

Essa área específica de risco quase sempre é subestimada e

difícil de gerenciar. Os funcionários podem ser as vítimas desses

ataques com base em engenharia social, pois eles não têm o

treinamento necessário sobre essas ameaças, nem a capacidade

de reconhecer quais tipos de sites ou anexos de arquivos são

seguros para se abrir. É fundamental desenvolver uma estratégia

que inclua esse risco específico relacionado ao fator humano

nos processos de governança de segurança de TI.

O COBIT® 5 também considera fatores e comportamentos

humanos como elementos essenciais (ainda que

frequentemente subestimados) para o desenvolvimento de

uma abordagem holística para GEIT.10 Avaliações voltadas

para o fator humano agregam uma métrica eficaz para

mensurar o nível de realização da meta de segurança de

informações. É essencial estabelecer boas práticas com

a finalidade de corrigir, estimular e manter a cultura de

segurança em toda a empresa. Em particular, comunicação e

conscientização e treinamento de segurança são atividades que

devem ser realizadas corretamente para aumentar sua eficácia.

A aplicação de uma abordagem holística nesse sentido

pode ser difícil. Uma solução deve incluir mais colaboração

interna das partes interessadas dos departamentos envolvidos.

Isso pode ser alcançado transferindo, de uma forma

simples com resultados objetivos e números mensuráveis, a

percepção do risco real para funções não tecnológicas, como

os departamentos de comunicação e RH. Essa colaboração

também pode ser valiosa para redefinir o planejamento de

investimentos a fim de contrastar os riscos destacados e

introduzir orçamentos compartilhados (não apenas de TI) com

relação ao fator humano e às atividades de segurança, pois as

ações mudam do campo tecnológico para o de RH.

A colaboração entre departamentos pode ajudar empresas

a definir e implantar programas que permitam efetivamente a

melhoria da governança da segurança de informações.

”“O objetivo final de incluir o fator

humano em avaliações de vulnerabilidades é identificar formas adequadas de mitigação.

5 ISACA JOURNAL VOLUME 3, 2015

cOnclusãOAtualmente, não é possível alcançar um nível adequado de

segurança de ICT apenas com contramedidas tecnológicas,

pois os modernos ataques cibernéticos conseguem superar

todas as camadas de defesa explorando o fator humano

por meio de técnicas de engenharia social. Os resultados

discutidos neste artigo confirmam que funcionários podem ser

ludibriados a executar ações perigosas que podem colocar suas

empresas em risco. Portanto,

para mitigar esses riscos, as

empresas devem desenvolver

uma estratégia voltada para a

compreensão da extensão real

do problema e a promoção de

ações eficazes.

Está se disseminando cada

vez mais a ideia de que as

empresas precisam avaliar

seus funcionários para que

o nível real de risco seja identificado. Devido à criticalidade

dessa etapa, por conta de questões éticas e normativas,

as empresas devem utilizar uma metodologia específica e

personalizada que possa medir a eficácia em potencial de um

ataque de engenharia social. Com a aplicação eficaz de tal

metodologia específica, comprovou-se que os resultados são

úteis para obter o comprometimento da gerência sênior para

implementar ações de mitigação relacionadas, principalmente,

ao treinamento de funcionários.

Na realidade, para aumentar a conscientização a fim de

mitigar riscos, os investimentos não devem se concentrar apenas

em educação tradicional, mas também na experimentação de

formas inovadoras de conscientização. Isso seria muito útil para

alterar de maneira eficaz a cultura empresarial, contribuindo

assim para a elevação de seu nível de segurança geral.

nOtas 1 ICANN, “ICANN Targeted in Spear Phishing Attack.

Enhanced Security Measures Implemented,” 16 de

dezembro de 2014, https://www.icann.org/news/

announcement-2-2014-12-16-en

2 Kaspersky Lab, “The Great Bank Robbery: The Carbanak,”

Securelist, 16 de fevereiro de 2015, APT, http://securelist.

com/blog/research/68732/the-great-bank-robbery-the-

carbanak-apt/

3 Guanotronic, “It’s All About The Benjamins: An Empirical

Study on Incentivizing Users to Ignore Security Advice,”

http://guanotronic.com/~serge/papers/fc11.pdf

4 Dhamija, R.; et al.; “Why Phishing Works,” Proceedings of

the SIGCHI Conference on Human Factors in Computing

Systems, Abril de 2006, www.cs.berkeley.edu/~tygar/

papers/Phishing/why_phishing_works.pdf

5 Mouton, F.; et al.; “Social Engineering From a Normative

Ethics Perspective,” Information Security for South Africa

(ISSA), Johanesburgo, África do Sul, 2013, http://icsa.

cs.up.ac.za/issa/2013/Proceedings/Full/77/77_Paper.pdf

6 Brenna, R.; et al.; CEFRIEL, “Social Driven Vulnerability,”

Technology, Fevereiro de 2014, www.slideshare.net/

CEFRIEL/social-driven-vulnerability-english-version

7 Kumaraguru, P; et al.; “Teaching Johnny Not to Fall

for Phish,” Journal ACM Transactions on Internet

Technology, 2010

8 Kumaraguru, P.: et al.; “Lessons From a Real World

Evaluation of Anti-phishing Training,” APWG eCrime

Researcher’s Summit, Janeiro de 2008

9 Caputo, D.; et al.; “Going Spear Phishing: Exploring

Embedded Training and Awareness,” Security and Privacy,

IEEE, vol. 12, iss. 1, 23 de agosto 2013

10 ISACA, COBIT® 5, EUA, 2012, www.isaca.org/cobit

”

“As empresas devem desenvolver uma estratégia voltada para a compreensão da extensão real do problema e a promoção de ações eficazes.