ISACA Journal
Volume 3, 2,015 

Translated Articles 

Engenharia social: uma ameaça subestimada na governança e gestão de segurança de TI 

Roberto Puricelli, CISM 

O ecossistema dos crimes cibernéticos está se alterando radicalmente. A evolução de algumas das principais tecnologias e o aumento da disponibilidade de malwares poderosos permitem que criminosos cibernéticos adotem uma mentalidade comercial. Nos últimos anos, vários casos de APTs (ameaças persistentes avançadas) e de violação de dados aconteceram, envolvendo as maiores e mais proeminentes empresas, chamando, portanto, a atenção da mídia. Esses cenários representam apenas os problemas de crimes cibernéticos conhecidos, pois, muito provavelmente, muitos ataques ainda não foram detectados nem revelados ao público. Desse ponto de vista, 2014 foi um ano crítico: grandes empresas, como Sony, JP Morgan Chase, Target e muitas outras, sofreram ataques cibernéticos que tiveram sérias consequências para elas e para seus clientes.

Com base na análise dessas novas estratégias de ataque, ficou evidente que, mais frequentemente, os criminosos cibernéticos têm procurado estabelecer uma posição dentro de redes corporativas tirando proveito de vulnerabilidades e, a partir disso, expandindo lateralmente o perímetro comprometido e assumindo o controle de outros sistemas na empresa alvo para obter acesso a informações cruciais. Além disso, a primeira fase do ataque quase sempre envolve a manipulação do comportamento dos funcionários por meio de técnicas de engenharia social.

O fator humano como parte necessária da segurança da informação

Historicamente, funcionários têm sido a fonte da maioria dos problemas de segurança ocorridos nas organizações. O primeiro aspecto está relacionado a ameaças internas, o que significa qualquer funcionário descontente, mal-intencionado ou sem escrúpulos (bem como ex-funcionários, consultores e parceiros de negócios) que possa tirar vantagem do conhecimento interno de informações ou sistemas com a intenção de prejudicar a empresa. Além da tradicional ameaça interna, também é necessário ter cuidado com funcionários descuidados e é sobre eles que falaremos neste artigo. Esse indivíduo, influenciado por um ataque de engenharia social, pode colocar as informações corporativas em risco ao executar uma ação maliciosa sem perceber. Criminosos cibernéticos compreendem que técnicas de engenharia social podem ser utilizadas para manipular suas vítimas a fim de obter informações sigilosas para convencê-las a executar determinadas operações, aumentando assim a taxa de sucesso dos ataques.

Na realidade, muitos dos casos recentes de violação de dados podem ser considerados exemplos desse cenário. A violação de dados da ICANN se originou de um ataque de "spear phishing", que permitiu que os criminosos obtivessem acesso a informações de usuários no sistema de dados da zona centralizada.1 De acordo com as investigações realizadas sobre o ataque do Carabank, que envolveu diversos bancos em diferentes países, os funcionários foram alvos de ataques de engenharia social, o que permitiu a disseminação do "malware".2

Pesquisas confirmam que o fator humano é o elo fraco na cadeia de segurança de TI. Por exemplo, foi demonstrado que a oferta de um prêmio de US$ 1 é suficiente para convencer uma grande porcentagem de usuários a fazer download e executar um software potencialmente malicioso, ignorando o costumeiro aviso de segurança.3

Erro humano ou comportamento inadequado estão frequentemente relacionados à falta de percepção de riscos associada a fatores não racionais, como experiência pessoal e atitude psicológica, especialmente em casos de pouca ou falta de conscientização. Esse fato é confirmado pela prática de "phishing", que continua sendo uma das armas mais eficazes de engenharia social, mesmo dentro de um contexto em que ataques cibernéticos evoluem constantemente e ficam mais sofisticados.4

Por todos esses motivos, não é mais possível limitar a GEIT (Governança e gestão corporativas de TI) a questões apenas tecnológicas. No passado, seguir as melhores diretrizes era suficiente para manter um nível adequado de segurança ao adquirir novos aparelhos e configurar sistemas. Violações de dados e outras ameaças eram somente uma possibilidade remota para empresas.

Infelizmente, essa não é a realidade atual. A questão não se resume aos profissionais de segurança de TI de empresas visadas terem implantado os melhores processos, tecnologias e soluções (estar em conformidade total com práticas e padrões do setor). Em vez disso, o fato relevante é que essas medidas de segurança não são mais suficientes. Os ataques de segurança dependem cada vez mais de vulnerabilidades humanas, portanto, é fundamental ampliar a governança de segurança de TI para incluir o fator humano em análises e avaliações de riscos corporativos. Para fazer isso de maneira eficiente, é crucial compreender e mensurar o risco real, bem como propor contramedidas eficazes e personalizadas para mitigá-lo.

Como avaliar o fator humano

As atuais abordagens de segurança e gestão de riscos de TI tendem a subestimar, ou até ignorar, o fator humano nos modelos de avaliação, ferramentas, processos e estrutura jurídica. Como envolver os funcionários em uma avaliação é uma abordagem relativamente inovadora, além de ser considerada arriscada, planejar a avaliação de maneira adequada é de fundamental importância. Primeiramente, os departamentos de TI e de segurança não são os únicos atores a definir a avaliação, pois pessoas são os alvos. Portanto, é necessário envolver todas as partes interessadas relevantes, como os departamentos de RH (recursos humanos), jurídico e de comunicação, para explicar as ameaças, compartilhar os objetivos, definir o escopo da avaliação e obter o comprometimento de todos. Além disso, há muitas questões e requisitos éticos que precisam ser levados em consideração ao realizar uma avaliação do fator humano.5

Ataques de engenharia social significam que um funcionário é manipulado para violar uma política. Apesar de os criminosos serem inescrupulosos e tentarem efetuar os ataques, as empresas precisam seguir importantes limitações éticas e jurídicas, em particular, garantindo o respeito à relação de confiança entre empregado e empregador e evitando invadir a esfera pessoal do funcionário. Além disso, é necessário considerar as estruturas jurídicas trabalhistas, que são radicalmente diferentes entre os EUA e a Europa, onde os funcionários são protegidos de qualquer interferência por parte do empregador. Por exemplo, na Itália, a lei proíbe que o empregador monitore o comportamento dos funcionários. Portanto, em uma avaliação, não é possível revelar os detalhes de usuários únicos que possam estar envolvidos em um ataque. Apesar dessas limitações e da presença de algum risco legal e ético, o interesse por este tópico está aumentando, mesmo na Europa.

Desde 2010, avaliações de diversas empresas europeias de grande porte, que estão tentando superar dificuldades relacionadas a esse tipo de atividade, resultaram no desenvolvimento da metodologia Avaliação de vulnerabilidades sociais.6 O objetivo dessa avaliação é testar o comportamento humano durante uma simulação de ataque de "spear-phishing", na qual o criminoso tenta ludibriar os usuários (ou seja, os funcionários da empresa) para que executem ações que possam colocar os ativos da empresa em risco, por exemplo:

  1. Fazer com que o funcionário clique em um link dentro de um e-mail, visite um possível site malicioso, expondo assim a empresa a um ataque infeccioso.
  2. Fazer com que o funcionário insira determinadas informações solicitadas em um formulário de um site, fornecendo assim informações cruciais como credenciais da empresa.

Utilizando um site controlado e monitorando o comportamento dos usuários, é possível avaliar a probabilidade de que eles caiam nessas armadilhas. Também é possível estimar o nível de exposição da empresa a ataques tecnológicos por meio de uma campanha de simulação de "phishing" (por exemplo, identificando serviços desatualizados que possam ser explorados por "fingerprinting" do sistema).

Qual é o risco real?

Foi realizado um número significativo de avaliações que utilizam a metodologia Avaliação de vulnerabilidades sociais em grandes empresas (com mais de 12.000 funcionários) para tentar compreender (ou pelo menos ter uma ideia) o nível de risco.

Na maioria das avaliações, foi realizada uma campanha de "spear-phishing" que utiliza iscas genéricas (isto é, relacionadas a tópicos gerais que possam ser atrativos para usuários, como ofertas especiais ou descontos). A maioria dos ataques foi apenas levemente contextualizada na empresa em questão (por meio de cores, logotipos, modelos e estilos apropriados de comunicação). Em alguns casos, foi utilizada uma referência à empresa específica (com base em informações disponíveis publicamente). Mas isso não influenciou os resultados de maneira significativa.

Figura 1 mostra uma comparação dos resultados das avaliações, exibindo a taxa de sucesso de cada uma das duas etapas descritas anteriormente para a amostra envolvida no teste: porcentagem de funcionários que clicaram em um link dentro de um e-mail no eixo X e porcentagem dos que inseriram credenciais da empresa no eixo Y. Cada círculo representa uma avaliação feita em uma empresa. O raio representa o tamanho da empresa e a cor representa o setor de atuação da empresa. A média dos resultados é bastante impressionante e confirma que ataques de "spear-phishing" funcionam muito bem. Nessas avaliações, um em cada três funcionários (34%) clicou no link em um e-mail de "phishing" e um em cada cinco (21%) também inseriu credenciais da empresa no formulário do site.

Os resultados são ainda mais impressionantes quando correlacionados ao fator temporal. De acordo com esses resultados, uma campanha de "phishing" se caracteriza por um comportamento impulsivo do funcionário que provoca um rápido aumento da taxa de sucesso do ataque nas fases iniciais, alcançando 50% de taxa de eficiência apenas nos primeiros 20 minutos. Isso significa que o período disponível para uma reação eficaz da equipe de segurança de ICT (Tecnologia da informação e de comunicações) é muito curto. Especialmente em grandes empresas, parece que não há processos formalizados que permitam contramedidas com base em relatórios dos usuários. Além disso, frequentemente os funcionários parecem não saber bem como relatar incidentes de segurança.

Outro ponto interessante é que todos os funcionários estão sujeitos a essas ameaças. Parece não haver muitas diferenças ao analisar os resultados por idade, localização, departamento ou cargo. Até a gerência e os executivos frequentemente são muito vulneráveis. Em geral, foi observado que quanto mais alto for o cargo, menor a exposição, mas a porcentagem de gerentes ludibriados não é marginal, gerando alguns problemas que devem ser considerados do ponto de vista de gestão de riscos.

Por fim, por meio de técnicas de "fingerprinting", foram coletadas informações sobre o nível de segurança dos dispositivos utilizados para acessar sites na Internet (as estações de trabalho dos usuários) e foram encontradas vulnerabilidades com alto nível de exposição a ataques tecnológicos. Isso significa que utilizar uma combinação de exploração de negligências, códigos de malware e técnicas personalizadas de ofuscação (porém simples) permite superar as contramedidas tecnológicas de uma empresa e obter acesso privilegiado à sua rede interna, exatamente o objetivo principal dos criminosos cibernéticos modernos.

Como mitigar os riscos

Do ponto de vista da governança de segurança de informações, o objetivo final de incluir o fator humano em avaliações de vulnerabilidades é identificar formas adequadas de mitigação. As contramedidas mais eficazes contra os riscos destacados são conscientização e treinamento, que ajudam a melhorar a cultura de segurança dos funcionários. Infelizmente, nem sempre os programas tradicionais de conscientização são eficientes,7 com base no fato de que alguns desses testes foram realizados logo após a implantação de um programa de conscientização. Nesses casos, não foram encontradas variações significativas em relação aos resultados médios. Ou, pelo menos, a eficácia dos programas de conscientização normalmente não é mensurada.

Crimes cibernéticos possibilitados por engenharia social são ameaças que podem ser facilmente compreendidas por pessoas sem conhecimento técnico e ter uma indicação quantitativa do risco pode permitir que haja mais comprometimento e orçamento para ações corretivas. Uma medição objetiva também permite priorizar os alvos de treinamento. Além disso, a repetição da avaliação antes e após programas de treinamento pode ajudar a determinar a eficácia dos programas de conscientização.

O problema real é saber como criar programas de treinamento duradouros que possam aumentar efetivamente o nível de segurança da empresa e como manter esse nível elevado.8, 9 Os programas tradicionais de conscientização nem sempre são bem-sucedidos porque os usuários podem não estar motivados a aprender e prestar atenção a diferentes sinais de comunicações falsas em seu cotidiano.

O fator-chave é descobrir a maneira certa de aumentar a conscientização. As tentativas mais promissoras estão relacionadas à utilização de elementos visuais, como vídeos, infográficos ou pílulas de informação para estimular as pessoas. Além disso, a "ludificação" é uma das tendências mais promissoras. Recompensas, envolvimento social e feedback direto no cotidiano de trabalho podem ajudar, mesmo que a estratégia correta dependa de diferentes fatores que devem ser cuidadosamente explorados.

A estratégia de gestão de riscos de engenharia social

O fator humano, em especial o aspecto da engenharia social, é uma vulnerabilidade relevante nos sistemas de empresas. Essa área específica de risco quase sempre é subestimada e difícil de gerenciar. Os funcionários podem ser as vítimas desses ataques com base em engenharia social, pois eles não têm o treinamento necessário sobre essas ameaças, nem a capacidade de reconhecer quais tipos de sites ou anexos de arquivos são seguros para se abrir. É fundamental desenvolver uma estratégia que inclua esse risco específico relacionado ao fator humano nos processos de governança de segurança de TI.

O COBIT 5 também considera fatores e comportamentos humanos como elementos essenciais (ainda que frequentemente subestimados) para o desenvolvimento de uma abordagem holística para GEIT.10 Avaliações voltadas para o fator humano agregam uma métrica eficaz para mensurar o nível de realização da meta de segurança de informações. É essencial estabelecer boas práticas com a finalidade de corrigir, estimular e manter a cultura de segurança em toda a empresa. Em particular, comunicação e conscientização e treinamento de segurança são atividades que devem ser realizadas corretamente para aumentar sua eficácia.

A aplicação de uma abordagem holística nesse sentido pode ser difícil. Uma solução deve incluir mais colaboração interna das partes interessadas dos departamentos envolvidos. Isso pode ser alcançado transferindo, de uma forma simples com resultados objetivos e números mensuráveis, a percepção do risco real para funções não tecnológicas, como os departamentos de comunicação e RH. Essa colaboração também pode ser valiosa para redefinir o planejamento de investimentos a fim de contrastar os riscos destacados e introduzir orçamentos compartilhados (não apenas de TI) com relação ao fator humano e às atividades de segurança, pois as ações mudam do campo tecnológico para o de RH.

A colaboração entre departamentos pode ajudar empresas a definir e implantar programas que permitam efetivamente a melhoria da governança da segurança de informações.

Conclusão

Atualmente, não é possível alcançar um nível adequado de segurança de ICT apenas com contramedidas tecnológicas, pois os modernos ataques cibernéticos conseguem superar todas as camadas de defesa explorando o fator humano por meio de técnicas de engenharia social. Os resultados discutidos neste artigo confirmam que funcionários podem ser ludibriados a executar ações perigosas que podem colocar suas empresas em risco. Portanto, para mitigar esses riscos, as empresas devem desenvolver uma estratégia voltada para a compreensão da extensão real do problema e a promoção de ações eficazes.

Está se disseminando cada vez mais a ideia de que as empresas precisam avaliar seus funcionários para que o nível real de risco seja identificado. Devido à criticalidade dessa etapa, por conta de questões éticas e normativas, as empresas devem utilizar uma metodologia específica e personalizada que possa medir a eficácia em potencial de um ataque de engenharia social. Com a aplicação eficaz de tal metodologia específica, comprovou-se que os resultados são úteis para obter o comprometimento da gerência sênior para implementar ações de mitigação relacionadas, principalmente, ao treinamento de funcionários.

Na realidade, para aumentar a conscientização a fim de mitigar riscos, os investimentos não devem se concentrar apenas em educação tradicional, mas também na experimentação de formas inovadoras de conscientização. Isso seria muito útil para alterar de maneira eficaz a cultura empresarial, contribuindo assim para a elevação de seu nível de segurança geral.

Notas

1 ICANN, “ICANN Targeted in Spear Phishing Attack. Enhanced Security Measures Implemented,” 16 de dezembro de 2014, https://www.icann.org/news/announcement-2-2014-12-16-en
2 Kaspersky Lab, “The Great Bank Robbery: The Carbanak,” Securelist, 16 de fevereiro de 2015, APT, http://securelist.com/blog/research/68732/the-great-bank-robbery-the-carbanak-apt/
3 Guanotronic, “It’s All About The Benjamins: An Empirical Study on Incentivizing Users to Ignore Security Advice,” http://guanotronic.com/~serge/papers/fc11.pdf
4 Dhamija, R.; et al.; “Why Phishing Works,” Proceedings of the SIGCHI Conference on Human Factors in Computing Systems, Abril de 2006, www.cs.berkeley.edu/~tygar/papers/Phishing/why_phishing_works.pdf
5 Mouton, F.; et al.; “Social Engineering From a Normative Ethics Perspective,” Information Security for South Africa (ISSA), Johanesburgo, África do Sul, 2013, http://icsa.cs.up.ac.za/issa/2013/Proceedings/Full/77/77_Paper.pdf
6 Brenna, R.; et al.; CEFRIEL, “Social Driven Vulnerability,” Technology, Fevereiro de 2014, www.slideshare.net/CEFRIEL/social-driven-vulnerability-english-version
7 Kumaraguru, P; et al.; “Teaching Johnny Not to Fall for Phish,” Journal ACM Transactions on Internet Technology, 2010
8 Kumaraguru, P.: et al.; “Lessons From a Real World Evaluation of Anti-phishing Training,” APWG eCrime Researcher’s Summit, Janeiro de 2008
9 Caputo, D.; et al.; “Going Spear Phishing: Exploring Embedded Training and Awareness,” Security and Privacy, IEEE, vol. 12, iss. 1, 23 de agosto 2013
10 ISACA, COBIT 5, EUA, 2012, www.isaca.org/cobit

Roberto Puricelli, CISM, é consultor de segurança sênior de ICT (Tecnologia da informação e de comunicações) da CEFRIEL, uma empresa de inovações do Politecnico di Milano. Ele possui experiência em diversas áreas de segurança da informação, incluindo avaliação de vulnerabilidade, testes de penetração, aplicativo Web, segurança móvel e análise de risco. Além disso, ele está envolvido em pesquisas de ameaças de nova geração, com foco específico em ataques de engenharia social. Portanto, ele contribuiu para o desenvolvimento de uma metodologia específica que visa mensurar o risco relacionado.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.