O conceito de “cibersegurança” intimida muita gente e costuma ser considerado responsabilidade exclusiva de equipes de segurança. Porém, quando atacam, os atacantes não respeitam cargos ou equipes. Eles atacam pessoas de qualquer departamento e de qualquer nível que tenham acesso a dados confidenciais, frequentemente antes que as equipes de segurança tenham tempo para investigar os ataques. Por isso não surpreende que a National Cybersecurity Alliance (NCA) afirme que:
“É fundamental que as equipes de segurança promovam bons hábitos cibernéticos por meios educativos e que encontrem maneiras de engajar os usuários e fazê-los crer que podem desempenhar um papel ativo ajudando a manter a segurança da organização.”
O kit do mês da conscientização quanto à cibersegurança da Proofpoint está alinhado com os temas fundamentais da NCA para 2022 e objetiva ajudá-lo a instruir os seus usuários sobre os diversos tipos de ameaças cibernéticas. Ao equipar os seus usuários com ferramentas para identificar, evitar e denunciar ameaças, esperamos que você desenvolva bons hábitos de cibersegurança e uma linha de defesa mais forte na sua organização.
Antes de nos aprofundarmos nos temas deste ano, é de suma importância explorarmos as razões pelas quais a conscientização quanto à segurança é relevante e necessária.
Por que a conscientização quanto à segurança é importante?
Os atacantes visam mais usuários do que infraestruturas porque é mais fácil e mais rápido enganar pessoas do que atravessar um firewall ou hackear uma conta. Inevitavelmente, uma ameaça acaba passando pelo gateway de e-mail. Quando isso acontece, os usuários precisam saber como reconhecer ameaças e como responder para reduzir a probabilidade de um comprometimento.
O treinamento para conscientização quanto à segurança oferece exemplos de ameaças do mundo real, educa os usuários no que é preciso fazer diante das ameaças, ajuda a criar bons hábitos de cibersegurança e avalia a forma como os usuários aplicam seu aprendizado em situações reais.
Para ajudar você a se preparar melhor para omês nacional da conscientização quanto à cibersegurança, a Proofpoint seguiu as orientações da NCA e apresenta os seguintes tópicos como temas para o kit deste ano:
- Utilização de autenticação por múltiplos fatores (MFA)
- Criação de senhas fortes
- Atualização de software
- Reconhecimento e denúncia de phishing
Uso de MFA para proteger suas contas
A maioria das contas exige múltiplas maneiras de autenticar a sua identidade para assegurar que somente você possa acessar suas informações e sistemas. Alguns exemplos comuns de opções de MFA são senhas adicionais, uma chave física (na forma de um dispositivo USB), biometria (por exemplo, impressão digital ou voz) ou uma localização de GPS no seu dispositivo.
Figura 1. Estas imagens são exemplos de opções típicas de MFA para entrar em contas de nuvem da Microsoft (imagens por cortesia do site Visão geral da autenticação do Microsoft Azure Active Directory).
Os atacantes sabem o quão útil e comum a MFA se tornou e já descobriram maneiras de contorná-la utilizando “ataques de fadiga” ou “bombardeio de MFA” quando têm acesso às credenciais de uma pessoa. Nesse caso, os malfeitores enviam várias notificações “push” ou pop-ups de MFA por telefone ou e-mail. A esperança deles é que o usuário se canse de inserir suas credenciais e simplesmente “aceite” uma solicitação falsa de MFA para não receber mais mensagens.
Para manter as suas contas seguras, fique atento a solicitações incomuns de MFA nos seus dispositivos e desconfie se receber múltiplas solicitações de MFA em um curto período de tempo. Só aprove solicitações de MFA se estiver tentando entrar nas suas contas e configure alertas nos seus dispositivos para notificá-lo sobre atividades suspeitas.
Apesar do incômodo de digitar vários códigos, passar por varreduras biométricas ou identificar-se por impressão digital, configure a MFA em todas as suas contas e confira também o que uma solicitação de MFA legítima pede a você. Isso pode ajudar na segurança dos seus dados e assegurar que você seja notificado caso haja uma tentativa de comprometer a sua conta.
Crie senhas fortes e atualize o software regularmente
Pode ser desafiador lembrar senhas diferentes para as várias contas nas quais entramos todos os dias — e, por isso, é tentador usar a mesma senha em várias plataformas. Porém, os atacantes frequentemente utilizam sites de código aberto criados para inserir sequências de caracteres aleatórios em qualquer conta, na esperança de “adivinhar” a senha certa.
Senhas fracas facilitam o trabalho de adivinhação de tais sites. Além disso, se a mesma senha for utilizada em vários lugares, maior será a possibilidade de que malfeitores comprometam múltiplas contas, caso adivinhem a senha. A criação de senhas fortes, com uma combinação de vários caracteres, símbolos e números, dificulta o trabalho dos hackers.
A imagem abaixo mostra a diferença entre uma senha fraca e uma senha forte:
Figura 2. A senha fraca não possui combinações de caracteres diferentes e letras maiúsculas/minúsculas e contém uma data de nascimento que pode ser facilmente descoberta por sites de código aberto. A senha forte inclui uma combinação de caracteres e palavras aleatórias.
Instrua os seus usuários sobre práticas recomendadas no uso de senhas com nosso kit gratuito de conscientização quanto a senhas.
Um outro componente da proteção de suas informações consiste em proteger os seus dispositivos através de atualizações de software. As equipes de segurança trabalham arduamente para identificar bugs que exigem correções. Às vezes esses bugs podem deixar o software com vulnerabilidades, caso não sejam corrigidos. Embora atualizações de software possam deixar o seu computador lento durante a instalação ou exigir uma reinicialização, o que toma tempo, é importante certificar-se de utilizar o software mais recente de maneira a “fechar a porta” e manter do lado de fora os atacantes que tentarem invadir os seus dispositivos e contas.
Esteja atento ao phishing no local de trabalho e em casa
No mundo atual do trabalho remoto, as pessoas são distraídas por múltiplos dispositivos e por conflitos de prioridades, o que facilita para os atacantes induzir o usuário a clicar em um phishing. Ser capaz de identificar e saber como denunciar phishing pode ajudar os seus colegas a não cair nesses golpes e a evitar violações.
Os e-mail de phishing têm várias formas, estão evoluindo constantemente e utilizam táticas de engenharia social para se tornarem atraentes para os usuários. Por exemplo, no início deste ano, várias campanhas de phishing aproveitaram-se das emoções das pessoas em torno do conflito Rússia-Ucrânia enviando e-mails fraudulentos com pedidos de ajuda financeira e doações.
Tentativa de obtenção de vantagem financeira em site de arrecadação de fundos para compra de roupas na Ucrânia
Figura 3. A imagem acima mostra um e-mail fraudulento de arrecadação de fundos que tenta obter dados de pagamentos financeiros utilizando o incentivo emocional de apoiar a Ucrânia comprando roupas.
Ter uma solução de treinamento para conscientização quanto à segurança que eduque os usuários sobre ameaças do mundo real aumenta a probabilidade de que os usuários denunciem o próximo phishing que receberem e façam sua parte para proteger o restante da organização.
Como utilizar o kit do mês da conscientização quanto à cibersegurança da Proofpoint
A conscientização e o empenho dos usuários é fundamental para a redução dos riscos de cibersegurança. Para ajudar os seus usuários a desenvolver bons comportamentos de segurança, organizamos uma seleção de recursos gratuitos para apoiar o uso correto da MFA pelos seus usuários, a criação de senhas fortes e a realização de atualizações de software sem demora. Também fornecemos educação para ajudá-los a não cair no phishing e em outras iscas de engenharia social. Nós dividimos nosso kit em um programa de quatro semanas que consiste em:
- Semana 1 (lançamento): Reconhecer o valor da conscientização quanto à segurança e familiarizar-se com a MFA
- Semana 2: Utilizar senhas fortes
- Semana 3: Atualizar o seu software
- Semana 4: Reconhecer e denunciar phishing
Use o “Guia inicial” para elaborar suas mensagens de campanha semanais e ajudar os seus usuários a se considerarem parte da equipe de segurança.
Próximo passo: fazer o download do kit
A conscientização quanto à segurança afeta a todos, e não apenas as equipes de segurança. Além disso, as ações de todos têm o poder de ajudar a proteger a organização como um todo ou de, acidentalmente, colocar a organização em risco. Para permanecer seguro on-line, é importante desenvolver hábitos melhores de cibersegurança, permanecer atento ao menor sinal de comportamento suspeito e tomar as medidas apropriadas diante das ameaças.
Faça o download e utilize o kit do mês da conscientização quanto à cibersegurança da Proofpoint e visite nosso centro de conscientização quanto à cibersegurança para aprender dicas e truques que podem ajudar os seus usuários a se tornarem guerreiros da cibersegurança e a se manterem seguros on-line, tanto no trabalho quanto em casa.