O que são violações de segurança?

Para muitas pessoas, as atividades mais fundamentais da vida agora são realizadas online. Das compras, operações bancárias e planejamento de viagens até entretenimento e namoro, as pessoas cada vez mais recorrem ao mundo digital para facilitar suas vidas públicas e privadas. Eles confiam em suas ferramentas digitais para manter informações e dados pessoais — e talvez alguns de seus segredos — seguros, privados e protegidos. 

No entanto, como contas on-line, aplicativos e sistemas de computador agora armazenam grandes quantidades de informações pessoais e financeiras, eles se tornam alvos principais de violações de segurança, nas quais criminosos tentam comprometer sistemas para obter acesso às contas de clientes e coletar dados, abrindo caminho para fraudes e outros crimes cibernéticos. Para as empresas, as violações também podem levar a multas regulatórias, responsabilidades legais, danos à reputação e perda de confiança do cliente. 

Uma violação de segurança pode resultar de uma ampla gama de ameaças e vulnerabilidades em evolução, incluindo senhas fracas, malware, phishing, ransomware e engenharia social. Instituir medidas de segurança de dados é fundamental para que indivíduos e organizações protejam a privacidade pessoal e resguardem dados confidenciais, porque informações confidenciais têm grande valor para criminosos. A dark web é um mercado onde nomes de usuários, senhas, números de cartão de crédito e outros dados financeiros podem ser comprados e vendidos, e usados para fins de roubo de identidade ou fraude.

A ameaça de violações de segurança é real: De acordo com a Enterprise Apps Today , a cada 39 segundos ocorre uma violação em algum lugar do mundo, com cerca de US$ 6 trilhões em danos causados por criminosos cibernéticos somente em 2022.

Violações de segurança ocorrem quando os controles de segurança são violados ou contornados de alguma forma; as maiores e mais poderosas empresas do mundo são regularmente alvos de criminosos cibernéticos. Na verdade, instituições financeiras, empresas de comércio eletrônico e agências governamentais estão entre as entidades mais comumente visadas devido aos vastos acervos de dados pessoais e financeiros que esses sites mantêm.

Indivíduos e organizações, grandes e pequenas, correm risco de violações de segurança e ataques cibernéticos. Hackers e criminosos cibernéticos, alguns com o apoio de poderosos interesses nacionais ou corporativos, são infinitamente criativos e criam novas maneiras de penetrar nas proteções de segurança existentes. Isso lhes dá a oportunidade de roubar informações confidenciais ou dados pessoais que podem potencialmente vender ou manipular para ganho competitivo, ou usar para se envolver em fraudes, roubo de identidade ou disseminação de informações incorretas. 

De acordo com o site de notícias secureworld.io, as violações de dados mais significativas de todos os tempos incluem o seguinte:

• Yahoo (2013-2014), em que mais de 3 bilhões de contas de usuários foram comprometidas depois que invasores usaram técnicas de phishing para invadir a rede do Yahoo. Intrusos obtiveram acesso a informações confidenciais, incluindo nomes, endereços de e-mail, datas de nascimento, números de telefone e senhas criptografadas. Além de multas de US$ 35 milhões da Securities and Exchange Commission e US$ 80 milhões em acordos de uma ação coletiva federal de valores mobiliários, o Yahoo foi forçado a reduzir seu preço de compra em US$ 350 milhões durante sua venda para a Verizon em 2016. Em março de 2017, o FBI indiciou quatro pessoas pelo ataque , incluindo dois oficiais do Serviço Federal de Segurança Russo (FSB).
• Equifax (2017), no qual os invasores obtiveram informações pessoais de 147 milhões de consumidores nos EUA, incluindo nomes, números de previdência social, datas de nascimento, endereços e, em alguns casos, números de carteira de motorista. Além dessas informações pessoais, a violação também expôs números de cartão de crédito de cerca de 209.000 clientes. Os invasores obtiveram acesso à rede Equifax por meio de uma vulnerabilidade no aplicativo de um site, e a segmentação inadequada do sistema permitiu que os invasores se movimentassem lateralmente com facilidade dentro do sistema. A violação teve repercussões severas, levando à perda de confiança do consumidor, investigações legais, processos judiciais, multas regulatórias e audiências no Congresso. A Equifax também pagou cerca de US$ 700 milhões para ajudar as pessoas afetadas pela violação de dados. Em 2020, os EUA O Departamento de Justiça anunciou acusações contra quatro hackers apoiados pelos militares chineses em conexão com o ataque cibernético à Equifax. 
• Marriott International (2014-2018), no qual aproximadamente 500 milhões de registros de hóspedes foram comprometidos , incluindo nomes, endereços, números de telefone, números de passaporte, endereços de e-mail, informações de viagem e, em alguns casos, números de cartão de pagamento. O ataque começou quando a Marriott adquiriu a Starwood Hotels and Resorts em 2016 e integrou o sistema de reservas da Starwood ao da Marriott. O sistema da Starwood foi comprometido pelo menos em 2014 (provavelmente devido ao roubo de credenciais de funcionários da Starwood) e logo todas as propriedades do grupo Marriott International foram infectadas. O Gabinete do Comissário de Informação do Reino Unido (ICO) multou a Marriott em US$ 23,8 milhões em penalidades. Autoridades dos EUA alegam que o ataque cibernético foi parte de um esforço chinês de coleta de informações; a Marriott é a principal fornecedora de hotéis para o governo e militares americanos.
• T-Mobile (2022-2023), na qual invasores manipularam uma API para violar 37 milhões de contas de usuários para obter nomes de clientes, endereços de cobrança, endereços de e-mail, números de telefone, números de conta e datas de nascimento. O invasor, que teve acesso não autorizado aos sistemas da T-Mobile por mais de um mês antes da violação ser descoberta, não foi identificado. 

Existem vários tipos de violações de segurança, caracterizadas pelos métodos usados pelo invasor para obter acesso ao sistema.

• Ataques de malware são uma técnica comum usada por criminosos para iniciar violações de segurança. O malware geralmente é espalhado por meio de anexos de e-mail maliciosos, geralmente como parte de um ataque de phishing que engana os destinatários, fazendo-os clicar em links ou baixar anexos que contêm malware ou levam a páginas de login falsas. O malware também pode ser iniciado por meio do contato com sites infectados ou downloads de software comprometidos. O malware pode ser projetado para executar várias funções que levam a violações de dados, incluindo a gravação de pressionamentos de tecla ou o monitoramento da atividade do usuário, ou a criação de pontos de acesso “backdoor” que permitem que invasores obtenham acesso às redes. Outros tipos de malware podem coletar credenciais de login salvas ou roubar dados de autenticação confidenciais , que os invasores podem usar para obter acesso não autorizado a contas e sistemas. O malware também pode realizar exfiltração, enviando dados roubados para servidores remotos controlados por invasores, levando ao vazamento não autorizado de dados e possível exposição. Ataques de ransomware também podem levar a violações de segurança, já que ransomware é um tipo de malware que criptografa os dados da vítima, tornando-os inacessíveis. Durante o processo de criptografia, o invasor obtém acesso aos dados da vítima e, em muitos casos, ameaça divulgar os dados confidenciais da vítima publicamente ou vendê-los na dark web se o resgate não for pago. Isso transforma o incidente de ransomware em uma violação de dados, expondo as informações comprometidas a indivíduos não autorizados.
• Ataques de engenharia social dependem de manipulação psicológica para enganar as pessoas e fazê-las revelar informações confidenciais, realizar ações ou tomar decisões que comprometam a segurança. Em alguns casos, os invasores podem se passar por indivíduos confiáveis , como colegas, supervisores ou pessoal de TI, para convencer as vítimas a compartilhar dados confidenciais ou revelar nomes de usuário, senhas ou outras credenciais de autenticação. Usando essas informações, invasores podem obter acesso não autorizado a sistemas, contas e dados confidenciais. Ataques de engenharia social geralmente usam táticas de phishing para manipular indivíduos para que realizem ações ou revelem dados que normalmente não fariam.
• Explorações de software aproveitam vulnerabilidades ou fraquezas em software, firmware ou configurações de sistema para obter acesso não autorizado, manipular dados ou executar ações maliciosas em um sistema de computador ou rede. Software desatualizado ou sem patches é um ponto de entrada comum para explorações de sistema, mas também pode estar vinculado a ataques de escalonamento de privilégios ou explorações de execução remota de código.

A penalidade por uma violação de dados pode ser grave e de longo alcance e inclui:

• Perdas financeiras devido a despesas relacionadas à resposta a incidentes, honorários advocatícios e processos judiciais , multas regulatórias e indenizações às partes afetadas.
• Danos à reputação, pois violações divulgadas publicamente podem resultar em publicidade negativa e causar danos a longo prazo à marca.
• Perda de confiança, pois violações podem minar a confiança na capacidade da empresa de proteger dados, fazendo com que clientes (e parceiros) hesitem em se envolver em relacionamentos comerciais, levando à perda de fidelidade e ao desgaste do cliente.
• Implicações legais e regulatórias, pois as empresas podem enfrentar ações legais e multas regulatórias devido à não conformidade com leis e regulamentos de proteção de dados, como o Regulamento Geral de Proteção de Dados (GDPR) da UE e a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) nos EUA

Reconhecer os sinais de uma violação de segurança precocemente é crucial para minimizar danos potenciais e responder de forma eficaz. A seguir estão indicadores comuns que podem indicar que uma violação de segurança está em andamento. 

• Atividade de rede incomum, como aumentos repentinos no tráfego de rede, transferências de dados incomuns ou picos inesperados no uso de largura de banda podem indicar acesso não autorizado ou exfiltração de dados.
• O comportamento inesperado do sistema, como tempo de inatividade inexplicável, desempenho lento ou falhas frequentes, pode indicar a presença de malware ou atividades não autorizadas.
• Atividades estranhas nas contas, como contas de usuário desconhecidas, horários de login incomuns ou várias falhas de login podem ser sinais de comprometimento ou tentativas de acesso não autorizado.
• Anomalias de dados e acesso não autorizado, como dados ausentes ou alterados e registros mostrando acesso não autorizado a bancos de dados críticos ou informações confidenciais, podem sugerir uma violação de segurança.

Prevenir violações de segurança requer uma abordagem proativa e abrangente da segurança cibernética, incluindo as seguintes práticas recomendadas.

• Aplique políticas de senhas fortes. Restrinja o uso de informações fáceis de adivinhar, como aniversários, nomes ou palavras comuns, e imponha o uso de senhas que combinem sequências aleatórias de letras maiúsculas e minúsculas, números e símbolos. Considere defender o uso de senhas, que são mais longas e fáceis de lembrar, mas mais difíceis de quebrar.  
• Implementar autenticação multifator (MFA). O MFA exige que o usuário apresente dois ou mais fatores de verificação para obter acesso a um aplicativo, recurso, conta online ou outro serviço. Na prática comum, isso geralmente envolve inserir uma senha de uso único de um e-mail ou mensagem de texto em um smartphone ou navegador, ou fornecer dados biométricos, como impressão digital ou escaneamento facial.
• Atualize regularmente softwares e sistemas. Mantenha os sistemas operacionais, aplicativos de software e patches de segurança atualizados para corrigir vulnerabilidades conhecidas. Desenvolva um processo robusto de gerenciamento de patches para aplicar atualizações e correções de segurança prontamente.
• Implementar segmentação de rede. Dividir uma rede maior em segmentos menores e isolados pode ajudar a aumentar a segurança e reduzir o impacto potencial de violações de segurança criando zonas ou sub-redes separadas com acesso controlado. Essa prática ajuda a isolar ativos críticos, reduz a superfície de ataque e limita o movimento lateral dentro da rede para ajudar a conter violações.
• Empregue criptografia e proteção de dados. Criptografe dados confidenciais em trânsito e em repouso para proteger contra acesso não autorizado. A aplicação de políticas de proteção de dados, como controles de acesso rigorosos e princípios de privilégio mínimo, reduz o risco de acesso não autorizado aos dados.
• APIs de inventário e scripts de terceiros. Descubra dinamicamente endpoints de API e integrações de terceiros para garantir que eles sejam capturados em processos de gerenciamento de risco e protegidos por controles de segurança apropriados. 

• Reconheça tentativas de phishing. Certifique-se de que os funcionários aprendam a reconhecer e-mails de phishing e links maliciosos, reduzindo a probabilidade de cair em golpes de phishing que podem levar a violações de dados.
• Eduque sobre senhas fortes. Ensine aos funcionários a importância de senhas fortes e práticas robustas de higiene de senhas. 
• Denuncie atividades suspeitas. Ensine os funcionários a relatar prontamente atividades suspeitas ou possíveis incidentes de segurança, permitindo uma resposta e mitigação mais rápidas. O treinamento regular mantém os funcionários atualizados sobre os riscos emergentes e como reconhecê-los.

• Avalie regularmente a postura de segurança da sua organização. Use testes de penetração, varredura de vulnerabilidades e auditorias de segurança para identificar e corrigir fraquezas em seus sistemas, aplicativos e redes antes que invasores possam explorá-las. As avaliações de vulnerabilidade também ajudam a identificar configurações incorretas que podem levar a violações de segurança se não forem corrigidas.

• Desenvolva um plano de resposta a incidentes. Isso pode desempenhar um papel significativo na mitigação de violações de segurança, fornecendo uma abordagem estruturada e proativa para identificar e responder a possíveis incidentes de segurança cibernética.
• Identifique as partes interessadas e as funções. Certifique-se de identificar as partes interessadas, determinar funções e responsabilidades e desenvolver uma cadeia de comando clara para relatar e escalonar incidentes. Desenvolva procedimentos detalhados passo a passo para conter e mitigar violações e teste regularmente o plano para identificar fraquezas e melhorar as respostas.
• Desenvolver estratégias de continuidade de negócios e recuperação de desastres (BCDR). Os planos BCDR ajudam a garantir a continuidade de operações comerciais críticas em caso de interrupções, como violações de segurança. Um elemento essencial dos planos BCDR são backups regulares de dados para garantir que os dados possam ser restaurados a um estado anterior limpo em caso de violação ou corrupção de dados. Todos os planos de BCDR devem ser testados regularmente por meio de simulações e exercícios para confirmar sua eficácia e permitir que as empresas identifiquem pontos fracos e refinem estratégias de resposta.

A inteligência artificial oferece novas ferramentas e recursos poderosos que podem ser aproveitados para detectar e prevenir violações de segurança. Em particular, a defesa de bots com tecnologia de IA pode manter a resiliência, não importa como os invasores tentem contornar as defesas por meio de coleta de telemetria durável, análise comportamental e mudanças nas estratégias de mitigação. Algoritmos de IA detectam anomalias que podem indicar atividades de violação, como usuários acessando dados confidenciais em horários incomuns ou de locais desconhecidos, bem como tentativas de falsificar sinais e usar dados comprometidos da dark web. 

Esses sistemas podem ser direcionados para bloquear ou sinalizar automaticamente atividades suspeitas e podem automatizar alguns elementos dos planos de resposta a incidentes, como iniciar ações de resposta predefinidas ou isolar sistemas comprometidos para ajudar a minimizar a propagação de violações. Como os sistemas de segurança baseados em IA aprendem com novos dados e se adaptam às mudanças nos cenários de ameaças, sua precisão na detecção de violações melhora com o tempo e evolui para permanecer relevante em ambientes de ameaças dinâmicos. 

As tecnologias de IA também podem analisar grandes volumes de dados e detectar padrões anômalos em tempo real, permitindo que esses sistemas respondam mais rapidamente e com maior precisão na identificação de ameaças do que os programas de detecção de ameaças manuais ou baseados em regras.

Embora as soluções de segurança baseadas em IA ofereçam benefícios significativos para detecção e prevenção de ameaças, elas funcionam melhor em conjunto com a experiência humana para validar alertas e interpretar dados ou entradas complicadas. Os modelos de segurança de IA podem produzir falsos positivos e falsos negativos, o que exige a vigilância do julgamento e supervisão humanos, principalmente ao responder a ameaças complexas e novas. 

A Comissão Federal de Comércio (FTC) fornece orientação sobre medidas de resposta a incidentes que as organizações devem considerar quando enfrentam uma violação de segurança. Essas etapas foram projetadas para ajudar as organizações a responder e gerenciar incidentes de segurança de forma eficaz. Uma visão geral das orientações da FTC para lidar com uma violação de segurança inclui as seguintes ações:

• Proteja suas operações. Aja rapidamente para proteger seus sistemas e mobilize sua equipe de resposta a violações imediatamente para evitar perda adicional de dados. Isso pode envolver isolar sistemas afetados, desabilitar contas comprometidas e tomar outras medidas para impedir mais acessos não autorizados.
• Corrigir vulnerabilidades. Trabalhe com seus especialistas forenses para identificar e abordar as vulnerabilidades que permitiram que a violação ocorresse. Aplique patches e atualize softwares, sistemas e configurações para evitar incidentes futuros. Analise quem atualmente tem acesso à rede (incluindo provedores de serviços), determine se esse acesso é necessário e restrinja o acesso caso não seja necessário.
• Notifique as partes apropriadas. Notifique a polícia para relatar a situação e o risco potencial de roubo de identidade. Dependendo da natureza da violação, informe os indivíduos afetados, clientes ou consumidores sobre o incidente. Forneça informações claras, precisas e transparentes aos indivíduos afetados sobre o que aconteceu, quais dados foram expostos e quais medidas eles devem tomar para se proteger.