Prevenir ou reduzir os danos comerciais causados por uma violação
Como parte das diretrizes de adoção do Zero Trust, este artigo descreve o cenário de negócios para prevenir ou reduzir os danos comerciais causados por uma violação de segurança cibernética. Este cenário aborda o princípio orientador Assumir violação Zero Trust, que inclui:
- Minimize o raio de jateamento e o acesso ao segmento
- Verificar a criptografia de ponta a ponta
- Use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas
Com modelos híbridos de infraestrutura de TI, os ativos e dados da sua organização estão localizados no local e na nuvem, e os agentes mal-intencionados podem empregar muitos métodos diferentes para atacá-los. Sua organização deve ser capaz de prevenir esses ataques tanto quanto possível e, quando violado, minimizar os danos do ataque.
As abordagens tradicionais que se concentram no estabelecimento de segurança baseada em perímetro para o local, onde você confia em todos dentro do perímetro de rede privada da sua organização, não são mais relevantes. Se um invasor obtiver acesso à sua rede privada, ele poderá, com as permissões apropriadas, acessar quaisquer dados, aplicativos ou recursos dentro dela. Eles podem violar sua rede roubando credenciais de usuário, aproveitando uma vulnerabilidade de segurança ou introduzindo uma infeção por malware. Tais ataques podem resultar em perda de receita e altos prêmios de seguro cibernético, o que pode ser um revés significativo para a saúde financeira e a reputação de mercado da sua organização.
A Forester concluiu o seguinte para 2021:
- Quase dois terços das organizações foram violadas no ano passado, e isso lhes custou em média US$ 2,4 milhões por violação. – Forester, The 2021 State of Enterprise Breaches (abril de 2022).
Com a nuvem, os agentes mal-intencionados não precisam violar fisicamente o perímetro da rede privada. Eles podem atacar seus ativos digitais baseados em nuvem de qualquer lugar do mundo.
A integridade e a reputação da sua organização dependem da sua estratégia de segurança. Com a adoção generalizada de ambientes empresariais baseados na nuvem e o crescimento da força de trabalho móvel, as pegadas de dados existem além dos limites tradicionais das redes corporativas. Esta tabela resume as principais diferenças entre a proteção contra ameaças tradicional e moderna com o Zero Trust.
| Proteção tradicional contra ameaças com controles de rede privada | Proteção moderna contra ameaças com Zero Trust |
|---|---|
| A proteção tradicional depende da segurança baseada em perímetro, onde você confia em todos dentro da rede privada. As redes de perímetro podem incluir: - Pouca segmentação de rede ou perímetros de segurança e redes abertas e planas. - Proteção mínima contra ameaças e filtragem estática de tráfego. - Tráfego interno não encriptado. |
O modelo Zero Trust move as defesas de rede de perímetros estáticos baseados em rede para se concentrar em usuários, dispositivos, ativos e recursos. Suponha que uma violação pode e vai acontecer. Os riscos de segurança podem existir dentro e fora da sua rede, você está constantemente sob ataque e um incidente de segurança pode acontecer a qualquer momento. Uma infraestrutura de proteção contra ameaças abrangente e moderna pode fornecer deteção e resposta a ataques em tempo hábil. Minimize o raio de explosão de incidentes de segurança com camadas de proteção que, juntas, reduzem a extensão dos danos e a rapidez com que eles podem se espalhar. |
Para reduzir o impacto de um incidente significativo, todos os seguintes itens são essenciais:
- Identificar o risco comercial de uma violação
- Planeje uma abordagem baseada em risco para sua resposta a violações
- Compreender os danos resultantes para a reputação e as relações da sua organização com outras organizações
- Adicionar camadas de defesa em profundidade
As orientações neste artigo explicam como você pode começar sua estratégia para prevenir e reduzir os danos de uma violação. Dois artigos adicionais fornecem os detalhes de como implementar essa estratégia usando:
- Uma infraestrutura de prevenção e recuperação de violações de segurança
- Proteção contra ameaças e ferramentas de deteção e resposta eXtended (XDR)
O primeiro passo para uma postura de segurança robusta é determinar como sua organização está vulnerável por meio da avaliação de riscos.
Avaliar o risco e a sua postura de segurança
Quando você decide adotar uma estratégia para prevenir violações e reduzir os danos causados por uma, é importante considerar e quantificar a métrica de risco. Estrategicamente, o exercício de quantificar o risco permite definir uma métrica para o seu apetite pelo risco. Isso requer que você realize uma avaliação de risco de linha de base, juntamente com uma análise das violações críticas para os negócios que podem afetar seus negócios. A combinação de seu apetite por risco documentado contra cenários de violação que você está disposto a abordar forma a base de uma estratégia de preparação e correção de violações.
Note que é praticamente impossível evitar violações como um absoluto. Conforme descrito em Retorno do investimento do invasor, o objetivo é aumentar incrementalmente o atrito com ataques cibernéticos até um ponto em que os invasores contra os quais você pode ou está disposto a se defender não obtenham mais um retorno viável sobre o investimento de seus ataques. O tipo de ataques e a viabilidade económica para defender devem ser capturados como parte da sua análise de risco.
A redução dos danos de uma violação dá uma energia considerável às opções durante e após a violação, o que permite que sua organização se recupere rapidamente de uma violação esperada ou de um tipo de violação. Esses tipos de violação e a prontidão para recuperação são definidos nas seções subsequentes deste artigo.
Reconhecer a intenção de violação deve fazer parte da sua preparação para a violação. Todas as infrações têm um elemento de malícia ou intenção criminosa associada, no entanto, as violações motivadas financeiramente têm o potencial de causar danos muito maiores em comparação com violações "drive by" ou oportunistas.
Para obter mais informações sobre postura de segurança e avaliação de riscos, consulte Modernizar rapidamente sua postura de segurança.
Exemplos de riscos por tipo de negócio
Os requisitos de negócios dependem da análise de risco resultante para o seu tipo de negócio. A seguir são discutidas várias verticais de negócios e como suas necessidades específicas impulsionam a análise de risco segmentada:
Extração
A indústria de mineração está olhando mais para a mina do futuro, onde os sistemas de Tecnologia Operacional (OT) usam menos processos manuais. Um exemplo é o uso de Interfaces Homem-Máquina (IHM) que aproveitam uma interface de aplicativo para concluir trabalhos e tarefas dentro de uma planta de processamento. Como essas IHMs são projetadas como aplicações, os riscos de segurança cibernética para essa vertical do setor podem ser maiores.
A ameaça não se torna mais de perda de dados ou roubo de ativos da empresa. A ameaça torna-se um dos atores externos que usam o roubo de identidade para acessar sistemas críticos e interferir nos processos de produção.
Retail
Os principais riscos relacionados à violação dentro do setor de varejo podem surgir quando há vários domínios para várias marcas que vivem dentro do mesmo inquilino. As complexidades do gerenciamento de identidades locais ou baseadas em nuvem podem criar vulnerabilidades.
Sector da Saúde
Os principais riscos no setor da saúde são a perda de dados. A divulgação não autorizada de registros médicos confidenciais pode ser uma ameaça direta às leis de privacidade de dados e informações que são reservadas a pacientes e clientes e, com base em regulamentos locais, pode incorrer em penalidades substanciais.
Setor Público
As organizações do setor governamental representam os maiores riscos para a segurança da informação. Danos à reputação, segurança nacional e perda de dados estão em jogo. É em grande parte por isso que as organizações governamentais são obrigadas a subscrever normas mais rigorosas, como o National Institute of Standards and Technology (NIST).
Como parte de sua preparação e resposta a violações, aproveite o Microsoft Defender Threat Intelligence para pesquisar e aprender sobre os tipos de ataques e vetores de ameaças mais relevantes para sua vertical.
Riscos de tipos comuns de ataques
Prevenir ou reduzir os danos empresariais causados por uma violação de cibersegurança inclui a sensibilização para os tipos mais comuns de ataques. Embora os seguintes tipos de ataque sejam atualmente os mais comuns, sua equipe de segurança cibernética também deve estar ciente de novos tipos de ataques, alguns dos quais podem aumentá-los ou substituí-los.
Identidades
Os incidentes de segurança cibernética normalmente começam com um roubo de credenciais de algum tipo. As credenciais podem ser roubadas usando uma variedade de métodos:
Phishing
Um invasor se passa por uma entidade confiável e engana os funcionários para que abram e-mails, mensagens de texto ou mensagens instantâneas. Também pode incluir spear-phishing, no qual um invasor usa informações especificamente sobre um usuário para construir um ataque de phishing mais plausível. O roubo de credenciais técnicas pode ocorrer devido a um utilizador clicar num URL ou a um ataque de phishing MFA.
Vishing
Um invasor usa métodos de engenharia social para direcionar a infraestrutura de suporte, como helpdesks, para obter ou alterar credenciais.
Spray de senha
O invasor tenta uma grande lista de senhas possíveis para uma determinada conta ou conjunto de contas. As possíveis senhas podem ser baseadas em dados públicos sobre um usuário, como datas de nascimento em perfis de mídia social.
Em todos esses casos, a qualificação e a educação são essenciais tanto para os usuários como alvo de ataques de phishing quanto para os helpdesks como alvo de ataques vishing. Os serviços de assistência devem ter protocolos para autenticar os usuários solicitantes antes de executar ações confidenciais em contas ou permissões de usuários.
Dispositivos
Os dispositivos de usuário são outra maneira de entrar para os invasores, que normalmente dependem do comprometimento do dispositivo para instalar malware, como vírus, spyware, ransomware e outros softwares indesejados que são instalados sem consentimento.
Os atacantes também podem usar as credenciais do dispositivo para obter acesso aos seus aplicativos e dados.
Rede
Os atacantes também podem usar suas redes para afetar seus sistemas ou determinar dados confidenciais. Os tipos comuns de ataques à rede incluem:
Negação de serviço distribuída (DDos)
Ataques que visam sobrecarregar os serviços online com tráfego para tornar o serviço inoperante.
Escutas
Um invasor interceta o tráfego de rede e visa obter senhas, números de cartão de crédito e outras informações confidenciais.
Injeção de código e SQL
Um invasor transmite código mal-intencionado em vez de valores de dados por um formulário ou por meio de uma API.
Scripts entre sites
Um invasor usa recursos da Web de terceiros para executar scripts no navegador da Web da vítima.
Como os líderes empresariais pensam sobre como prevenir ou reduzir os danos comerciais causados por uma violação
Antes de iniciar qualquer trabalho técnico, é importante entender as diferentes motivações para investir na prevenção e redução de danos ao negócio decorrentes de uma violação, pois essas motivações ajudam a informar a estratégia, os objetivos e as medidas para o sucesso.
A tabela a seguir fornece as razões pelas quais os líderes de negócios em toda a organização devem investir na prevenção ou redução de danos de uma violação.
| Role | Por que prevenir ou reduzir os danos comerciais causados por uma violação é importante |
|---|---|
| Diretor Executivo (CEO) | A empresa deve estar capacitada para atingir as suas metas e objetivos estratégicos, independentemente do clima de cibersegurança. A agilidade e a execução dos negócios não devem ser restringidas por causa de um incidente ou violação. Os líderes empresariais devem compreender que a segurança faz parte dos imperativos empresariais e que é necessário investir tanto na prevenção como na preparação para as violações para garantir a continuidade dos negócios. O custo de um ciberataque bem-sucedido e destrutivo pode ser muito mais do que o preço da implementação de medidas de segurança. |
| Diretor de Marketing (CMO) | A forma como o negócio é percebido interna e externamente não deve ser restringida com base na ocorrência de uma violação ou prontidão para violação. Aprender a comunicar a prontidão para uma violação e as mensagens interna e externamente em resposta a uma violação é uma questão de preparação. Um ataque bem-sucedido pode se tornar de conhecimento público, potencialmente prejudicando o valor da marca, a menos que exista um plano de comunicação de violação. |
| Diretor de Informação (CIO) | Os aplicativos usados pela sua organização devem ser resilientes a ataques enquanto protegem os dados da sua organização. A segurança deve ser um resultado mensurável e alinhado com a estratégia de TI. A prevenção e o gerenciamento de violações devem estar alinhados com a integridade, privacidade e disponibilidade dos dados. |
| Diretor de Segurança da Informação (CISO) | A segurança deve estar alinhada como um imperativo de negócios para o C-Suite. A prontidão e a resposta a violações estão alinhadas para alcançar as principais estratégias de negócios, com segurança tecnológica alinhada à mitigação do risco do negócio. |
| Diretor de Operações (COO) | O processo de resposta a incidentes depende da liderança e da orientação estratégica proporcionadas por esta função. É imprescindível que ações preventivas e responsivas sejam realizadas de forma alinhada à estratégia corporativa. A preparação para violações em uma postura de violação Assumir significa que todas as disciplinas que reportam ao COO devem funcionar em um nível de prontidão para violação, garantindo que uma violação possa ser isolada e mitigada rapidamente sem pausar seus negócios. |
| Diretor Financeiro (CFO) | A preparação e mitigação de violações são funções de gastos de segurança orçados. Os sistemas financeiros devem ser robustos e podem sobreviver a uma violação. Os dados financeiros devem ser classificados, protegidos e copiados como um conjunto de dados confidenciais. |
Uma abordagem Zero Trust resolve vários problemas de segurança decorrentes de violações de segurança. Você pode enfatizar os seguintes benefícios de uma abordagem Zero Trust com seus líderes de negócios.
| Benefícios | Description |
|---|---|
| Garantir a sobrevivência | Dependendo da natureza ou motivação do atacante, uma violação pode ser projetada para afetar ou interromper significativamente a capacidade da sua organização de realizar atividades comerciais normais. Preparar-se para uma violação melhora significativamente a probabilidade de sua organização sobreviver a uma violação projetada para paralisar ou desabilitar. |
| Controle os danos à sua reputação | Uma violação que resulte no acesso a dados confidenciais pode ter impactos graves, como danos à reputação da marca, perda de propriedade intelectual sensível, interrupção para clientes, multas regulatórias e danos financeiros à sua empresa. A segurança Zero Trust ajuda a reduzir a área de ataque, avaliando, monitorando e analisando continuamente sua infraestrutura de TI, tanto no local quanto na nuvem. Uma arquitetura Zero Trust ajuda a definir políticas que são atualizadas automaticamente quando os riscos são identificados. |
| Reduza o raio de explosão dentro da sua organização | A implantação de um modelo Zero Trust pode ajudar a minimizar o impacto de uma violação externa ou interna. Ele melhora a capacidade da sua organização de detetar e responder a ameaças em tempo real e reduz a zona de explosão de ataques, restringindo o movimento lateral. |
| Demonstre segurança robusta e postura de risco | Uma abordagem Zero Trust permite alertas de triagem, correlação de sinais de ameaça adicionais e ações de correção. A análise de sinais ajuda a melhorar sua postura, avaliando sua cultura de segurança e identificando áreas para melhoria ou práticas recomendadas. Qualquer alteração na sua rede aciona automaticamente a análise de atividades potencialmente maliciosas. Você ganha visibilidade completa de todos os ativos e recursos em suas redes e seu desempenho, o que resulta em uma redução geral significativa na exposição ao risco. |
| Prémios de seguro cibernético mais baixos | Para avaliar o custo do seguro cibernético, você precisa de um modelo e arquitetura de segurança robustos e bem definidos. Ao implementar a segurança Zero Trust, você tem controle, visibilidade e governança com análise em tempo real para proteger sua rede e endpoints. Sua equipe de segurança pode detetar e superar lacunas em sua postura geral de segurança e provar às seguradoras que você tem estratégias e sistemas proativos. Uma abordagem Zero Trust também melhora a ciber-resiliência e pode até ajudar a pagar-se a si própria, reduzindo os prémios de seguro. |
| Aumente a eficiência e a moral da equipe de segurança | As implantações Zero Trust reduzem os esforços manuais de sua equipe de segurança automatizando tarefas de rotina, como provisionamento de recursos, revisões de acesso e atestado. Como resultado, você pode capacitar suas equipes de segurança com o tempo e a telemetria necessários para detetar, impedir e derrotar os ataques e riscos mais críticos, tanto interna quanto externamente, o que, por sua vez, aumenta o moral da equipe de TI e segurança. |
Para obter mais informações para compartilhar com líderes empresariais, consulte o e-book Minimizar o impacto de agentes mal-intencionados internos ou externos.
O ciclo de adoção para prevenir ou reduzir os danos comerciais causados por uma violação
Este conjunto de artigos percorre este cenário de negócios usando as mesmas fases do ciclo de vida do Cloud Adoption Framework for Azure — Definir estratégia, Planejar, Preparar, Adotar e Governar e gerenciar — mas adaptado para Zero Trust.
A tabela a seguir é uma versão acessível da ilustração.
| Definir a estratégia | Planear | Pronta | Adotar | Governar e gerir |
|---|---|---|---|---|
| Resultados Alinhamento organizacional Objetivos estratégicos |
Equipa de stakeholders Planos técnicos Preparação das competências |
Avaliar Teste Programa Piloto |
Implemente incrementalmente em todo o seu patrimônio digital | Rastrear e medir Monitorar e detetar Iterar para vencimento |
Leia mais sobre o ciclo de adoção do Zero Trust na visão geral da estrutura de adoção do Zero Trust.
Para evitar ou reduzir os danos comerciais causados por uma violação, use as informações nestes artigos adicionais:
- Implementar infraestrutura de prevenção e recuperação de violações de segurança
- Implementar proteção contra ameaças e XDR
Observe que as recomendações de implantação para essas duas faixas separadas exigem a participação de grupos separados do seu departamento de TI e as atividades para cada trilha podem ser feitas em paralelo.
Passos Seguintes
Para este cenário de negócios:
- Implementar infraestrutura de prevenção e recuperação de violações de segurança
- Implementar proteção contra ameaças e XDR
Artigos adicionais na estrutura de adoção do Zero Trust:
- Visão geral da estrutura de adoção do Zero Trust
- Modernize rapidamente a sua postura de segurança
- Trabalho remoto e híbrido seguro
- Identificar e proteger dados comerciais confidenciais
- Atender aos requisitos normativos e de conformidade
Recursos de acompanhamento do progresso
Para qualquer um dos cenários de negócios do Zero Trust, você pode usar os seguintes recursos de controle de progresso.
| Recurso de acompanhamento do progresso | Isso ajuda-o... | Projetado para... |
|---|---|---|
Cenário de adoção Plano Fase Grade arquivo Visio ou PDF baixável 
|
Compreenda facilmente os aprimoramentos de segurança para cada cenário de negócios e o nível de esforço para os estágios e objetivos da fase Plano. | Líderes de projetos de cenário de negócios, líderes de negócios e outras partes interessadas. |
Rastreador de adoção Zero Trust para download Apresentação de slides do PowerPoint 
|
Acompanhe o seu progresso através das etapas e objetivos da fase Plano. | Líderes de projetos de cenário de negócios, líderes de negócios e outras partes interessadas. |
Objetivos do cenário de negócios e tarefas para download da pasta de trabalho do Excel 
|
Atribua propriedade e acompanhe seu progresso através dos estágios, objetivos e tarefas da fase Plano. | Líderes de projetos de cenário de negócios, líderes de TI e implementadores de TI. |
Para obter recursos adicionais, consulte Avaliação Zero Trust e recursos de acompanhamento de progresso.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários