Trace Id is missing

A higiene cibernética essencial evita 99% dos ataques

Partilhar
Um computador e um telemóvel numa superfície azul

Na era digital atual, as empresas dependem cada vez mais de tecnologia e sistemas online para realizarem os seus negócios. Como resultado, cumprir as normas mínimas de higiene cibernética é essencial para a proteção contra ciberameaças, minimizar riscos e assegurar a viabilidade contínua da empresa.

A higiene de segurança básica continua a proteger contra 98% dos ataques.1

Gráfico de distribuição normal de higiene cibernética tirada do Relatório de defesa digital da Microsoft (MDDR) de 2022

As normas mínimas que todas as organizações deveriam adotar são:

  • Exigir autenticação multifactor (MFA) contra phishing
  • Aplicar princípios de Confiança Zero
  • Utilizar anti-malware moderno
  • Manter sistemas atualizados
  • Proteger os dados

Quer reduzir os ataques às suas contas? Ativar MFA. A autenticação multifator, como o nome sugere, requer dois ou mais fatores de verificação. Comprometer mais do que um fator de autenticação é um desafio significativo para atacantes, pois saber (ou extrair) uma palavra-passe não será suficiente para obter acesso a um sistema. Com a MFA ativada, pode prevenir 99,9% dos ataques às suas contas.2

Torna a MFA muito mais fácil

Autenticação multifator — apesar de os passos extra fazerem parte do nome, deve tentar escolher uma opção de MFA com o mínimo de obstáculos possível (como a utilização de biometria em dispositivos ou fatores em conformidade com FIDO2, como Feitan ou chaves de segurança Yubico) para os seus colaboradores.

Evite tornar a MFA onerosa.

Escolha a MFA quando a autenticação extra puder ajudar a proteger dados confidenciais e sistemas críticos, em vez de a usar em todas as interações.

A MFA não tem de ser um desafio para o utilizador final. Utilize políticas de acesso condicional, que permitem acionar uma verificação de dois passos com base na deteção de riscos, assim como autenticação pass-through e início de sessão único (SSO). Desta forma, os utilizadores finais não têm de passar por múltiplas sequências de início de sessão para aceder à partilha de ficheiros não críticos ou a calendários na rede empresarial, quando os seus dispositivos têm a atualização de software mais recente. Os utilizadores também não terão reposições de palavra-passe a cada 90 dias, o que irá melhorar significativamente a sua experiência.

Ataques comuns de phishing

Num ataque de phishing, os criminosos utilizam táticas de engenharia social para enganarem os utilizadores a fornecer credenciais de acesso ou a revelar informações confidenciais. Ataques comuns de phishing incluem:

Imagem a descrever ataques comuns de phishing (e-mail, injeção de conteúdo, manipulação de ligações, ataque spear phishing e man-in-the-middle)

A Confiança Zero é a base fundamental de qualquer plano de resiliência que limita o impacto sobre uma organização. Um modelo de Confiança Zero é uma abordagem proativa e integrada à segurança em todas as camadas do património digital que, explicita e continuamente, verifica cada transação; afirma o acesso com privilégios mínimos; e depende de informações, deteção avançada e resposta a ameaças em tempo real.

Quando adota uma abordagem Confiança Zero, torna-se possível:
  • Apoiar o trabalho remoto e híbrido
  • Ajudar a prevenir ou reduzir os prejuízos comerciais resultantes de uma falha
  • Identificar e ajudar a proteger dados e identidades empresariais confidenciais
  • Criar confiança na sua postura e programas de segurança através da sua equipa de liderança, colaboradores, parceiros, partes interessadas e clientes
Os princípios de Confiança Zero são:
  • Presumir que as falhas de segurança podem acontecer  Presumir que os atacantes podem e irão atacar com sucesso qualquer coisa (identidade, rede, dispositivo, aplicação, infraestrutura, etc.) e planear em conformidade. Isto implica a monitorização constante do ambiente face a um possível ataque.
  • Verificar explicitamente Garantir que os utilizadores e dispositivos estão num bom estado antes de permitir o acesso a recursos. Proteger os recursos contra o controlo de atacantes, ao validar explicitamente o facto de todas as decisões de confiança e segurança utilizarem as informações e telemetria relevantes disponíveis.
  • Utilizar o acesso de menor privilégio Limitar o acesso de um recurso potencialmente comprometido com just-in-time e ust-enough-access (JIT/JEA) e com políticas baseadas em risco, como controlo de acesso adaptável. Deve permitir apenas o privilégio necessário para aceder ao recurso pretendido.

Modelo de segurança Confiança Zero

Uma captura de ecrã de um ecrã de computador

É possível implementar demasiada segurança

Demasiada segurança, ou seja, segurança que parece demasiado restritiva para o utilizador comum, pode levar ao mesmo resultado que não ter segurança suficiente: mais risco.

Os processos de segurança rigorosos podem dificultar o trabalho das pessoas. Pior ainda, podem fazer com que as pessoas encontrem soluções criativas de os contornar, como o shadow IT, o que as motiva a ignorar completamente a segurança, por vezes, utilizando os seus próprios dispositivos, e-mail e armazenamento, e a utilizar sistemas que (ironicamente) são menos seguros e apresentam um risco maior para a empresa.

Utilize antimalware de deteção e resposta alargada. Implemente o software apropriado para detetar e bloquear ataques automaticamente e fornecer informações às operações de segurança.

A monitorização das informações dos sistemas de deteção de ameaças é essencial para responder atempadamente às ameaças.

Automatização de segurança e melhores práticas de orquestração

Mova o máximo de trabalho possível para os seus detetores

Selecione e implemente sensores que automatizem, correlacionem e interliguem os seus resultados antes de os enviar para um analista.

Automatizar a recolha de alertas

O analista de operações de segurança deve ter tudo o que precisa para fazer a triagem e responder a um alerta, sem efetuar qualquer recolha de informações adicional, como consultar sistemas que podem ou não estar offline ou recolher informações de fontes adicionais, como sistemas de gestão de recursos ou dispositivos de rede.

Automatizar a priorização de alertas

Deve tirar partido da análise em tempo real para dar prioridade aos eventos com base em feeds de informações sobre ameaças, informações sobre recursos e indicadores de ataque. Os analistas e os responsáveis pela resposta a incidentes devem focar-se nos alertas de maior gravidade.

Automatizar tarefas e processos

Foque-se primeiro em processos administrativos comuns, repetitivos e morosos e normalize os procedimentos de resposta. Quando a resposta estiver normalizada, automatize o fluxo de trabalho do analista de operações de segurança para eliminar qualquer intervenção humana, sempre que possível, para que estes se possam concentrar em tarefas mais críticas.

Melhoria contínua

Monitorize as métricas-chave e ajuste os seus sensores e fluxos de trabalho para promover alterações incrementais.

Ajudar a prevenir, detetar e responder a ameaças

Defenda-se contra ameaças em todas as cargas de trabalho, ao tirar partido de capacidades abrangentes de prevenção, deteção e resposta com recursos integrados de deteção e resposta alargada (XDR) e Gestão de Informações e Eventos de Segurança (SIEM).

Acesso remoto

Frequentemente, os atacantes visam soluções de acesso remoto (RDP, VDI, VPN, etc.) para entrar num ambiente e executar operações contínuas para danificar recursos internos.
Para ajudar a impedir a entrada de atacantes, é necessário:
  • Manter atualizações de software e de aplicações
  • Implementar o utilizador Confiança Zero e a validação do dispositivo
  • Configurar a segurança para soluções VPN de terceiros
  • Publicar aplicação Web no local

Software de e-mail e colaboração

Outra tática comum para entrar em ambientes é transferir conteúdos maliciosos através de ferramentas de e-mail ou de partilha de ficheiros e, em seguida, convencer os utilizadores a executá-los.
Para ajudar a impedir a entrada de atacantes, é necessário:
  • Implementar segurança de e-mail avançada
  • Ativar regras de redução da superfície de ataque para bloquear técnicas de ataque comuns
  • Analisar anexos para ameaças baseadas em macro

Pontos finais

Os pontos finais expostos à Internet são um vetor de entrada favorito porque fornecem aos atacantes acesso aos recursos de uma organização.
Para ajudar a impedir a entrada de atacantes, é necessário:
  • Bloqueie ameaças conhecidas com regras de redução da superfície de ataque que visam determinados comportamentos de software, como o lançamento de ficheiros executáveis e scripts que tentam transferir ou executar ficheiros, a execução de scripts ofuscados ou suspeitos, ou comportamentos que as aplicações não iniciam normalmente durante o trabalho diário.
  • Manter o seu software atualizado e com suporte
  • Isolar, desativar ou retirar sistemas e protocolos inseguros
  • Bloquear tráfego inesperado com firewalls baseadas no anfitrião e defesas de rede

Manter uma vigilância constante

Utilize XDR e SIEM integrados para fornecer alertas de alta qualidade e minimizar os obstáculos e as etapas manuais durante a resposta.

Eliminar os sistemas antigos

Os sistemas mais antigos que não dispõem de controlos de segurança, como soluções antivírus e de deteção e resposta de pontos finais (DRP), podem permitir que os atacantes executem toda a cadeia de ataque de ransomware e transferência não autorizada a partir de um único sistema.

Se não for possível configurar as suas ferramentas de segurança para o sistema antigo, deve isolar o sistema fisicamente (através de uma firewall) ou logicamente (ao remover a sobreposição de credenciais com outros sistemas).

Não ignore malware de bens

O ransomware automatizado clássico pode não ter a sofisticação dos ataques com teclado, mas isso não o torna menos perigoso.

Cuidado com a desativação da segurança por parte de adversários

Monitorize o seu ambiente quanto à desativação da segurança por parte de adversários (muitas vezes, parte de uma cadeia de ataque), como a limpeza do registo de eventos, especialmente os Registos de Eventos de Segurança e os registos Operacionais do PowerShell, e a desativação de ferramentas e controlos de segurança (associados a alguns grupos).

Os sistemas sem patches e desatualizados são uma das principais razões pelas quais muitas organizações são vítimas de ataques. Certifique-se de que todos os sistemas estão atualizados, incluindo o firmware, o sistema operativo e as aplicações.

Melhores práticas
  • Certifique-se de que os dispositivos são sólidos ao aplicar patches, alterar as palavras-passe predefinidas e portas SSH predefinidas.
  • Pode reduzir a superfície de ataque ao eliminar ligações à Internet desnecessárias e portas abertas, restringir o acesso remoto através do bloqueio de portas, negar o acesso remoto e utilizar serviços VPN.
  • Utilize uma deteção de rede consciente da Internet das coisas e das tecnologias operacionais (IoT/OT), uma solução de deteção e resposta de rede (NDR) e uma solução de Gestão de Informações e Eventos de Segurança (SIEM)/orquestração e resposta de segurança (SOAR) para monitorizar dispositivos e detetar anomalias ou comportamentos não autorizados, como comunicação com anfitriões desconhecidos.
  • Para limitar a capacidade de um atacante se movimentar lateralmente e comprometer os recursos após uma intrusão inicial, é recomendado segmentar as redes. Os dispositivos IoT e as redes OT devem ser isoladas das redes informáticas corporativas através de firewalls.
  • Certifique-se de que os protocolos ICS não são expostos diretamente à Internet
  • Para priorizar a segurança dos dispositivos IoT/OT na rede, obtenha uma visibilidade mais detalhada sobre eles e classificá-los por risco para a empresa caso sejam comprometidos.
  • Para mitigar os riscos em dispositivos de alto risco, utilize ferramentas de análise de firmware para detetar possíveis falhas de segurança e colaborar com fornecedores para identificar como corrigi-las.
  • Para melhorar a segurança dos dispositivos IoT/OT, é recomendado exigir que os fornecedores adotem as melhores práticas de desenvolvimento seguro em todo o ciclo de vida dos produtos.
  • Evite transferir ficheiros com definições de sistema através de canais inseguros ou para pessoas que não precisem ter acesso a essas informações.
  • Caso seja necessário realizar a transferência, é importante monitorizar a atividade na rede e garantir a segurança dos ativos.
  • Proteja estações de engenharia ao monitorizar com recurso às soluções de DRP.
  • Tome medidas preventivas para dar resposta a incidentes em redes OT.
  • Implemente uma monitorização contínua com soluções como o Microsoft Defender para IoT.

Reconhecer os seus dados importantes, saber onde estão localizados e se os sistemas certos foram implementados é fundamental para implementar a proteção apropriada.

Os desafios da segurança dos dados incluem:
  • Reduzir e gerir o risco de erros dos utilizadores
  • A classificação manual do utilizador é impraticável à escala
  • Os dados devem ser protegidos fora da rede
  • A conformidade e a segurança exigem uma estratégia completa
  • Cumprir requisitos de conformidade cada vez mais rigorosos
5 pilares de uma abordagem de defesa em profundidade à segurança dos dados
Os espaços de trabalho híbridos atuais exigem que os dados sejam acedidos a partir de vários dispositivos, aplicações e serviços em todo o mundo. Com tantas plataformas e pontos de acesso, é necessário ter fortes proteções contra o roubo e a fuga de dados. Para o ambiente atual, uma abordagem de defesa em profundidade oferece a melhor proteção para fortalecer a segurança dos seus dados. Esta estratégia tem cinco componentes, que podem ser implementados pela ordem que melhor se adapte às necessidades específicas da sua organização e aos possíveis requisitos regulamentares.
  • Identificar o panorama de dados
    Antes de poder proteger os seus dados confidenciais, tem de descobrir onde estes se encontram e como são acedidos. Isso requer uma visibilidade completa de todo o seu património de dados, seja no local, híbrido ou multicloud.
  • Proteja os dados confidenciais Além de criar um mapa holístico, terá de proteger os seus dados, tanto em repouso como em circulação. É aqui que a etiquetagem e a classificação precisas dos seus dados entram em jogo, para que possa obter informações sobre a forma como estão a ser acedidos, armazenados e partilhados. O acompanhamento preciso dos dados irá ajudar a evitar que sejam vítimas de fugas e falhas de segurança.
  • Gestão de riscos Mesmo quando os seus dados são mapeados e etiquetados de forma adequada, terá de ter em conta o contexto do utilizador quanto aos dados e às atividades que podem resultar em potenciais incidentes de segurança de dados, o que inclui ameaças internas. A melhor abordagem para lidar com o risco interno junta as pessoas, os processos, a formação e as ferramentas certas.
  • Evitar perdas de dados Não se esqueça da utilização não autorizada de dados. Isso também é uma perda. Uma solução de proteção contra a perda de dados eficaz tem de equilibrar a proteção e a produtividade. É fundamental garantir que os controlos de acesso adequados estão implementados e que as políticas estão definidas para ajudar a evitar ações como guardar, armazenar ou imprimir indevidamente dados confidenciais.
  • Gerir o ciclo de vida dos dados À medida que a gestão de dados muda para que as equipas comerciais se tornem administradoras dos seus próprios dados, é importante que as organizações criem uma abordagem unificada em toda a empresa. Este tipo de gestão proativa do ciclo de vida leva a uma melhor segurança dos dados e ajuda a garantir que os dados são democratizados de forma responsável para o utilizador, onde podem gerar valor comercial.

Apesar de os agentes das ameaças continuarem a evoluir e a tornar-se mais sofisticados, há um truísmo da cibersegurança que deve ser repetido: A higiene básica da cibersegurança, ativar a MFA, aplicar os princípios Confiança Zero, manter-se atualizado, utilizar antimalware moderno e proteger os dados, evita 98% dos ataques.

Para ajudar a proteger contra ciberameaças, minimizar riscos e assegurar a viabilidade contínua da sua organização, é essencial cumprir as normas mínimas de higiene da cibersegurança.

Artigos relacionados

Aumento de 61% em ataques de phishing. Conheça a sua superfície de ataque moderna.

Para gerir uma superfície de ataque cada vez mais complexa, as organizações têm de desenvolver uma postura de segurança abrangente. Com seis áreas de superfície de ataque chave, este relatório mostra como as informações sobre ameaças certas podem ajudar a inclinar o campo a favor dos defensores.
Saber mais

O cibercrime como serviço (CaaS) leva a um aumento de 38% da fraude de e-mail empresarial

O comprometimento de e-mail empresarial (BEC) está a crescer agora que os cibercriminosos podem ocultar a origem dos seus ataques para serem ainda mais malvados. Saiba mais sobre o CaaS e como ajudar a proteger a sua organização.
Saber mais

Segurança centrada na nuvem: Como é que os principais CISOs suprimem as lacunas de cobertura

Os CISOs partilham a alteração das prioridades de segurança à medida que as suas organizações mudam para modelos centrados na nuvem e os desafios relacionados com a integração de todo o seu património digital.
Saber mais

Siga a Microsoft