O Brasil registrou apenas no primeiro semestre de 2022, 31,5 bilhões de tentativas de ataques, um aumento de 94% em relação ao mesmo período de 2020, segundo um levantamento da FortiGuard Labs. Com um volume que corresponde a mais de 241 mil ataques por dia, os cibercriminosos não poupam Pequenas e Médias Empresas (PMEs), nem Startups. Pelo contrário, os atacantes agem seguindo uma lógica de "pesca de arrastão", na qual automatizam a descoberta de vulnerabilidades conhecidas e tentam explorar essas falhas de seguranças na maior quantidade de empresas possível - independente do tamanho.
Um levantamento da Unxpose, revela que as PMEs brasileiras estão consideravelmente expostas a ataques cibernéticos e apresentam uma média de 172 vulnerabilidades em sua infraestrutura. Cada uma delas pode ser vista como uma porta de entrada em potencial, que pode dar acesso não autorizado a dados, aplicativos, redes ou computadores de uma empresa. Os dados são resultado do monitoramento da superfície de ataque de 170 PMEs e startups do País.
De acordo com o Score de Exposição da Unxpose, que vai de A a F e funciona como um indicador para a saúde de cibersegurança de cada empresa, a nota média das PMEs e startups brasileiras é C, o que indica que o nível de exposição requer cuidados imediatos. "As vulnerabilidades mais comuns estão relacionadas a brechas de segurança no conteúdo dos sites das empresas, como por exemplo, uma área de login sem validação contra robôs, como a tecnologia captcha. Isso permite a um atacante automatizar as tentativas de login, inserindo o máximo de combinações possíveis de credencial e senha, até que uma funcione", explica Josemando Sobral, especialista em cibersegurança, CEO e fundador da Unxpose.
Outro vetor de ataque muito presente em meio às PMEs brasileiras são credenciais corporativas vazadas. De acordo com o levantamento da Unxpose, 62% das PMEs s startups brasileiras têm ao menos um e-mail da organização presente em um vazamento recente. "Os colaboradores se registram em sites terceiros usando o e-mail de trabalho. Quando atacantes vazam as bases de dados desses sites, elas estão repletas de credenciais corporativas e, em muitos casos, senhas. Como a maioria das pessoas reutiliza senhas, esses vazamentos acabam abrindo a porta da frente das empresas para os cibercriminosos", pontua Sobral.
Para o especialista em cibersegurança, muitas PMEs acreditam que, por não serem multinacionais e não terem presença midiática massiva, não serão alvo dos cibercriminosos. "O problema é que os atacantes estão procurando sempre o caminho mais fácil e por isso exploram falhas que se repetem entre diferentes websites. Então é preciso que haja uma mudança no mindset dessas empresas. Infelizmente não é mais uma questão de se haverá uma tentativa de ataque, mas quando e quais serão as consequências", pondera.
Para as empresas que já começaram a se preocupar com a cibersegurança, o desafio ainda é grande, pois faltam profissionais especializados no mercado. Um levantamento da organização sem fins lucrativos (ISC)² revela que na América Latina existe uma escassez de 600 mil profissionais de cibersegurança, isso impede que essas empresas criem times, além de aumentar substancialmente o salário dos poucos profissionais existentes, mais uma barreira para a contratação por parte de PMEs.
Por onde começar
Para Sobral, existem alguns processos que podem ser adotados para empresas que estão começando que já vão ajudar a mitigar a exposição e diminuir a chance de ataques: o primeiro é a adoção de um gerenciador de senha por todos os funcionários da empresa. Como foi comentado anteriormente, o reuso de senhas é bastante comum pois é muito difícil criar - e principalmente recordar, uma senha forte para cada sites / serviços utilizados. Um gerenciador de senhas resolve esse problema, pois consegue criar senhas complexas e únicas e cada funcionário só vai precisar lembrar de uma senha principal. O segundo processo é a implantação de treinamentos periódicos para todo o time, para familiarizá-los com as boas práticas de cibersegurança. Essas capacitações ajudam os colaboradores a reconhecer tentativas de ataque, a identificar o que são dados sensíveis e a evitar atitudes que possam expor a empresa. Por fim, é importante criar um catálogo de todos os ativos digitais da empresa, afinal é necessário entender o que precisa ser protegido, antes de começar a proteger. Cada ativo, como um site, servidor, serviço de cloud, pode apresentar centenas de vulnerabilidades. Empresas dinâmicas, que estão sempre inovando, ou mesmo as mais tradicionais que estão se digitalizando de maneira rápida, estão constantemente criando novos produtos ou funcionalidades, e junto com elas podem existir potenciais novas portas de entrada para atacantes. Não ter em vista todos os ativos digitais da empresa cria pontos cegos que aumentam significativamente a superfície de exposição - termo que se refere à soma de todos os riscos de cibersegurança que expõem o seu negócio. Ainda sobre o catálogo de ativos digitais, hoje já existem soluções capazes de automatizar o trabalho de um time de segurança, como a Unxpose. A startup oferece um SaaS que monitora os ativos digitais das empresas de forma contínua e identifica e prioriza as vulnerabilidades encontradas - tudo de forma automatizada. Além disso, a solução mostra um tutorial sobre como fazer a correção dessas vulnerabilidades, pensado para quem não tem expertise em cibersegurança. "A empresa nasceu com a missão de democratizar o acesso à Segurança da Informação, por isso a automatização e o didatismo estão nas bases do produto. Mais empresas com acesso a cibersegurança significam um ambiente de negócios mais seguro", finaliza Sobral.
Comentarios