Como realizar uma avaliação de risco de cibersegurança

O que é uma avaliação de risco de cibersegurança?

A avaliação de risco de cibersegurança é um processo sistemático que visa identificar vulnerabilidades e ameaças no ambiente de TI de uma organização, avaliando a probabilidade de um evento de segurança e determinando o impacto potencial dessas ocorrências.

Na maioria dos casos, a avaliação de risco também recomendará controles adicionais de segurança para enfrentar os desafios específicos da organização e mitigar o risco de ataques ou outros incidentes negativos.

A importância da avaliação de risco de cibersegurança

Quase toda empresa moderna mantém uma presença on-line e utiliza dispositivos conectados em suas operações. Isso as torna vulneráveis a ciberataques, pois qualquer endpoint ou atividade on-line em qualquer sistema pode servir como um gateway para atores de ameaças que desejam acessar sistemas, aplicações, dados e outros ativos.

Infelizmente, quanto mais atividades digitais as empresas conduzem, maior é a probabilidade de elas serem alvos de ciberataques. Nos últimos anos, a frequência e a complexidade desses ataques têm aumentado continuamente, por isso, é mais importante do que nunca que as organizações adotem proativamente diversas medidas de cibersegurança para mitigar os riscos.

O Relatório Global de Ameaças 2024 da CrowdStrike foi lançado recentemente e revela diversas importantes descobertas que enfatizam a necessidade crucial de realizar avaliações rotineiras e abrangentes dos riscos de cibersegurança:

• Aumento do número de ataques "interativos": as intrusões interativas, como phishing de credenciais, password spraying e engenharia social, cresceram 60% em 2023, reforçando a ideia de que as empresas precisam se defender contra diversos vetores de ataque.
• Credenciais roubadas estão promovendo ataques sigilosos: atualmente, o aproveitamento de credenciais legítimas é uma das formas mais rápidas e comuns de os adversários obterem acesso. Isso destaca a necessidade de que as organizações se protejam contra técnicas baseadas em identidade e de difícil detecção.
• A nuvem é especialmente vulnerável a ataques: a análise da CrowdStrike revelou um aumento de 75% nas intrusões na nuvem no ano de 2023. Embora a mudança para a nuvem seja uma importante iniciativa de negócios para muitas organizações, a segurança deve ser um componente central da estratégia de migração delas.

Benefícios da avaliação de risco de cibersegurança

O benefício mais óbvio de uma avaliação de risco de cibersegurança é o aprimoramento da postura de segurança da organização em todo o ambiente de TI. Isso é possível graças a:

• Maior visibilidade de seus ativos e de suas aplicações de TI
• Um inventário completo dos privilégios do usuário, das atividades no Active Directory e das identidades deles
• Identificação de pontos fracos em dispositivos, aplicações e identidades de usuários
• Identificação de vulnerabilidades específicas que podem ser explorados por atores de ameaças

Além de fortalecer a postura de segurança da organização, é provável que uma avaliação de risco também traga diversos benefícios secundários importantes, como:

• Redução de custos graças à mitigação antecipada de vulnerabilidades e prevenção de ataques
• Otimização de recursos limitados, por meio da identificação de atividades de alta prioridade em relação ao risco e impacto
• Redução do risco regulatório, graças à garantia de conformidade com os requisitos relevantes de dados
• Aumento da disponibilidade de aplicações e serviços, evitando tempo de inatividade

Considerações importantes antes de uma avaliação de risco de cibersegurança

Antes de realizar uma avaliação de risco de cibersegurança, as organizações devem adotar várias medidas preliminares para garantir que estão preparadas e para que possam ter êxito.

1. Estabelecer objetivos claros para a avaliação. Para a maioria das organizações, o objetivo de uma avaliação de risco cibernético é reduzir o risco identificando vulnerabilidades e ameaças específicas dentro do ambiente de TI, bem como medidas de segurança capazes de mitigar essas vulnerabilidades e ameaças. Além disso, cada organização pode ter objetivos específicos com relação a economias, otimização de recursos ou outros critérios.
2. Definir o escopo da avaliação. Muitas organizações têm um ambiente de TI grande e complexo. Uma vez que várias delas também têm orçamentos e recursos limitados, pode ser necessário limitar o escopo da avaliação a fim de abranger ativos e sistemas específicos ou definir que tipo de vulnerabilidades e ameaças a equipe levará em conta.
3. Identificar a equipe da avaliação. Uma avaliação de risco bem-sucedida requer experiência específica em cibersegurança. No caso de organizações que não têm uma equipe interna de cibersegurança com profundo conhecimento de domínio e avançada experiência, pode ser preciso contratar um parceiro terceirizado de cibersegurança que seja confiável e de boa reputação para auxiliar a planejar e executar a avaliação.
4. Desenvolver um framework de avaliação. Para ser efetivo, o processo de avaliação de risco cibernético deve avaliar e analisar o risco com base em critérios claramente definidos e aplicados consistentemente. A criação de um framework de análise de risco é essencial para assegurar que a equipe possa fazer uma avaliação completa e consistente.

Sete passos para realizar uma avaliação de risco de cibersegurança

É essencial que as avaliações de risco de cibersegurança ocorram regularmente a fim de identificar proativamente pontos fracos em medidas de segurança, priorizar recursos e desenvolver estratégias efetivas de proteção contra ciberameaças. Mas como as organizações devem abordar esse processo?

Veja os sete passos principais para realizar uma abrangente avaliação de risco cibernético.

1. Realizar uma auditoria dos dados e priorização com base no valor

A elaboração de um inventário completo e atualizado dos ativos é um elemento fundamental do programa de cibersegurança de toda empresa. Essa auditoria trará visibilidade de endpoints, cargas de trabalho na nuvem, aplicações e contas que estão em uso em seu ambiente, ajudando a organização a identificar lacunas críticas de segurança e reduzir o risco de um comprometimento de dados.

Além de identificar todos os ativos, as organizações também devem identificar quais deles são as chamadas "joias da coroa". Essas "joias" podem ser dados altamente confidenciais, propriedades intelectuais de extremo valor para os negócios ou ainda aplicações ou ativos críticos.

Ao definir o ambiente de TI e identificar os ativos mais críticos, as organizações conseguem estabelecer medidas para proteger esses itens de alto valor e priorizar a implementação de controles de segurança direcionados a eles.

2. Identificar ciberameaças e vulnerabilidades

Na segunda parte da avaliação de risco, a organização identificará todas as vulnerabilidades e ameaças cibernéticas.

Uma vulnerabilidade é um ponto fraco dentro do ambiente de TI que pode ser explorado durante um ciberataque. Algumas vulnerabilidades comuns:

• Configurações incorretas de TI
• Excesso de direitos administrativos e de acesso
• Endpoints desprotegidos ou insuficientemente protegidos
• Ativos expostos sem gerenciamento (isso inclui usuários ou ativos que não são devidamente desprovisionados)
• Aplicações ou sistemas não corrigidos
• Senhas fracas
• Configurações de TI ineficazes

Ameaças são táticas, técnicas e métodos que os atores de ameaças usam para explorar uma vulnerabilidade. As ameaças podem ser internas (quando são exercidas por um funcionário ou por outro usuário aprovado) ou externas (quando são provenientes de fora da organização). Tipos de ameaças:

• Malware: ransomware, cavalos de Troia, spyware, vírus e qualquer outro tipo de ataque que utiliza o software de forma maliciosa
• Phishing: spear phishing e outros ataques de engenharia social
• Kits de exploit: qualquer kit de ferramentas usado pelos cibercriminosos para atacar vulnerabilidades específicas em um sistema ou código
• Ataques de negação de serviço distribuído (DDoS): um ciberataque que tenta interferir no funcionamento de um servidor ou de uma rede inundando-os com tráfego falso da Internet
• Injeção de SQL: um ciberataque que injeta código SQL malicioso em uma aplicação, permitindo que o invasor visualize ou modifique um banco de dados
• Ameaças internas: qualquer risco cibernético que venha de dentro da organização

Para ajudar na identificação de possíveis ameaças relacionadas a cada ativo, pode ser útil para as empresas consultar metodologias e frameworks reconhecidos, além de pesquisas e relatórios de terceiros. Exemplos:

• O framework MITRE ATT&CK^® é uma base de conhecimento selecionada que rastreia táticas e técnicas de ciberadversários ao longo de todo o ciclo de vida do ataque
• O cyber kill chain, uma adaptação do kill chain militar, descreve os vários estágios de diversos ciberataques comuns e os pontos nos quais a equipe de segurança da informação pode evitar, detectar ou interceptar invasores
• O National Vulnerability Database (NVD) é um repositório de dados de gerenciamento de vulnerabilidades baseado em padrões e compilado pelo National Institute for Standards and Technology (NIST)
• Relatórios e alertas dos fabricantes de soluções de cibersegurança
• Relatórios e alertas emitidos pelo governo

 3. Avaliar e analisar o risco associado

Assim que a organização identifica seus ativos de alta prioridade, bem como vulnerabilidades específicas e ameaças em potencial, a equipe de segurança da informação pode avaliar e calcular os níveis de risco associados com base nesses componentes.

O objetivo desta etapa é descobrir qualquer sobreposição entre ativos críticos e vulnerabilidades ou ameaças existentes, ajudando a organização a identificar a probabilidade e o possível impacto de um ataque. Analisando essas informações, a organização consegue priorizar ações de mitigação dos riscos.

4. Calcular a probabilidade e o impacto de diferentes riscos cibernéticos

Duas outras importantes considerações acerca da avaliação de risco são:

1. A probabilidade de um ataque, ou a probabilidade de que um ator a explore
2. O resultado de um possível ataque, ou o impacto que tal evento teria na organização

A probabilidade de um ataque é calculada com base em uma combinação de fatores, como:

• Capacidade de descoberta: em que medida uma vulnerabilidade é conhecida
• Facilidade de exploração: a facilidade com que um invasor pode se aproveitar um ponto fraco
• Capacidade de reprodução: a capacidade de um cibercriminoso reproduzir as mesmas técnicas ou explorar as mesmas vulnerabilidades com o passar do tempo

O impacto de um ataque geralmente é medido em termos de perda de confidencialidade, de integridade e de disponibilidade dos dados de uma organização. Fatores como falhas de conformidade, danos à reputação e erosão da marca podem estar relacionados a outras consequências, como prejuízos financeiros, custos de recuperação, multas ou repercussões legais.

Como parte desse processo, as organizações devem desenvolver uma ferramenta de avaliação clara e consistente que facilite o cálculo e a quantificação do impacto de todas as vulnerabilidades e das ameaças correspondentes no ambiente de TI. Isso garante que as organizações consigam priorizar atividades de acordo com as possíveis ramificações de um ataque.

5. Implementar controles de segurança

A mitigação de qualquer risco presente no ambiente de TI requer controles adicionais de segurança. Nesta etapa, as organizações devem avaliar de quais medidas específicas precisam para minimizar ou eliminar a probabilidade de um ataque.

Os controles de segurança podem assumir diversas formas, por exemplo:

• Ferramentas e serviços de segurança
• Técnicas de criptografia ou ofuscação de dados
• Correção de hardware e software
• Autenticação multifatorial (MFA) ou outras medidas de gerenciamento de identidade e acesso
• Programas de treinamento e conscientização para funcionários

 6. Priorizar os riscos com base na análise do custo-benefício

Neste momento, as organizações analisam as vulnerabilidades detectadas durante a avaliação e priorizam aquelas que representam o maior risco para os negócios. As vulnerabilidades de maior prioridade devem ser remediadas primeiro.

Dentre os fatores de priorização estão:

• Pontuação de vulnerabilidades com base em um banco de dados ou em uma ferramenta de inteligência de ameaças
• Impacto da exploração de uma vulnerabilidade nos negócios
• Probabilidade de que os cibercriminosos conheçam essa vulnerabilidade e a explorem novamente
• Facilidade de exploração
• Disponibilidade de uma correção para neutralizar a vulnerabilidade

7. Monitorar e documentar resultados

No último estágio, a ferramenta de avaliação oferece um relatório abrangente que dá à equipe de segurança um retrato instantâneo de todas as vulnerabilidades presentes no ambiente. O relatório também prioriza as vulnerabilidades e orienta como remediá-las.

Algumas das informações sobre vulnerabilidades que o relatório traz:

• Quando e onde as vulnerabilidades foram descobertas
• Sistemas e ativos afetados por essas vulnerabilidades
• Probabilidade de as vulnerabilidades serem novamente exploradas
• Possível danos aos negócios, caso as vulnerabilidades sejam exploradas
• Disponibilidade de uma correção e do esforço necessário para implementá-la

É importante ter em mente que a avaliação do risco cibernético é um processo contínuo. Como o cenário de vulnerabilidades e ameaças muda dia a dia (se não minuto a minuto), as organizações precisam realizar avaliações regularmente. Isso não só ajudará as organizações a garantir a resolução efetiva das vulnerabilidades identificadas em varreduras anteriores, mas também a detectar novas vulnerabilidades à medida que elas surgem.

A abordagem da CrowdStrike

Para proteger sua organização contra ciberataque, primeiro é necessário compreender as lacunas, os pontos fracos e os riscos ocultos em seu ambiente de TI.

A Avaliação de risco técnico da CrowdStrike é um serviço avançado de descoberta de vulnerabilidades, detecção de ameaças e análise de riscos com o qual as organizações podem proteger proativamente seus dados, sistemas, redes e usuários, antes da ocorrência de um ataque.

A Avaliação de risco técnico da CrowdStrike auxilia as organizações a:

• Detectar aplicações vulneráveis obtendo insights sobre aplicações não corrigidas ou não autorizadas que estão sendo usadas em seu ambiente
• Corrija sistemas não autorizados desprotegidos, detectando endpoints não gerenciados em sua rede
• Prevenir abusos do Active Directory monitorando as credenciais de administrador em toda a rede