Com os ataques de phishing agora cada vez mais comuns, os programas corporativos de segurança da informação treinam rotineiramente sobre como evitar o comprometimento do e-mail. No entanto, a frequência dos ataques por e-mail aumentou drasticamente nos últimos dois anos.
Um total de 2,09 milhões de dólares, o que representa um aumento de 15% face ao registado no ano passado, é o custo médio de uma fuga de dados de uma empresa. Isso foi confirmado pela corporação de tecnologia IBM. No entanto, esta não é a única variação que se regista. No relatório Perspectivas da América Latina, foi indicado que 60% das empresas aumentaram o preço de seus serviços após um vazamento de dados. Da mesma forma, os cibercriminosos usam a modalidade de phishing. Peru, México e Brasil são as nações com maior número de ataques cibernéticos na região, segundo informações obtidas pela empresa de tecnologia. Com o objetivo de convencer os usuários a entregar dados privados voluntariamente, o método se concentra na infiltração de dispositivos, fazendo-se passar por pessoas ou corporações confiáveis.
No Brasil, um levantamento da Device Fraud Scan 2022, mostra que em 2021, o país registrou uma média de 3,7 tentativas de fraude – incluindo o segmento de criptomoedas – por minuto entre 9h e 20h, período em que ocorrem 70% desses casos.
Esse cenário levanta a questão: como você permite que os destinatários de e-mail tenham certeza da identidade do remetente e da integridade do conteúdo do e-mail? “Uma estratégia de confiança digital bem pensada pode injetar essa importante camada de segurança nas comunicações por e-mail, tornando mais fácil para os destinatários de e-mail diferenciar prontamente entre comunicação confiável e suspeita”, explica Dean Coclin, diretor sênior de desenvolvimento de negócios da DigiCert.
Passo 1: Estabelecendo confiança
A base da confiança na segurança de e-mail é o certificado digital S/MIME. S/MIME significa Secure/Multipurpose Internet Mail Extension, um padrão da indústria para assinatura e criptografia de e-mail suportado pela maioria dos clientes de e-mail corporativo. Os certificados S/MIME permitem que os usuários assinem e-mails digitalmente, verificando a autenticidade do remetente e indicando que o conteúdo do e-mail não foi alterado. Os certificados digitais S/MIME também podem ser usados para criptografar e-mails, protegendo a comunicação por e-mail contendo informações confidenciais da interceptação de dados.
Etapa 2: Gerenciando a confiança
A próxima etapa a ser considerada é o gerenciamento de certificados S/MIME dentro de uma organização. Os líderes de TI observam que quando as medidas que melhoram a segurança são opcionais ou dependem de ações tomadas por um usuário corporativo não técnico, a adoção pode ser um desafio. As empresas podem resolver esse problema automatizando o fornecimento de certificados digitais como S/MIME. Para conseguir isso, as empresas podem aproveitar as soluções de gerenciamento de PKI que se integram diretamente aos serviços de diretório corporativo para automatizar a instalação, renovação e revogação de certificados. Isso reduz a carga sobre o suporte técnico de TI, garante a adesão às medidas de segurança preferidas ou à política corporativa e elimina quaisquer lacunas de provisionamento ou revogação que possam afetar a produtividade ou a segurança.
Quando o S/MIME é usado para criptografia, são necessárias medidas adicionais que se beneficiam dos recursos de automação e integração das soluções de gerenciamento de PKI. Por exemplo, ao usar S/MIME para criptografia, os usuários precisam manter a mesma chave privada nos vários dispositivos onde recebem e-mail para descriptografar as comunicações. Caso contrário, eles ficarão limitados a ler e-mails apenas na área de trabalho ou dispositivo onde a chave estiver presente. Além disso, os usuários finais precisam preservar históricos importantes para recuperar registros de e-mail caso laptops ou outros hardwares quebrem ou sejam comprometidos. As equipes de segurança de TI que gerenciam a infraestrutura de PKI devem dar suporte à custódia e recuperação de chaves para dar suporte aos usuários que precisam recuperar chaves ou atender a solicitações legais de históricos de e-mail. As soluções de gerenciamento de PKI que podem se integrar com as soluções Unified Endpoint Management (UEM), como o Microsoft Endpoint Manager, e gerenciar automaticamente o depósito de chaves simplificam esses aspectos do gerenciamento do ciclo de vida do certificado.
“A criptografia pode ser necessária em setores onde dados confidenciais são transmitidos por e-mail, como empresas de serviços financeiros que comunicam dados financeiros pessoais ou empresas de saúde que comunicam informações pessoais de saúde. Também pode ser exigido pela política corporativa para tipos específicos de comunicações internas ou externas para proteger confidencialidade de dados ou propriedade intelectual”, explica Dean Coclin.
As melhores práticas no gerenciamento de S/MIME sugerem que, quando a criptografia for necessária, certificados separados sejam usados para assinaturas digitais e para criptografia. Isso ocorre porque os principais requisitos de custódia de criptografia podem comprometer as características de não repúdio de um email assinado digitalmente. As empresas também podem decidir se suas necessidades de negócios exigem criptografia no nível do usuário individual ou se é preferível criptografar as comunicações no ponto de um gateway de e-mail.
Etapa 3: Estendendo a confiança
Os arquitetos de confiança digital podem considerar a seguir se precisam proteger o e-mail dentro de uma organização ou entre organizações. Se a comunicação por e-mail estiver dentro do domínio corporativo, os profissionais de TI podem usar certificados S/MIME privados encadeados para uma CA privada ou intermediário.
Se as empresas estiverem protegendo emails enviados fora dos limites corporativos, devem ser usados certificados S/MIME públicos que se encadeiam até uma raiz publicamente confiável, como a DigiCert. As empresas também podem considerar a criação de uma AC intermediária dedicada pública que pode ser marcada com o nome de sua organização. O ICA pode se conectar à raiz publicamente confiável, mas permitirá que os certificados herdem a marca ICA da organização.
E sobre DMARC e VMCs?
As empresas também podem adotar outras medidas para combater o phishing dentro de uma organização, como a implementação de Autenticação, Relatórios e Conformidade de Mensagens Baseadas em Domínio (DMARC). O DMARC é um protocolo de autenticação, política e relatórios de e-mail que ajuda a prevenir organizações contra phishing.
As organizações que adotam o DMARC podem usar os Certificados de marca verificada (VMCs) para exibir um logotipo de organização verificada ao lado de e-mails. Os VMCs validam que uma empresa implementou o DMARC e que o logotipo exibido é uma entidade de marca registrada da organização. Mensagens de e-mail com logotipos de marcas indicam que o remetente atendeu aos fortes requisitos de segurança e autenticação do DMARC e VMCs.
A presença de um logotipo de marca aumenta a confiança do consumidor no e-mail enviado e o diferencia dos e-mails enviados sem um indicador de logotipo de marca. Alguns clientes de e-mail, como a Apple, vão um passo além e incluem “certificado digitalmente” nos cabeçalhos de e-mail relacionados ao VMC.
Monitoramento de tráfego DNS
Por fim, as empresas podem considerar seu serviço de DNS como outro componente-chave de suas iniciativas de confiança de e-mail. O tráfego DNS é uma rica fonte de dados que pode ser analisada usando aprendizado de máquina para mostrar o que é e o que não é normal para um domínio. A detecção de anomalias de tráfego pode detectar e prever atividades suspeitas ou incomuns, permitindo que os profissionais de TI impeçam ataques direcionados.
Com o aumento dos ataques por e-mail, os programas de treinamento corporativo podem ser insuficientes por si só para permitir que os funcionários protejam adequadamente os dados confidenciais ou confidenciais de sua organização ou suas credenciais pessoais. E com as estratégias de phishing cada vez mais sofisticadas, pode ser cada vez mais difícil para os consumidores saber quando estão interagindo com uma marca confiável ou um impostor de e-mail. A implementação de uma base sólida de confiança digital na comunicação por e-mail pode ajudar a evitar credenciais, dados confidenciais ou comprometimento financeiro. É aí que a confiança digital encontra o mundo real.