Cibersegurança em 2025: o que considerar na hora de priorizar os investimentos?

O cenário de cibersegurança, ao longo dos últimos anos, tem sido claramente marcado por desafios com precedentes. Isso mesmo, com precedentes porque, de alguma forma, já vimos técnicas explorando vulnerabilidades conhecidas e para as quais poderíamos ter-nos planejado por meio da modelagem de ameaças (Threat Modeling). Da mesma forma, relatório como o BIDR (Data Breach Investigation Report) nos ajuda a ter uma perspectiva sobre como modelamos nossas estratégias considerando uma mudança na forma como entregamos valor por meio de tecnologia para o negócios e missão. Este artigo explora os principais pontos de atenção para a priorização estratégica de investimentos em 2025, em segurança da informação.

Leia também: Pesquisa indica que 49% das empresas estão reduzindo investimentos em IA, no Brasil

Considerando as principais tendências identificadas ao longo de 2024 globalmente, vemos que podemos fazer mais e melhor, uma vez que ameaças estão distribuídas nos seguintes pontos:

1. Exploração de vulnerabilidades aumento de 180% com destaque ao ataque de dia zero como o MOVEit.

2. Phishing e engenharia social: e-mail continua como vetor dominante de roubo de credenciais e entrega de links maliciosos. Um ponto especial aqui, usuários privilegiados precisam ser considerados de uma forma diferenciada nas campanhas devido ao nível de risco e impacto que podem causar a uma organização.

3. Ransomware e extorsão: Representam um terço de todas as violações analisadas em 2024, com demandas de resgate em torno de USD 46.000,00. No entanto, considere em média o valor do pedido de resgate entre 2% e 3% do faturamento da organização.

4. Comprometimento de email empresariais (BEC): Acontece quando um indivíduo consegue acesso não autorizado a contas empresariais e tentam representar a organização para execução de atividades fraudulentas, por exemplo, transferência de fundos. Segundo relatório, o prejuízo médio é de US$ 50.000,00 por incidente.

5. Cadeia de suprimento (supply chain): Violações originadas por parte de terceiros tiveram crescimento de 68%.

Vamos começar pelos tipos de ataque que ganharam maior destaque em todas as regiões: ransomware e extorsão. Juntos, eles representam aproximadamente um terço de todas as violações de segurança e têm objetivos claros: obtenção de dinheiro e/ou destruição de dados. Um bom exemplo é o recente ataque aos usuário da AWS S3, já em 2025 que, diferentemente do modo tradicional que encripta arquivos localmente ou em trânsito, o ransomware integra-se diretamente com a infraestrutura de criptografia da AWS que, uma vez encriptada, é impossível descriptografar sem as chaves. Este ataque não explora uma vulnerabilidade da AWS, mas sim o reuso de senhas ou força bruta por meio de adivinhação de senhas fracas e tirando proveito da falta da autenticação de duplo fator.

Os atores maliciosos têm diversificado suas técnicas, utilizando ransomware tanto para exigir resgates financeiros quanto para extorquir organizações, ameaçando divulgar informações confidenciais que poderiam prejudicar o negócio e a reputação das empresas. Estes ataques destrutivos têm chamado atenção, especialmente quando envolvem a criptografia de informações sem o objetivo de obter recursos financeiros – frequentemente associados a conflitos geopolíticos, como no caso da guerra na Ucrânia.

O pior cenário que uma organização pode enfrentar é ser forçada a reagir de forma improvisada. Por isso, é fundamental realizar uma análise criteriosa para verificar se há soluções adequadas implementadas que possam detectar e mitigar o impacto desses ataques nas principais superfícies de entrada: e-mail, web e endpoints (dispositivos de armazenamento e estações de trabalho). O movimento lateral em busca por credenciais facilita encontrar meios de acesso a informações sensíveis. Mas, um assunto que precisa ter uma definição antecipada é o pior caso. Se acontecer – o que não tem sido impossível – a organização definiria por pagar ou não? Caso a resposta seja categoricamente “NÃO”, então, ter uma estratégia de backups imutáveis e um plano de recuperação a desastres se torna indispensável e altamente prioritário.

O uso de sistemas de autenticação robustos e com múltiplos fatores de autenticação (MFA) não é apenas recomendável, mas essencial em todas as organizações. É fundamental aplicar este recurso de forma abrangente, cobrindo todas as identidades da organização e não apenas aquelas consideradas críticas. A pergunta que fica é: por que tantas organizações ainda não implementam na sua totalidade um múltiplo-fator de autenticação que é amplamente recomendado? Talvez a resposta seja por ainda não entenderem o nível de proteção devido à simplicidade desta tecnologia. Além disso, é crucial implementar uma arquitetura de gestão e proteção de identidades que abranja todos os vetores de entrada, garantindo segurança consistente em todo o ambiente corporativo.

A segurança das estações de trabalho ganha ainda mais relevância no contexto da mobilidade, em que o uso de recursos e dados, independentemente da localização, expõe esses dispositivos a ataques locais e remotos. A criptografia das estações de trabalho é indispensável para proteger informações sensíveis em casos de perda ou roubo, reduzindo o impacto de possíveis incidentes.

Para minimizar a superfície de ataque, é altamente recomendável adotar uma abordagem baseada no conceito de Zero Trust. Esse modelo permite verificar continuamente os meios de acesso e transmissão de dados, garantindo que apenas usuários e dispositivos autenticados e autorizados tenham acesso às informações. Soluções como ZTNA (Zero Trust Network Access), CASB (Cloud Access Security Broker), sistemas de PKI (Public Key Infrastructure) e HSM (Hardware Security Module) desempenham papeis cruciais na segurança de ambientes móveis, contribuindo para uma estratégia abrangente e eficaz.

Na área de engenharia social, os desafios estão se intensificando com o uso de IA, que possibilita a criação de e-mails sem erros e aprimoramento de outras formas de comunicação. Um dos riscos mais preocupantes é o uso de deepfake para personificar pessoas estratégicas da organização, levando usuários a executarem ações não autorizadas.

Os usuários privilegiados desempenham um papel crítico devido ao alto impacto que suas identidades podem causar. Por isso, os programas de conscientização devem ir além da simples educação, promovendo também a colaboração e o desenvolvimento da capacidade dos associados de identificar ações que estejam fora das políticas aceitáveis de uso de recursos tecnológicos.

Adicionalmente, é essencial que os usuários privilegiados sejam avaliados com base em critérios rigorosos, como um índice de “rate-click” idealmente próximo de zero, para minimizar o risco de interações inadequadas. A proposta é diferenciar os usuários pelo nível de impacto que podem causar, implementando medidas personalizadas de segurança e conscientização.

Ou seja, 2025 exige maior agilidade e assertividade nas escolhas de soluções e estratégias que possam reduzir o nível de incertezas na tomada de decisão sobre onde investir. Utilize os casos públicos de falhas de segurança e desenvolva um método de avaliar a probabilidade de tais eventos acontecerem em sua organização. Os exemplos que temos do passado mostram que preparação e foco devem ser parte do desenvolvimento da segurança. E, por fim, busque um processo de comunicação claro e contínuo com as outras áreas da organização para ampliar engajamento e suporte nas decisões que possam acelerar o crescimento com segurança.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!