Poucos relatórios na indústria de segurança são tão significantes para a adoção de estratégias de segurança cibernética centrada no ser humano como o DBIR (Data Breach Investigations Report), ou "Relatório de Investigações sobre Violações de Dados", da Verizon. O relatório já tem dezoito anos, e a empresa acabou de publicar a edição 2025. Como o nome explica, é montado com base na investigação de eventos reais de quebra de segurança. Para esta edição, a equipe declara ter analizado 22.052 incidentes reais de segurança (incident), 12.195 deles vazamentos confirmados de dados (breach) em organizações de todos os tamanhos e segmentos, entre 1 de novembro de 2023 e 31 de outubro de 2024, em 139 países. O curto espaço de tempo entre data de término da amostragem e a publicação não permitiria guinadas muito expressivas nas tendências observadas. O relatório é bastante extenso, com 117 páginas, e pode ser obtido diretamente no site da empresa.
Neste ano, o DBIR aponta que 60% das violações de dados envolveram a ação humana, mesmo índice do ano anterior. As ações de engenharia social, como o phishing, foram responsáveis por 23% das violações.
O primeiro ponto a observar é a manutenção do uso de velhas técnicas como o vetor inicial de ataque. Além do phishing, observado em 16% dos eventos, o relatório aponta também a exploração de vulnerabilidades como responsável por 20%. Para muitos, pode até parecer um balde de água fria, já que há a tendência de achar que velhos problemas estão resolvidos e que agora a preocupação é outra. Mas a realidade mostra que essas técnicas de ataque continuam efetivas.
O phishing é daquelas técnicas de ataque das quais temos pleno conhecimento do modus operanti e que podemos isolar, por ter um ponto único de entrada na rede, o sistema de correio eletrônico. Seu uso está no fato de permitir ao atacante um contato direto com o usuário, suscetível à engenharia social. O ser humano sempre será a parte mais débil da estratégia de segurança. Os criminosos sabem disso e sempre tentarão chegar a ele, investindo pesadamente na sofisticação das mensagens de correio eletrônico, inclusive com uso de IA para torná-las mais factiveis. As organizações, por outro lado, reduziram seus investimentos em segurança de e-mail por muitos anos, passando a depender unicamente da segurança embarcada nos serviços de correio. O resultado é visto em relatórios como este. A solução está em adotar soluções eficazes de segurança de correio eletrônico, algo que já foi alertado por institutos como o Gartner, que este ano voltou a publicar o seu famoso estudo Magic Quadrant para o segmento.
Os riscos nunca estiveram tão em alta
Os atacantes passaram também a diversificar os meios de chegar aos usuários e passaram a usar as redes sociais e os serviços de comunicação, ou colaboração, usados pelas organizações. Tal método é possivel pela exploração de vulnerabilidades intrínsecas aos ambientes como o MS Teams, ou como ações após o comprometimento de credenciais de usuários. Apesar de um meio diferente, a técnica é a mesma. Em geral, fazer o usuário clicar em um link malicioso ou abrir um arquivo contaminado por malware, mas também para obter informações ou outras credenciais que permitam ao invasor amplificar seu ataques. A questão do abuso de credenciais, inclusive, foi reportado como responsável por 22% das violações observadas.
Outro fator de risco apontado é o uso de ferramentas de IA generativa pelos funcionários a partir de dispositivos corporativos – em 15%, o que, de acordo com o relatório, aumenta o potencial de perda de dados.
A estratégia para defesa contra esses ataques e problemas, no entanto, não pode estar restrita à tecnologia, e deve envolver também o ser humano, por meio de treinamento e conscientização. O usuário será sempre a última camada de defesa e precisa ser treinado para identificar mensagens suspeitas que cheguem por e-mail, rede social ou telefone, e usar corretamente os recursos tecnológicos a ele fornecidos. O relatório destaca, por exemplo, que um usuário treinado tem quatro vezes mais possibilidade de identificar um e-mail fraudulento. Outro problema indicado, e que pode ser tratado também via treinamento como complemento a tecnologia, é a perda de dados através de e-mails enviados indevidamente. De acordo com o relatório, metade dos eventos causados por erro humano o foram por e-mails mal direcionados.
Além dos usuários, os atacantes estão ainda se aproveitando de parceiros de negócio para chegarem aos seus alvos. Foram 30% de observações, o dobro em relação ao ano anterior. Temos aqui um bom exemplo da atuação dos grupos de crime cibernético. Uma porta se fecha quando as organizações-alvo investem em tecnologia e pessoal, mas outra se abre quando encontram nos seus provedores, em muitos casos empresas bem menores, onde há condições mais propícias para realizarem os ataques. De novo, nada novo. Casos semelhantes foram reportados em 2014, uma invasão através da conexão de um provedor de ar-condicionado com a vítima e até via cardápios digitais que funcionários utilizavam para pedir refeições na empresa.
Outro dado expressivo do DBIR é sobre os ataques ransomware, que cresceram 37% em relação ao ano anterior e são responsáveis por 44% das violações. É bastante, embora o relatório aponte que 64% das vítimas tenham se negado a pagar o resgate, cuja média ficou em 115 mil dólares, menos que o anterior de 150 mil dólares. Porém, ao separar as grandes empresas do chamado segmento SMB (negócios médios e pequenos), os analistas perceberam uma diferença significativa entre a realidade de ambas. Enquanto para as grandes o ataque foi observado em 39% dos casos, para as médias e pequenas ele foi de 88%.
As técnicas de ataque se entrelaçam na vida real e um ataque de ransomware pode se iniciar por um e-mail de phishing, na qual o atacante obteve as credenciais do usuário, contornou o sistema de duplo fator de autenticação e, finalmente, chegou ao ponto de controlar e bloquear o acesso da organização aos seus dados. O mesmo é válido para roubo de dados. Dessa forma, é importante conectar os pontos e não tratar cada um como algo isolado. Visibilidade e gestão, inclusive dos usuários, é um fator-chave para o sucesso.
Marcelo Bezerra, líder em engenharia de cibersegurança da Proofpoint.
