São Paulo — InkDesign News — A mais recente campanha de conscientização em cibersegurança pede que os usuários façam uma pausa de nove segundos antes de clicar. No entanto, essa abordagem transfere a responsabilidade e ignora falhas de design de sistema que facilitam ataques cibernéticos.
Vetor de ataque
A nova campanha de segurança, conhecida como #Take9, sugere que os usuários esperem antes de clicar em links suspeitos, especialmente em e-mails que possam conter phishing. Essa medida não aborda vulnerabilidades crônicas como o CVE-2021-22986, que permite que atacantes realizem movimentações laterais dentro de redes corporativas uma vez que consigam acesso inicial.
Impacto e resposta
Campanhas educativas, como a #Take9, muitas vezes falham em prevenir brechas de segurança que são exploradas por técnicas de engenharia social. Um impacto significativo ocorre quando os usuários desconsideram as recomendações de segurança em decorrência de práticas, como o phishing, onde os atacantes enganam as vítimas a clicar em links maliciosos. Roberto Oliveira, especialista em segurança cibernética, afirma:
“As campanhas de conscientização não devem substituir a necessidade de uma arquitetura de segurança robusta e prática. Sem um design eficaz do sistema, os usuários estarão sempre em risco.”
(“Awareness campaigns should not replace the need for robust and practical security architecture. Without effective system design, users will always be at risk.”)— Roberto Oliveira, Especialista em Segurança Cibernética
Análise e recomendações
Para mitigar riscos, as organizações devem implementar soluções de segurança em camadas, que incluem firewalls, sistemas de detecção de intrusão e atualizações regulares de software. A abordagem de “esperar” somente reforça a responsabilidade do usuário, enquanto outras medidas de segurança essenciais são ignoradas. Sistemas de detecção de anomalias, por exemplo, podem ajudar na identificação de comportamentos suspeitos que indicam um ataque em potencial antes que ele aconteça.
A longo prazo, as empresas precisam repensar suas estratégias de segurança, integrando mecanismos que exerçam maior controle sobre acessos e atividades dentro de suas redes. A continuidade da educação dos usuários deve ser uma parte de uma estratégia mais ampla que aborde as falhas estruturais na segurança.
As próximas atualizações no setor devem focar na melhoria da segurança de infraestrutura, ao invés de depender da vigilância constante dos usuários.
Fonte: (Dark Reading – Segurança Cibernética)
