3 vetores de ataque que expõem dados em empresas de serviços financeiros

Apr 20, 2023
Share

Dinheiro e dados: os dois recursos que os cibercriminosos desejam e os dois recursos que as empresas de serviços financeiros devem proteger. Os responsáveis ​​pela segurança em bancos, empresas de crédito imobiliário, fintechs e outras empresas de serviços financeiros estão bem cientes desse fato.

Mas assim como o ataque recentemente relatado em Banco Flagstar (Expondo dados de 1,5 milhão de clientes), os ataques a empresas de serviços financeiros ainda são bem-sucedidos. Os serviços financeiros agora representam 18%. de todos os ataques cibernéticosEntão, o que está faltando para as equipes de segurança de serviços financeiros?

Vetores de ataque que tiram o sono das equipes de segurança de empresas de serviços financeiros.

Mesmo as empresas de serviços financeiros mais bem protegidas podem deixar passar ameaças que chegam por meio desses três vetores de ataque:

Phishing

Seja chamado de spear phishing, whaling ou comprometimento de e-mail comercial, os ataques de phishing direcionados conseguem ultrapassar até mesmo os perímetros de segurança e filtros de e-mail mais robustos. Nenhuma organização está imune a esse vetor de ataque, por mais avançada que seja. A fintech Revolut sofreu uma violação de dados após um ataque de “altamente direcionado"Ataque de engenharia social, que provavelmente envolveu phishing. O ataque expôs dados pertencentes a mais de 50.000 clientes."

Vulnerabilidades na nuvem

O setor de serviços financeiros (FSI) migrou rapidamente para a nuvem. Os esforços para garantir a segurança dessa transição, no entanto, têm avançado a passos de tartaruga. Mesmo compreender onde começa e termina a responsabilidade pela segurança em ambientes de nuvem pública e híbrida pode ser muito difícil. O resultado é um aumento no número de bancos de dados expostos à internet e um aumento no número de vazamentos de dados online devido a exposições acidentais. Esse tipo de erro, muitas vezes decorrente de uma falha na segurança, pode ser fatal. configuração incorreta, foi supostamente responsável por 15% de todas as violações de dados em 2022.

Riscos internos

Os riscos internos levam a alguns dos piores resultados de crimes cibernéticos para as empresas e estão entre os mais difícil de pararA exposição de dados sensíveis por pessoas de confiança, causada por funcionários internos, pode ser acidental ou maliciosa. No entanto, todos os piores incidentes de risco interno têm algo em comum: um nível desnecessariamente alto de permissões concedidas aos funcionários.

Desafios de segurança de dados que todas as empresas de serviços financeiros enfrentam.

Mais dados, mais problemas. Volumes maiores de dados podem impulsionar um crescimento incrível, mas também aumentam os riscos. Ao proteger dados, toda empresa de serviços financeiros enfrenta um ou mais destes desafios persistentes de segurança de dados:

Inventariar dados sensíveis

A entrada de dados está crescendo muito mais rápido do que a capacidade da maioria das empresas de serviços financeiros de gerenciá-los. Catalogação Muitas vezes, a culpa é das ferramentas. Os profissionais de segurança frequentemente dependem de ferramentas manuais e desconectadas, projetadas para usuários de TI ou governança de dados. Poucas dessas soluções são adequadas à velocidade com que novos dados são gerados, transferidos ou alterados, e a maioria tem dificuldades para acompanhar os requisitos de governança e redução de riscos do setor financeiro. Os profissionais de segurança em empresas de serviços financeiros muitas vezes têm sua capacidade de proteção limitada devido ao número restrito de repositórios de dados que conhecem.

Rotulagem uniforme de dados

As empresas de serviços financeiros têm dificuldade em manter um sistema coerente para classificar a sensibilidade ou confidencialidade dos dados. Dentro de uma mesma organização, algumas equipes podem usar um sistema de quatro níveis (altamente restrito, restrito, interno e público), enquanto outras podem usar um sistema de sete níveis. Outras equipes, ainda dentro da mesma organização, podem ter definições diferentes do que significa "restrito". Esse cenário, infelizmente comum, resulta em inconsistências na compreensão e aplicação das classificações de sensibilidade aos dados. O resultado final é a redução da segurança.

Muitas empresas do setor financeiro dependem da rotulagem de informações confidenciais como base para determinar onde os dados devem ser armazenados, quem deve acessá-los e como devem ser ocultados. Sem uma rotulagem uniforme, as equipes de segurança não podem saber com certeza qual a melhor forma de proteger os dados.

Implementando controles de segurança para dados

As empresas de serviços financeiros devem implementar controles de segurança, como criptografia, registro de logs e controle de acesso Para manter os dados seguros, as empresas precisam primeiro saber onde os dados estão armazenados e como tratá-los com base em sua sensibilidade e classificação. Infelizmente, a maioria das empresas não aplica controles porque seus dados não estão classificados a ponto de permitir determinar o que precisa ser protegido. pesquisa do Banco da Inglaterra Constatou-se que 60% das empresas de serviços financeiros correm o risco de sofrer uma violação de dados devido à má gestão dos mesmos.

5 perguntas que as empresas de serviços financeiros precisam responder.

O cenário acima pinta um quadro sombrio para a segurança de dados das empresas de serviços financeiros. Felizmente, existe uma solução acessível para esses problemas.

Para melhorar a segurança dos dados, é útil pensar em cinco perguntas-chave que uma empresa de serviços financeiros precisa responder. Essas perguntas são as mesmas que os cibercriminosos fazem quando tentam acessar seus dados:

  • Cadê? Tudo isso, não apenas os bancos de dados conhecidos.
  • O que é? Quão sensível é?
  • Como se utiliza? Para processos de negócios, manutenção de registros, análises, etc.
  • Como garantir a sua segurança? Está criptografado? Quem na sua organização pode acessá-lo?
  • Como defendê-lo? É possível detectar e resolver rapidamente os riscos emergentes e ativos?

Suas soluções e processos atuais conseguem responder a essas perguntas para todos os seus dados, tanto os existentes quanto os que estão chegando? Se não, é hora de mudar de estratégia. A única maneira de controlar os riscos de dados é contar com uma solução holística de segurança de dados para inventariar, classificar, contextualizar e proteger seus dados. Seus dados são fluidos. A forma como você os protege também deve ser.

Como a Cyera ajuda as empresas de serviços financeiros a proteger seus dados

As empresas de serviços financeiros devem adotar uma abordagem orientada para os dados a fim de evitar a perda de dados por meio de vetores de ataque comuns.

Plataforma de segurança de dados da Cyera Fornece um contexto profundo sobre seus dados, aplicando controles corretos e contínuos para garantir a resiliência cibernética e a conformidade.

A Cyera adota uma abordagem de segurança centrada em dados, avaliando a exposição dos seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto de dados profundo e holístico em todo o seu ambiente de dados, somos a única solução capaz de capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e a tomar medidas imediatas para remediar as exposições e garantir a conformidade sem interromper os negócios.

Para saber mais sobre como a Cyera pode ajudar as empresas do setor de serviços financeiros a proteger seus dados, Agende uma demonstração hoje.

Share