Preparar-se para ataques com Treinamento de simulação de ataque

  • 6 minutos

As organizações que têm Microsoft 365 E5 ou Microsoft Defender para Office 365 Plano 2 podem utilizar Treinamento de simulação de ataque para executar cenários de ataque realistas. Esta funcionalidade é apresentada no portal do Microsoft Defender.

Observação

Microsoft Defender para Office 365 Plano 2 também inclui capacidades de Investigação e Resposta a Ameaças.

Os ataques simulados podem ajudar uma organização a identificar os utilizadores vulneráveis. Com estas informações, as organizações podem, com sorte, alterar o comportamento destes indivíduos antes que um ataque real afete o resultado final da organização.

O treinamento de simulação de ataque no Microsoft Defender para Office 365 permite que uma organização execute simulações benignas de ataque cibernético para testar suas políticas e práticas de segurança. Também permite que as organizações preparem os funcionários para aumentar a sua consciência e reduzir a sua suscetibilidade a ataques.

Para aceder a Treinamento de simulação de ataque, deve navegar para o portal do Microsoft Defender e selecionar Email e Treinamento de simulação de ataque de colaboração>.

Uma organização deve atender aos seguintes pré-requisitos para executar o treinamento de simulação de ataque:

  • A organização tem de ter uma subscrição Microsoft 365 E5 ou Microsoft Defender para Office 365 Plano 2.
  • O utilizador que executa a formação de simulação de ataques tem de ter uma das seguintes funções do Microsoft 365:
    • Administrador global
    • Administrador de segurança
    • Qualquer uma das seguintes funções concebidas especificamente para Treinamento de simulação de ataque:
      • Administradores do Simulador de Ataques. Criar e gerenciar todos os aspectos de campanhas de simulação de ataque.
      • Autores de Payload do Simulador de Ataques. Criar cargas de ataque que um administrador pode iniciar mais tarde.
  • Treinamento de simulação de ataque suporta caixas de correio no local, mas com funcionalidades de relatórios reduzidas:
    • Os dados sobre se os utilizadores leem, reencaminham ou eliminam o e-mail de simulação não estão disponíveis para caixas de correio no local.
    • O número de utilizadores que reportaram o e-mail de simulação não está disponível para caixas de correio no local.
  • A organização tem de armazenar os respetivos dados de simulação de ataques e dados relacionados com a preparação com outros dados do cliente para os respetivos serviços do Microsoft 365. Para obter mais informações, consulte Onde o Microsoft 365 armazena os seus dados de cliente.

Noções básicas sobre o comportamento do usuário

Treinamento de simulação de ataque fornece informações com base em:

  • Os dados gerados pelas simulações.
  • As formações concluídas por cada funcionário.

Este conhecimento ajuda os administradores a manterem-se informados sobre a preparação de ameaças de cada funcionário na organização. Treinamento de simulação de ataque também pode recomendar os próximos passos que uma organização deve executar para se fortalecer contra ataques.

Para examinar os dados gerados pelas simulações, um administrador deve selecionar a guia Visão Geral na página Treinamento de simulação de ataque. Nessa guia, um administrador pode exibir a tabela de tarifas do impacto no comportamento diante de comprometimento. Esta tabela mostra como os funcionários lidaram com as simulações que o administrador executou em contraste com a taxa de comprometimento prevista. Os administradores podem usar essas informações para acompanhar o progresso na preparação para ameaças dos funcionários. Eles podem fazer isso executando várias simulações nos mesmos grupos de funcionários.

O gráfico ilustra:

  • Taxa de compromisso real. Reflete a porcentagem de funcionários que ficaram para a simulação.
  • Taxa de compromisso prevista. Reflete a taxa média de comprometimento para simulações usando o mesmo tipo de carga em outros locatários Microsoft 365 que usam o treinamento de simulação de ataque.

Captura de tela do gráfico de treinamento de simulação de ataque.

Executando treinamento de simulação de ataque

Treinamento de simulação de ataque consiste nos seguintes passos.

  1. Selecione uma técnica de engenharia social (simulação).
  2. Selecione uma carga.
  3. Direcionamento de audiência.
  4. Atribua treinamento.
  5. Detalhes de inicialização e revisão.

As secções seguintes descrevem cada um destes passos com maior detalhe.

Etapa 1 – Selecionar uma técnica de engenharia social (simulação)

Phishing é um termo genérico para ataques de email que tentam roubar informações confidenciais em mensagens que parecem ser de remetentes legítimos ou confiáveis. Phishing faz parte de um subconjunto de técnicas que a Microsoft classifica como engenharia social.

No treinamento de simulação de ataque, você pode selecionar entre as seguintes técnicas de engenharia social (simulação):

  • Recolha de credenciais. Um invasor envia ao destinatário uma mensagem que contém uma URL. Quando o destinatário seleciona o URL, o sistema direciona o utilizador para um site que normalmente mostra uma caixa de início de sessão de nome de utilizador e palavra-passe. O atacante cria a página de destino para representar um site conhecido. O objetivo do ataque de phishing é fazer com que o utilizador acredite que acedeu a um site real.
  • Anexo de software maligno. Um invasor envia ao destinatário uma mensagem que contém um anexo. Quando o destinatário abre o anexo, o código arbitrário (por exemplo, uma macro) é executado automaticamente no dispositivo do utilizador. Esse código ajuda o invasor a instalar mais código ou a se enraizar ainda mais.
  • Ligação no anexo. Esta simulação é um híbrido de uma coleta de credenciais. Um invasor envia ao destinatário uma mensagem que contém uma URL dentro de um anexo. Quando o destinatário abre o anexo e seleciona o URL, é encaminhado para um site que normalmente mostra uma caixa de diálogo de início de sessão. Este site pede ao utilizador o respetivo nome de utilizador e palavra-passe. Ao apresentar o que parece ser um site conhecido, o objetivo do ataque de phishing é fazer com que o utilizador acredite realmente que acedeu a um site real.
  • Ligação para software maligno. Um invasor envia ao destinatário uma mensagem que contém um link para um anexo em um site de compartilhamento de arquivos conhecido (por exemplo, SharePoint Online ou Dropbox). Quando o destinatário seleciona o URL, o anexo é aberto e, em seguida, o código arbitrário, como uma macro, é executado no dispositivo do utilizador. Esse código ajuda o invasor a instalar mais código ou a se enraizar ainda mais.
  • Drive-by-url. Um invasor envia ao destinatário uma mensagem que contém uma URL. Quando o destinatário seleciona o URL, o sistema direciona o utilizador para um site que tenta executar o código em segundo plano. Este código recolhe informações sobre o destinatário ou implementa código arbitrário no respetivo dispositivo. Normalmente, o site de destino é um site conhecido que o atacante comprometeu ou um clone de um site conhecido. Familiaridade com o site ajuda a convencer o utilizador de que a ligação é segura para selecionar. Algumas pessoas referem-se a ataques drive-by-url como ataques de buracos de rega.

Etapa 2 – Selecionar uma carga

Depois de selecionar o tipo de simulação (técnica de engenharia social) que pretende executar, selecione um payload no catálogo de payload pré-existente.

O objetivo dos pontos de dados de payload é fornecer informações sobre a eficácia dos controlos de segurança de uma organização contra ataques simulados. Estes pontos de dados podem ajudar as organizações a identificar vulnerabilidades na sua postura de segurança e tomar medidas para resolvê-las antes que os atacantes reais possam explorá-las.

As equipas de segurança das organizações recolhem e analisam pontos de dados encontrados em payloads. Fazem-no para compreender melhor como os atacantes podem visar a infraestrutura e os dados da sua organização. Utilizam estes conhecimentos para melhorar as suas defesas de segurança, como, por exemplo, ao implementar:

  • Controlos de acesso mais fortes
  • Sistemas de deteção de ameaças mais robustos
  • Processos de resposta a incidentes mais eficazes

As equipas de segurança também utilizam pontos de dados para controlar e medir o sucesso do programa de formação de sensibilização de segurança de uma organização. Por exemplo, vamos supor que os dados de simulação mostram uma percentagem elevada de utilizadores que caíram num ataque de phishing. Este resultado pode indicar que os utilizadores precisam de formação adicional sobre como reconhecer e evitar tais ataques.

O catálogo de payload tem muitos pontos de dados para o ajudar a escolher um payload, incluindo:

  • Clique em taxa. Conta quantas pessoas selecionaram essa carga. O ponto de dados de taxa de clique é uma medida da capacidade do payload de enganar ou enganar os utilizadores a efetuar uma ação específica. Por exemplo, clicar numa ligação ou abrir um anexo. A plataforma analisa vários fatores para determinar a probabilidade de os utilizadores selecionarem este payload. Por exemplo, o idioma utilizado no payload, o design visual da mensagem e a urgência percebida do pedido.
  • Taxa de compromisso prevista. A plataforma utiliza machine learning e outros algoritmos avançados para prever a probabilidade de um payload específico resultar num compromisso bem-sucedido. Ao fazê-lo, a plataforma analisa vários fatores. Por exemplo, a complexidade do payload, a probabilidade de interação do utilizador e a eficácia dos controlos de segurança. O resultado desta análise é a taxa de compromisso prevista, que é uma estimativa da percentagem de utilizadores que um ataque pode comprometer. A taxa de compromisso prevista é apenas uma estimativa. A taxa real de compromisso pode variar consoante vários outros fatores. Por exemplo, deteção e formação, a eficácia dos controlos de segurança e as características específicas do ataque propriamente dito. Como tal, é importante que as organizações utilizem as taxas de compromisso previstas como guia, em vez de como uma medida definitiva de risco.
  • Simulações iniciadas. A equipa de segurança responsável pela execução de simulações conta o número de vezes que outras simulações utilizaram este payload.
  • A complexidade. A plataforma de preparação calcula o ponto de dados de complexidade encontrado em payloads. Utiliza algoritmos e métricas para analisar o payload e atribuir uma classificação de complexidade com base em vários fatores. Por exemplo, o número de variáveis e funções utilizadas, o nível de aninhamento e a estrutura geral do payload.
  • Fonte. A origem indica se a equipa de segurança da organização criou o payload no inquilino ou se o payload faz parte do catálogo de payload pré-existente da Microsoft (global).

Etapa 3 – Direcionamento do público-alvo

Agora é hora de selecionar o público-alvo desta simulação. Você pode optar por incluir todos os seus usuários ou apenas usuários e grupos específicos. Se optar por incluir apenas usuários e grupos específicos, você poderá:

  • Adicionar utilizadores. Você pode pesquisar em seu locatário por usuários específicos. Você também pode usar recursos avançados de pesquisa e filtragem. Por exemplo, pode selecionar utilizadores a quem não foi visado numa simulação nos últimos três meses.
  • Importar do CSV. Permite importar um conjunto predefinido de usuários para esta simulação.

Etapa 4 – Atribuir treinamento

A Microsoft recomenda que atribua formação para cada simulação. Por quê? Porque os funcionários que passam pelo treinamento são menos suscetíveis a ataques semelhantes. Você pode optar por ter treinamento atribuído à sua organização ou selecionar cursos e módulos de treinamento por conta própria.

Selecione a data de conclusão do treinamento para garantir que os funcionários concluam o treinamento para atender às metas da organização.

Etapa 5 – Detalhes de inicialização e revisão

Assim que uma organização configurar todos os parâmetros de simulação de ataques, pode iniciar a simulação imediatamente ou agende-a para uma data posterior. Ao iniciar uma simulação, você deve escolher quando terminar. A simulação deixa de capturar interações quando já passou da hora selecionada.

Se definir a opção de entrega do fuso horário com deteção de região ao iniciar uma simulação, as mensagens de ataque simuladas são entregues aos seus funcionários durante o horário de trabalho com base na respetiva região.

Quando a simulação terminar, selecione Seguinte e reveja os detalhes da simulação. Selecione a opção Editar em qualquer uma das partes para voltar atrás e alterar quaisquer detalhes que precisem de ser alterados. Quando se sentir satisfeito com os resultados, selecione Submeter.

Notificações do utilizador final

No Treinamento de simulação de ataque no Microsoft 365 E5 ou Microsoft Defender para Office 365 Plano 2, as notificações do utilizador final são mensagens de e-mail enviadas aos utilizadores como resultado de simulações ou automatizações de simulação. Estão disponíveis os seguintes tipos de notificações de utilizador final:

  • Notificação de reforço positiva. Enviado quando os utilizadores comunicam uma mensagem de phishing simulada.
  • Notificação de simulação. Enviado quando os utilizadores são incluídos numa simulação ou automatização de simulação, mas não são selecionadas preparações.
  • Notificação de atribuição de formação. Enviado quando são atribuídas formações necessárias aos utilizadores como resultado de uma simulação ou automatizações de simulação.
  • Notificação de lembrete de formação. Enviados como lembretes para as formações necessárias.

Para ver as notificações do utilizador final disponíveis, abra o portal Microsoft Defender e aceda a colaboração > Email & Treinamento de simulação de ataque > separador Notificações do utilizador final do separador > Biblioteca de conteúdos. O separador Notificações do utilizador final inclui os seguintes tipos de notificações:

  • Notificações globais. Contém as notificações incorporadas e não remissíveis.
  • Notificações de inquilino. Contém as notificações personalizadas que criou.

Captura de ecrã da página Notificações do utilizador final para a preparação da simulação de ataques.

Leitura adicional. Para obter mais informações sobre como criar e modificar notificações, veja Notificações do utilizador final para Treinamento de simulação de ataque.