Relatório Temático CBEST 2025: O que os dados revelam sobre a ciberfragilidade nos serviços financeiros
Na semana passada, o Banco da Inglaterra entregou relatórios de desempenho em segurança cibernética a bancos e organizações de infraestrutura do mercado financeiro (FMI).
Este boletim, o Relatório Temático CBEST, tinha a energia inconfundível da Professora McGonagall chamando Harry Potter de lado para lembrá-lo — com firmeza, mas com justiça — de que suas ambições no mundo bruxo exigem um padrão muito mais elevado.
Assim como a professora McGonagall, os órgãos reguladores estão fazendo a sua parte para garantir que altas aspirações exijam altos padrões.
Empresas e infraestruturas do mercado financeiro passaram anos construindo bibliotecas de controle, mapeando regras e se alinhando às melhores práticas. O CBEST mostra uma lacuna evidente. Os mecanismos de controle que parecem robustos no papel muitas vezes falham sob a pressão de um ataque real.
Esse é o padrão mais elevado que os reguladores pretendem estabelecer.
CBEST 2025: um retrato de vulnerabilidade silenciosa
O Relatório Temático CBEST é uma estrutura de testes orientada por ameaças que simula ataques do mundo real. Isso ajuda bancos e instituições financeiras a identificar, compreender e corrigir as fragilidades em sua resiliência cibernética.
O relatório deste ano identificou fragilidades na resiliência cibernética das principais instituições financeiras do Reino Unido. Esses problemas surgiram em cinco áreas interligadas:
- Segurança de infraestrutura e dados
- Controle de identidade e acesso
- segurança de rede
- Detecção e resposta
- Cultura e conscientização da equipe
Essas lacunas vieram à tona por meio de testes CBEST orientados por ameaças, realizados em ambientes corporativos reais e conduzidos por provedores credenciados sob supervisão regulatória.
Segurança de infraestrutura e dados
Os resultados mostram que muitas instituições têm dificuldades em transformar planos de segurança em desempenho consistente em condições reais de ataque.
Do ponto de vista da infraestrutura e da segurança de dados, o CBEST identificou lacunas nos controles básicos. Isso incluía gerenciamento de configuração inconsistente, segurança e aplicação de patches deficientes no sistema e proteção inadequada dos dados armazenados nos sistemas.
Simulações de ataque mostraram que endpoints sem patches atualizados ou configuração adequada eram fáceis de explorar. A criptografia fraca também expôs dados sensíveis e credenciais privilegiadas.
Em conjunto, essas descobertas sugerem que os processos de gerenciamento e configuração de ativos não estão reduzindo de forma consistente o risco nos sistemas que dão suporte a serviços críticos de negócios.
Controle de identidade e acesso
Controles de identidade e acesso deficientes reduziram ainda mais a resiliência.
Os testes CBEST revelaram que algumas empresas não implementavam práticas robustas de gestão de identidade. Os problemas comuns incluíam:
- Senhas fracas ou aplicação inadequada de padrões de senhas.
- Armazenamento inseguro de senhas, incluindo arquivos de texto simples.
- Modelos de acesso que concediam mais permissões do que o necessário.
Os controles deficientes nas contas de administrador e de serviço facilitaram a escalada de privilégios e a movimentação lateral dos invasores dentro do ambiente.
Esses resultados mostram que os controles de identidade podem existir no papel, mas não são aplicados com disciplina suficiente na prática. Uma aplicação mais rigorosa das regras ajudaria a limitar o alcance dos ataques após uma invasão inicial.
segurança de rede
A segurança e a arquitetura da rede emergiram como um ponto fraco evidente.
A CBEST constatou que algumas empresas não possuíam uma segmentação eficaz entre os sistemas críticos. Em diversos casos, os ambientes de desenvolvimento e produção não foram devidamente separados. Isso aumentou o impacto potencial de uma violação nas operações comerciais.
Detecção e resposta
A CBEST também identificou um padrão preocupante para organizações que dependem de ferramentas de detecção e resposta de endpoints (EDR) . A CBEST identificou lacunas na detecção, incluindo fragilidades na detecção de ataques por meio de EDR devidamente configurado e na detecção de exfiltração de dados. O monitoramento de rede ineficaz e a inspeção de tráfego limitada permitiram que atividades se misturassem ao tráfego legítimo e possibilitaram a conectividade de saída a partir de dispositivos não monitorados.
Os atacantes evitaram a detecção usando credenciais incorretamente, confiando em ferramentas integradas do sistema e movendo-se lateralmente pela rede sem acionar alertas. Isso foi possível porque os projetos de rede permitiam um nível excessivo de confiança implícita.
O uso limitado de controles de privilégio mínimo no nível de rede e de serviço aumentou o número de sistemas que os invasores podiam alcançar. O monitoramento deficiente da rede e a inspeção limitada do tráfego agravaram o problema.
Em simulações, os atacantes ocultaram atividades em meio a tráfego aparentemente normal e estabeleceram conexões de saída a partir de sistemas que não eram monitorados de perto.
Essas descobertas apontam para uma lacuna entre como a segmentação e o privilégio mínimo são compreendidos na teoria e como são aplicados em redes de produção reais.
As capacidades de detecção e resposta também não corresponderam aos modelos de ameaça utilizados nos exercícios CBEST. Empresas com sistemas de alerta mal configurados tiveram dificuldades para detectar ataques precocemente. Configurações EDR fracas reduziram a visibilidade de comportamentos maliciosos e exfiltração de dados. A deficiência no monitoramento da rede permitiu que os invasores se misturassem às atividades legítimas.
Cultura e conscientização da equipe
O CBEST também destaca a cultura da equipe, o treinamento e a conscientização como pontos fracos persistentes.
Os funcionários eram frequentemente vulneráveis à engenharia social. As credenciais eram frequentemente armazenadas em locais não seguros, como planilhas ou sistemas de arquivos compartilhados. Os processos do help desk com verificações de identidade limitadas permitiram que invasores simulados obtivessem ou utilizassem indevidamente credenciais e ampliassem o acesso.
O verdadeiro problema: movimento lateral descontrolado
Um tema em comum conecta as fragilidades observadas nos resultados do CBEST. Não existe uma forma confiável de conter o movimento lateral após uma violação.
Os invasores roubaram credenciais e se movimentaram entre os sistemas. Eles aumentaram o nível de acesso. Em muitos casos, isso aconteceu antes que as ferramentas de detecção sinalizassem qualquer atividade incomum.
Quando as redes são planas, ou quase planas, os atacantes encontram pouca resistência. Eles conseguem se mover de forma rápida e silenciosa, sem atrasos que deem tempo para os defensores reagirem.
É aqui que o risco se torna sistêmico. Se uma única conta de usuário ou servidor consegue acessar serviços críticos, a aplicação de patches robustos ou alertas mais eficazes não resolverão o problema de projeto subjacente.
O CBEST 2025 mostra como as lacunas em identidade, infraestrutura, projeto de rede, monitoramento e práticas da equipe se combinam para permitir a movimentação lateral.
Uma vez que os atacantes conseguem se movimentar livremente dentro da rede, as defesas de perímetro e a detecção reativa não conseguem impedir a propagação nem limitar os danos.
Como a Illumio resolve a lacuna de movimentação lateral no setor bancário
O Illumio funciona no contexto CBEST por um motivo claro. Isso resolve exatamente o problema que os reguladores continuam encontrando: os invasores podem se movimentar livremente assim que entram na rede.
O CBEST demonstra que as organizações investem fortemente em ferramentas de identidade, segurança de infraestrutura, firewalls e monitoramento. Mesmo assim, os atacantes ainda conseguem obter sucesso. Eles exploram sistemas, se movimentam pela rede e ampliam o acesso após a entrada.
Illumio foi desenvolvido para essa realidade. Isso cria limites rígidos dentro da rede, onde muitos controles são mais frágeis.
Em vez de depender de controles de identidade perfeitos, correções perfeitas ou detecção perfeita, o Illumio limita o movimento por meio de sua concepção. A CBEST deixa claro que a perfeição não se sustenta sob pressão real.
Eis o motivo pelo qual o Illumio se destaca.
1. Ele impede o movimento lateral, independentemente de como um invasor obtenha acesso.
Caso as credenciais sejam roubadas, a autenticação multifator (MFA) seja burlada ou um dispositivo seja comprometido, o Illumio impede que os invasores avancem além do primeiro sistema.
Diferentemente de firewalls ou ferramentas de identidade, o Illumio não depende de uma configuração perfeita em outros locais.
2. Permite a segmentação sem a necessidade de redesenhar a rede.
O CBESTdemonstra que muitas empresas têm dificuldades em implementar a segmentação porque as abordagens baseadas em redes são lentas e arriscadas.
Illumio separa a segmentação da própria rede. As organizações podem impor o princípio do menor privilégio na comunicação entre cargas de trabalho sem alterar VLANs, regras de firewall ou layouts de rede.
3. Isso torna o tráfego interno visível.
Os avaliadores do CBESTfrequentemente exploram pontos cegos no tráfego leste-oeste. O Illumio fornece visualizações em tempo real de como os sistemas realmente se comunicam. Isso expõe dependências ocultas, caminhos arriscados e confiança desnecessária na qual os atacantes se apoiam.
4. Ele complementa o EDR ao conter o que a detecção não consegue identificar.
As ferramentas de detecção e resposta de endpoints(EDR) são eficazes na detecção de atividades maliciosas em endpoints individuais. No entanto, eles não conseguem impedir que invasores com credenciais válidas se movam lateralmente.
A Illumio preenche essa lacuna bloqueando os caminhos que os atacantes precisam. Mesmo quando as ferramentas de endpoint não detectam os primeiros sinais de comprometimento, o Illumio impede que um pequeno problema se espalhe por todo o ambiente.
Resumindo, o Illumio aborda diretamente as fragilidades estruturais reveladas pelo CBEST. Isso reduz o impacto quando outros controles falham.
O CBEST demonstra o quão vulneráveis muitas instituições estão atualmente. Illumio mostra como tornar essa exposição suportável.
O Illumio não substitui os controles de segurança existentes. Isso compensa suas limitações. Quando os atacantes contornam ou burlam outras defesas, o Illumio garante que o ambiente permaneça seguro. Contém a brecha, limita os danos e facilita a recuperação.
Por que a resiliência comprovada depende da contenção da violação
A leitura do relatório CBEST do início ao fim revela um padrão claro. Grande parte do sistema financeiro depende não de uma resiliência comprovada, mas da suposição de que os controles de segurança funcionarão conforme o planejado.
O CBEST deixa claro que os reguladores esperam que a segurança seja mensurável, testável e integrada ao projeto do sistema. Embora a fragilidade não seja mencionada diretamente, as conclusões apontam para ela ao longo de todo o relatório.
No fim das contas, a mensagem é simples. O controle da violação é a única maneira prática de lidar com esse risco.
Explore o Illumio Insights gratuitamente Hoje, para expor os tipos de problemas de segurança que a CBEST continua encontrando.
.webp)
.webp)
.webp)
