Muito do que a indústria de segurança abordou ao longo dos últimos anos envolveu as ameaças avançadas permanentes, ou APT (Advanced Persistent Threat). Não há dúvidas que ataques direcionados continuam sendo um problema sério. Há evidências que empresas podem estar em risco pela ação criminosa de hackers interessados em penetrar em suas redes tanto para roubar as informações lá contidas como, e vimos isso recentemente no ataque ao eBay, para usá-las como ponto de partida para ataques contra seus parceiros ou mesmo seus consumidores.
Ao mesmo tempo em que os APTs continuarão a despertar significativo interesse em 2014, e é preciso dedicar ao tema muita atenção, também é importante que não percamos o foco de outros assuntos, também fundamentais, como a falha em se implementar controles de segurança básicos e críticos.
Atrás das Manchetes
Apesar das alarmantes manchetes da mídia, é importante ter em mente que embora impactantes, eventos como o ataque ao eBay, que foi explorado por alguns empregados da organização para ganhar acesso à base de clientes, e o Heartbleed vírus, ainda representam uma minoria. Em comparação, o tipo mais comum de ataque criminoso que uma organização pode enfrentar é, por uma larga margem, as rotineiras ameaças motivadas por ganhos financeiros ilegais que não estão dirigidas para empresas ou grupos específicos.
Independente de quem é o alvo, de acordo com o Relatório 2014 Data Breach Investigation feito pela Verizon, a estratégia número 1 dos hackers para acessar informações em redes de computadores ainda é através do uso ilegal do nome do usuário e de sua senha. A pesquisa identificou que dois em cada três acessos criminosos se dão através de senhas fracas ou roubadas.
Ao mesmo tempo, em relação à indústria financeira, por exemplo, o relatório detectou que os hackers estão focados em ter acesso às interfaces dos usuários em aplicações de internet banking, pois essas garantem a eles acesso direto ao dinheiro. Eles frequentemente atacam as credenciais dos usuários e então as usam em aplicações na Internet que estão protegidas por senhas. Uma vez mais esses incidentes deixam clara a vulnerabilidade de senhas estáticas e a necessidade da adoção de medidas adicionais de segurança, como o duplo fator de autenticação.
Pessoas e Política
A diversidade desses ataques significa que as organizações não devem se distrair defendendo-se de um tipo de ataque e se esquecendo de outro. Cada ataque é um lembrete e uma oportunidade para reforçar os componentes essenciais com uma defesa dinâmica e confiável. Hoje, isso abrange o treinamento dos funcionários, a entrega de soluções de software antivírus, a implementação de produtos de firewall, a prevenção de invasões, e a adoção de ferramentas de encriptação e de controle de acesso, além da autenticação através de dois fatores. Mesmo nos tempos atuais, o velho ditado é verdadeiro: a melhor política de segurança ainda combina pessoas e tecnologia.
Apesar da necessidade de envolvimento da equipe ser uma parte essencial da política de segurança da empresa, gastos em treinamento de segurança da informação ainda são bem menores do que os investimentos feitos em outras áreas. As implicações desta ausência de investimento podem trazer sérias repercussões. Desta forma, o treinamento não deve nunca ser negligenciado, não apenas porque a maioria das atividades criminosas na internet depende da exploração das fraquezas na tecnologia de segurança, mas também porque elas têm foco nos usuários e isso inclui a equipe de funcionários. É imperativo, então, que a empresa não pise na bola quando a média de ameaças à segurança sobe e treine seus usuários sobre o que eles podem esperar.
Há vários sinais positivos, entretanto, que os negócios estão levando a segurança com muita seriedade. Tome, por exemplo, o recente ataque do vírus Heartbleed. As vulnerabilidades foram sanadas com uma razoável rapidez e esperamos que isso aponte o tipo de resposta que podemos esperar da indústria como um todo no futuro. Mas, infelizmente, não é preciso pesquisar muito para encontrar sites que ainda são suscetíveis ao vírus Heartbleed e que podem, potencialmente, abastecer os criminosos com informações sensíveis. Esse episódio mostrou como são fracas as senhas estáticas. A falha permite aos hackers capturarem as credenciais de acesso do usuário, as quais podem então ser usadas por um número ilimitado de vezes a qualquer momento. Com a solução de senha de uso único (one-time password – OTP), mesmo se um hacker captura uma senha, ela expira e não tem qualquer utilidade após meio minuto. É muito mais segura.
Encriptação – O elo chave na cadeia de segurança
Assim como as empresas de segurança oferecem seus produtos, também é importante a segurança dos novos modelos, como a computação na nuvem. A confiança foi um pouco abalada quando, no ano passado, veio à tona que as agências de inteligência dos Estados Unidos estavam acessando dados corporativos sem permissão. Isso levanta uma questão sobre quanto da segurança deve ser dedicado às tecnologias dominantes de encriptação. Em resumo, se uma empresa não encripta suas informações sensíveis, é melhor que ela as exponha em um outdoor no centro da cidade durante a hora do rush.
Enquanto empresas colocam sua confiança nas promessas feitas por fornecedores terceirizados de serviços e por provedores na nuvem para cuidar de sua segurança como prioridade, tornou-se comum ler na imprensa matérias de firmas que pisaram na bola da segurança e que, ao se comportarem assim, negligenciaram e falharam em prevenir os hackers de acessar e expor os dados de usuários inocentes.
Se você não quer que isso aconteça com seus dados, é fundamental que eles sejam encriptados de forma segura. É a linha final de proteção, simplesmente porque se o hacker passar por todas as outras defesas, mas seus dados estão encriptados, eles não conseguirão nada. Embora não devesse ser difícil convencer as empresas da necessidade da encriptação, é um desafio fazer com que elas contratem esse recurso. Mas não acredite que a encriptação é a solução por si só em 2014. Ela precisa trabalhar em conjunto com um arsenal múltiplo e confiável de defesa, tendo como pano de fundo uma política robusta e reforçada de segurança, para gerenciar de forma efetiva o nível de risco dentro de uma organização.
Jan Valcke, presidente e chief operational officer da Vasco Data Security
