De briefings militares a vestiários de atletas, qualquer equipe usa a
mesma estratégia: conheça seu inimigo. Preveja seus movimentos. Faça o
que eles acham que você não fará.
Diante do seu principal oponente – os hackers – os gerentes de TI
devem adotar a mesma abordagem. Anos de experiência ensinaram generais e
treinadores a enganar seus adversários, mas, em uma indústria
relativamente nova, de que maneira um gerente de TI pode começar a
compreender, prever e evitar os ataques de um hacker?
Conheça o processo - Como você se atacaria?
Uma
pesquisa** recente revelou que 19% das empresas já foram vítimas de uma
Ameaça Persistente Avançada, e 37% admitem que seus funcionários já
perderam dados da empresa. Com números assim, é hora da verdade. Se você
precisasse roubar seus próprios dados, o que você faria?
Primeiro,
se coloque na posição de alvo. O que você tem que vale a pena ser
roubado? Obviamente, um fabricante de equipamentos de defesa militar é
um alvo muito mais desejado do que uma loja virtual de sapatos, mas nem
tudo é dinheiro. Qualquer coisa que possa ser monetizada, de números de
cartão de crédito até listas de clientes, é uma commodity de valor para
um hacker.
A propriedade intelectual é outro grande alvo. Pense
em suas metas de vendas ou nos planos de marketing para 2012 e em quanto
a concorrência pagaria por esses documentos confidenciais. Dados de
pesquisa? Ideias de desenvolvimento de produtos novos? Resultados
financeiros? Aplicações para um patente? A lista é interminável e todos
esses itens têm algum valor para alguém, em algum lugar.
O outro
aspecto de “conhecer o processo” é conhecer o inimigo. Quais são suas
preferências? Quais técnicas eles já usaram? Assim como o treinador de
um time estuda as estratégias do adversário durante seus últimos jogos,
um gerente de TI deve saber como os hackers se preparam, quais recursos
têm ao seu dispor e, mais importante, as últimas tendências. Sabe-se que
a “superfície de ataque” – a variedade de possíveis pontos de entrada
em redes corporativas – cresceu bastante, e isso aumenta com a compra de
cada smartphone, tablet e laptop. Além disso, em anos passados um
malware sofisticado demorava anos antes de chegar ao mercado negro
comum. Agora, é um processo de apenas algumas semanas. Por cerca de US$
25, você pode comprar kits instantâneos e verificados para driblar as
defesas tradicionais. É claro que as empresas precisam se armar com
soluções de segurança de última geração para evitar que seus dados caiam
nas mãos erradas.
Conheça seus pontos fracos - Tecnologia, pessoas e cultura
É
uma tarefa fácil descobrir seus pontos fracos: eles sempre estão perto
do Caminho da Menor Resistência, ou seja, a via de acesso escolhido pelo
hacker é a de menor custo, menor risco, ou menor tempo.
Os
sistemas atuais normalmente estão localizados em diversos locais e são
acessados por milhares de pessoas através de uma variedade inacreditável
de dispositivos. Segundo Dan Hubbard, diretor de tecnologia da
Websense, qualquer coisa exposta à Internet é vulnerável,** “Uma coisa
que sabemos pela explosão de brechas, pela expansão do malware avançado e
pela propagação dos kits de exploração é que o fator comum é, muito
simplesmente, a Internet. Com a adoção em grande escala de tecnologias
móveis, sociais e de nuvem, a turma do mal vai agir rapidamente para
aproveitar desse novo cenário”. Se a Internet é um ponto fraco, a
próxima pergunta é qual o nível de integração dos seus sistemas? Uma vez
‘dentro’, uma pessoa pode passear livremente por seus bancos de dados, e
você monitora, registra e verifica os dados manuseados?
A Wi-Fi
pública deve ser considerada outro ponto fraco quando o funcionário usa
seu tablet ou smartphone em uma cafeteria ou quarto de hotel. Em um
ambiente relaxado, possivelmente fora do horário de expediente, será que
as pessoas ainda se preocupam com a segurança? Será que os toques do
teclado e as senhas podem ser interceptados ou, mais simples ainda,
vistos da mesa ao lado?
Mesmo depois de muitos anos ensinando
noções de informática aos funcionários e fornecedores, as pessoas sempre
serão um elo fraco em qualquer sistema. Elas levam materiais para casa,
esquecem pendrives no trem, deixam suas telas ativas para qualquer
pessoa ver, conversam sobre assuntos confidenciais em redes sociais e
são vulneráveis à coerção, ganância… e economizam com a verdade. Apenas
um em cada cem funcionários admite** ter publicado informações
confidenciais em uma rede social, mas 20% dos gerentes de TI dizem que
isso já aconteceu em suas empresas. Um entre 50 funcionários revela que
adicionou malware à rede – mas 35% dos gerentes de TI já viram isso
acontecer.
A mudança da cultura social é uma fraqueza
relativamente recente que merece a atenção do gerente de TI. Com o
volume crescente de e-mails, redes sociais e dispositivos pessoais
portáteis, o número de pessoas que comunicam, compartilham informações e
organizam suas vidas disparou, e a divisa entre a vida pessoal e
profissional é cada vez menos nítida. Outra previsão para 2012* diz que
sua identidade em redes sociais pode ser mais valiosa para o hacker do
que seus cartões de crédito. Qualquer rede social é baseada em
confiança, e se alguém com más intenções rouba seu login, existe uma
grande chance dele manipular seus amigos. O primeiro método de ataque
combinado adotado na maioria dos ataques avançados será de tentar
atingir o alvo através dos seus “amigos” em redes sociais, dispositivos
móveis e da nuvem.
Em 2012, os Jogos Olímpicos de Londres e as
eleições presidenciais nos Estados Unidos são eventos que os hackers
devem usar para atacar usuários nos lugares onde se sentem mais a
vontade, como sites criados para fingir de serviços de notícias, feeds
do Twitter, posts do Facebook, atualizações do LinkedIn, comentários do
YouTube e conversas em fóruns. “Durante o próximo ano, muitos dos
ataques contra empresas e governos provavelmente não dependerão da
complexidade do código”, diz Dan Hubbard, “mas da habilidade do hacker
de convencer vítimas desatentas a clicar em seus links”.
Saiba o que você precisa fazer - Investir e treinar
A
dificuldade de corrigir pontos fracos está no nome. Eles são pontos –
não falhas básicas do projeto ou da operação. Mas, algumas das soluções
mais eficientes são as mais óbvias e simples.
Senhas mais fortes
ainda são uma solução muito fácil para fortalecer a segurança. Senhas
mais robustas requerem praticamente nenhum investimento, mas você deve
investir bastante em treinamento e educação para ajudar o departamento
de TI a resolver os problemas que acompanham a adoção de senhas mais
complexas e que são alterada com maior frequência, de uma estratégia
para sair de todas as sessões com um único logout e até sistemas que
exigem a autenticação dupla. Com isso a segurança será mais forte, mas
você deve se preparar para lidar com usuários irritados e muitas
chamadas ao helpdesk!
Em alguns casos esquecemos da necessidade
de manter um sistema básico de segurança física para proteger os
escritórios e data centers. Por exemplo, se um visitante pode acessar
áreas de hotdesk onde existem conexões de rede abertas, essa pessoa
consegue baixar dados para um pendrive rapidamente? Não é preciso
hackear, fraudar ou ludibriar a segurança se os dados procurados podem
ser facilmente roubados em um canto menos frequentado do escritório.
Uma
rotina de implementar atualizações e patches deve ser uma peça chave de
qualquer sistema de segurança. Esse processo pode ser classificado como
manutenção, mas quando uma falha existe, ela é um ponto fraco pronto
para ser explorado. E em casos de crise, a sua empresa mantém uma CERT
(Equipe de Assistência Emergencial de TI) de prontidão ou você tem
acesso à sua experiência?
As previsões da Websense para 2012*
revelam que, antigamente, as defesas tradicionais se concentravam em
manter o cybercrime e o malware longe da empresa, mas hoje, as empresas
devem implementar sistemas para inspecionar dados saindo da rede e focar
em adaptar suas tecnologias de prevenção para conter qualquer ataque,
cortando as comunicações e mitigando a perda de dados após uma infecção
inicial. De acordo com a pesquisa**, a maioria dos gerentes de TI já
está implementando diversas mudanças: mais de 40% voltaram suas atenções
para dentro da empresa para testar e avaliar as políticas existentes,
implementar soluções novas e aplicar novas restrições aos usuários.
Afinal,
vencer o hacker significa saber onde seus dados mais valiosos estão
localizados, quando esses dados são manipulados e quem está os
manipulando. A pesquisa revela a aceitação dessa abordagem, já que quase
um quarto dos gerentes de TI começou ou agilizou um projeto completo de
DLP. **
Lembre-se da terceira ponta da estratégia principal –
“Faça o que eles acham que você não vai fazer?” Os hackers são
acostumados a explorar as fraquezas e as inconsistências, ou seja, uma
solução integrada de DLP pode ser exatamente o que eles menos esperam!
Fonte:
http://www.itportal.com.br/blog/seguranca/35-seguranca/186-pense-como-um-hacker
Nenhum comentário:
Postar um comentário