O blog da segurança de dentro para fora Blog   /  

Quatro dicas essenciais sobre crimes cibernéticos para sua empresa

Quatro dicas essenciais sobre crimes cibernéticos para sua empresa

Conteúdos

    Histórias como as do filme Prenda-me Se For Capaz (em que o vigarista Frank Abagnale enganou todos ao seu redor) faz muita gente querer ser tão inteligente e confiante quanto o protagonista, que usou seu charme e inteligência para convencer todo mundo de praticamente qualquer coisa.

    Após um grande vazamento de dados, é natural procurar uma história semelhante sobre como um hacker usou habilidades e truques para enganar sua vítima a “ser convidado a entrar”. Vamos supor que o hacker ligue para a vítima e use um pretexto convincente. Algo como: “Oi, aqui é o Paulo do TI, trabalho com a Marina... Você conhece a Marina? Lamento que você esteja recebendo todas essas notificações no seu telefone às 3 da manhã. Informe seu código PIN que eu resolvo para você.” 

    Embora essa cena possa ser de um filme, hoje em dia os verdadeiros motivos dos vazamentos nunca estão ligados a uma decisão ruim isolada, mas às muitas escolhas feitas bem antes de um administrador de rede sonolento receber uma ligação de um invasor.

    Neste artigo, explico como as empresas podem criar resiliência contra qualquer ataque ou falha, para evitar que um momento de fraqueza humana leve a uma catástrofe.

    Como uma ação errada pode levar a um grande vazamento

    Em um vazamento recente em uma grande empresa de transporte por aplicativo, o hacker invadiu e conseguiu acessar dados dos aplicativos SaaS da empresa e da infraestrutura de nuvem na AWS e na Google Cloud Platform.

    Vemos hackers direcionando dados usando as mesmas técnicas repetidamente. Eles examinam o ambiente em busca de pontos fracos: dados que não estão bloqueados e contas com senhas fracas e/ou armazenadas em formato de texto legível. Durante esse vazamento recente, o hacker encontrou uma senha que o deixou entrar no sistema de armazenamento de senhas, o que lhe deu acesso a mais dados em outras partes da infraestrutura.

    Os dados estão onde está o dinheiro: os invasores sabem que dependemos de sua disponibilidade e sigilo. Essas informações também são uma fonte de risco e é por isso que devemos nos concentrar em protegê-las. Após um vazamento, os aplicativos SaaS não foram necessariamente afetados e as infraestruturas de nuvem podem ser recriadas, mas é impossível reverter a perda no caso dos dados comprometidos. É muito mais fácil manter a pasta de dente no tubo do que colocá-la de volta.

    Muitos executivos podem se perguntar: “A nuvem não deveria nos manter em segurança?”

    Na nuvem, é responsabilidade de outra pessoa garantir a segurança dos aplicativos. Outra pessoa é responsável por corrigir o aplicativo e suas dependências, como bancos de dados e sistemas operacionais. Outra pessoa ainda é responsável pela rede, interrupções, HVAC, extinção de incêndios e travamento de portas.

    Com todas essas preocupações de segurança nas mãos do provedor de nuvem, tudo o que resta é garantir que apenas as pessoas certas possam acessar os dados apropriados e que elas acessem apenas o que precisam e, em seguida, verificar se essas pessoas estão usando os dados para a finalidade pretendida. Isso deve ser fácil, certo?

    Não é, e o processo é mais vulnerável do que você imagina.

    Iluminando os riscos da nuvem

    Minha empresa, Varonis, analisou 15 petabytes de dados na nuvem em 717 empresas de vários setores, incluindo serviços financeiros, saúde e governo. Quatro em cada cinco empresas (81%) deixavam dados confidenciais expostos — a todos os funcionários ou a toda a internet.

    Uma empresa média tem aproximadamente 20.000 pastas e mais de 150.000 arquivos em acesso público. O que esses arquivos e pastas contêm? Mais de 100.000 informações confidenciais compartilhadas publicamente em aplicativos SaaS. Somente no Microsoft 365, a empresa média tinha quase 50.000 registros confidenciais compartilhados publicamente.

    A maior parte do risco atual ocorre porque a nuvem facilita o compartilhamento de dados pelos usuários finais sem ajuda ou orientação do TI. Eles podem compartilhar dados publicamente e com colegas de trabalho clicando em “Compartilhar”, é simples assim! Descobrimos que os funcionários criam dezenas de milhares de links de compartilhamento no Microsoft 365. Na maioria das vezes, são links que dão acesso a todos os funcionários. Com tantos compartilhamentos, a empresa média agora tem mais de 40 milhões de objetos exclusivamente autorizados e muitas ameaças que nunca serão detectadas ou verificadas.

    Quando se trata do básico, apesar dos benefícios de segurança bem conhecidos da autenticação multifator (MFA), a empresa média tem milhares de contas, especialmente contas administrativas, que não precisam disso.

    Dificultando o trabalho do hacker

    Contas com muito acesso são bombas-relógio para segurança de dados, e seu raio de exposição — o risco de danos após um comprometimento — é gigantesco. Quando uma única conta ou dispositivo é comprometido, quanto dano isso pode causar e quanto dano você pode conter?

    Aqui estão quatro etapas que você pode seguir para garantir que, quando um de seus funcionários for vítima de um hacker inteligente, você possa dificultar um pouco as coisas — ele terá que trabalhar muito mais para comprometer seus dados críticos:

    • Reduza o raio de exposição: minimize os danos que os invasores podem causar bloqueando o acesso aos seus dados críticos e garantindo que funcionários e prestadores de serviços tenham acesso apenas aos dados de que precisam para realizar seu trabalho.
    • Encontre seus dados críticos (e senhas): encontre e identifique dados críticos que representem risco. Verifique tudo o que os invasores estão procurando, incluindo dados pessoais, dados financeiros e senhas.
    • Adote o MFA: ao implementar a autenticação multifator (MFA), as empresas têm 99% menos chances de serem invadidas.
    • Monitore o que é mais importante: monitore como cada usuário e conta usa dados críticos e tenha atenção a qualquer atividade usual que possa indicar um possível ataque cibernético.
    A menor decisão ruim ou falha de segurança deve causar preocupação real. Toda empresa terá seu momento Frank Abagnale, mas se você seguir os passos descritos acima, todas essas práticas recomendadas de segurança limitarão seu raio de exposição e protegerão seus negócios. Essa história provavelmente será muito monótona para Hollywood, mas quando se trata de segurança, um dia chato é um ótimo dia.

    Este artigo foi publicado pela primeira vez na Forbes.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Twitter, Reddit, or Facebook.

    We're Varonis.

    We've been keeping the world's most valuable data out of enemy hands since 2005 with our market-leading data security platform.

    How it works