Histórias como as do filme Prenda-me Se For Capaz (em que o vigarista Frank Abagnale enganou todos ao seu redor) faz muita gente querer ser tão inteligente e confiante quanto o protagonista, que usou seu charme e inteligência para convencer todo mundo de praticamente qualquer coisa.
Após um grande vazamento de dados, é natural procurar uma história semelhante sobre como um hacker usou habilidades e truques para enganar sua vítima a “ser convidado a entrar”. Vamos supor que o hacker ligue para a vítima e use um pretexto convincente. Algo como: “Oi, aqui é o Paulo do TI, trabalho com a Marina... Você conhece a Marina? Lamento que você esteja recebendo todas essas notificações no seu telefone às 3 da manhã. Informe seu código PIN que eu resolvo para você.”
Embora essa cena possa ser de um filme, hoje em dia os verdadeiros motivos dos vazamentos nunca estão ligados a uma decisão ruim isolada, mas às muitas escolhas feitas bem antes de um administrador de rede sonolento receber uma ligação de um invasor.
Neste artigo, explico como as empresas podem criar resiliência contra qualquer ataque ou falha, para evitar que um momento de fraqueza humana leve a uma catástrofe.
Em um vazamento recente em uma grande empresa de transporte por aplicativo, o hacker invadiu e conseguiu acessar dados dos aplicativos SaaS da empresa e da infraestrutura de nuvem na AWS e na Google Cloud Platform.
Vemos hackers direcionando dados usando as mesmas técnicas repetidamente. Eles examinam o ambiente em busca de pontos fracos: dados que não estão bloqueados e contas com senhas fracas e/ou armazenadas em formato de texto legível. Durante esse vazamento recente, o hacker encontrou uma senha que o deixou entrar no sistema de armazenamento de senhas, o que lhe deu acesso a mais dados em outras partes da infraestrutura.
Os dados estão onde está o dinheiro: os invasores sabem que dependemos de sua disponibilidade e sigilo. Essas informações também são uma fonte de risco e é por isso que devemos nos concentrar em protegê-las. Após um vazamento, os aplicativos SaaS não foram necessariamente afetados e as infraestruturas de nuvem podem ser recriadas, mas é impossível reverter a perda no caso dos dados comprometidos. É muito mais fácil manter a pasta de dente no tubo do que colocá-la de volta.
Muitos executivos podem se perguntar: “A nuvem não deveria nos manter em segurança?”
Na nuvem, é responsabilidade de outra pessoa garantir a segurança dos aplicativos. Outra pessoa é responsável por corrigir o aplicativo e suas dependências, como bancos de dados e sistemas operacionais. Outra pessoa ainda é responsável pela rede, interrupções, HVAC, extinção de incêndios e travamento de portas.
Com todas essas preocupações de segurança nas mãos do provedor de nuvem, tudo o que resta é garantir que apenas as pessoas certas possam acessar os dados apropriados e que elas acessem apenas o que precisam e, em seguida, verificar se essas pessoas estão usando os dados para a finalidade pretendida. Isso deve ser fácil, certo?
Não é, e o processo é mais vulnerável do que você imagina.
Minha empresa, Varonis, analisou 15 petabytes de dados na nuvem em 717 empresas de vários setores, incluindo serviços financeiros, saúde e governo. Quatro em cada cinco empresas (81%) deixavam dados confidenciais expostos — a todos os funcionários ou a toda a internet.
Uma empresa média tem aproximadamente 20.000 pastas e mais de 150.000 arquivos em acesso público. O que esses arquivos e pastas contêm? Mais de 100.000 informações confidenciais compartilhadas publicamente em aplicativos SaaS. Somente no Microsoft 365, a empresa média tinha quase 50.000 registros confidenciais compartilhados publicamente.
A maior parte do risco atual ocorre porque a nuvem facilita o compartilhamento de dados pelos usuários finais sem ajuda ou orientação do TI. Eles podem compartilhar dados publicamente e com colegas de trabalho clicando em “Compartilhar”, é simples assim! Descobrimos que os funcionários criam dezenas de milhares de links de compartilhamento no Microsoft 365. Na maioria das vezes, são links que dão acesso a todos os funcionários. Com tantos compartilhamentos, a empresa média agora tem mais de 40 milhões de objetos exclusivamente autorizados e muitas ameaças que nunca serão detectadas ou verificadas.
Quando se trata do básico, apesar dos benefícios de segurança bem conhecidos da autenticação multifator (MFA), a empresa média tem milhares de contas, especialmente contas administrativas, que não precisam disso.
Contas com muito acesso são bombas-relógio para segurança de dados, e seu raio de exposição — o risco de danos após um comprometimento — é gigantesco. Quando uma única conta ou dispositivo é comprometido, quanto dano isso pode causar e quanto dano você pode conter?
Aqui estão quatro etapas que você pode seguir para garantir que, quando um de seus funcionários for vítima de um hacker inteligente, você possa dificultar um pouco as coisas — ele terá que trabalhar muito mais para comprometer seus dados críticos:
Este artigo foi publicado pela primeira vez na Forbes.