Segurança de TI: pense como um hacker

image_pdfimage_print

De briefings militares a vestiários de atletas, qualquer equipe usa a mesma estratégia: conheça seu inimigo. Preveja seus movimentos. Faça o que eles acham que você não fará. Diante do seu principal oponente – os hackers – os gerentes de TI devem adotar a mesma abordagem. Anos de experiência ensinaram generais e treinadores a enganar seus adversários, mas, em uma indústria relativamente nova, de que maneira um gerente de TI pode começar a compreender, prever e evitar os ataques de um hacker?

Conheça o processo: como você se atacaria?

Uma pesquisa recente revelou que 19% das empresas já foram vítimas de uma Ameaça Persistente Avançada, e 37% admitem que seus funcionários já perderam dados da empresa. Com números assim, é hora da verdade. Se você precisasse roubar seus próprios dados, o que você faria?

Primeiro, se coloque na posição de alvo. O que você tem que vale a pena ser roubado? Obviamente, um fabricante de equipamentos de defesa militar é um alvo muito mais desejado do que uma loja virtual de sapatos, mas nem tudo é dinheiro. Qualquer coisa que possa ser monetizada, de números de cartão de crédito até listas de clientes, é uma commodity de valor para um hacker.

A propriedade intelectual é outro grande alvo. Pense em suas metas de vendas ou nos planos de marketing para 2012 e em quanto a concorrência pagaria por esses documentos confidenciais. Dados de pesquisa? Ideias de desenvolvimento de produtos novos? Resultados financeiros? Aplicações para um patente? A lista é interminável e todos esses itens têm algum valor para alguém, em algum lugar.

O outro aspecto de “conhecer o processo” é conhecer o inimigo. Quais são suas preferências? Quais técnicas eles já usaram? Assim como o treinador de um time estuda as estratégias do adversário durante seus últimos jogos, um gerente de TI deve saber como os hackers se preparam, quais recursos têm ao seu dispor e, mais importante, as últimas tendências. Sabe-se que a “superfície de ataque” – a variedade de possíveis pontos de entrada em redes corporativas – cresceu bastante, e isso aumenta com a compra de cada smartphone, tablet e laptop. Além disso, em anos passados um malware sofisticado demorava anos antes de chegar ao mercado negro comum. Agora, é um processo de apenas algumas semanas. Por cerca de US$ 25, você pode comprar kits instantâneos e verificados para driblar as defesas tradicionais. É claro que as empresas precisam se armar com soluções de segurança de última geração para evitar que seus dados caiam nas mãos erradas.

2. Conheça seus pontos fracos: tecnologia, pessoas e cultura

É uma tarefa fácil descobrir seus pontos fracos: eles sempre estão perto do Caminho da Menor Resistência, ou seja, a via de acesso escolhido pelo hacker é a de menor custo, menor risco, ou menor tempo.

Os sistemas atuais normalmente estão localizados em diversos locais e são acessados por milhares de pessoas através de uma variedade inacreditável de dispositivos. Segundo Dan Hubbard, diretor de tecnologia da Websense, qualquer coisa exposta à Internet é vulnerável,** “Uma coisa que sabemos pela explosão de brechas, pela expansão do malware avançado e pela propagação dos kits de exploração é que o fator comum é, muito simplesmente, a Internet. Com a adoção em grande escala de tecnologias móveis, sociais e de nuvem, a turma do mal vai agir rapidamente para aproveitar desse novo cenário”. Se a Internet é um ponto fraco, a próxima pergunta é qual o nível de integração dos seus sistemas? Uma vez ‘dentro’, uma pessoa pode passear livremente por seus bancos de dados, e você monitora, registra e verifica os dados manuseados?

A Wi-fi pública deve ser considerada outro ponto fraco quando o funcionário usa seu tablet ou smartphone em uma cafeteria ou quarto de hotel. Em um ambiente relaxado, possivelmente fora do horário de expediente, será que as pessoas ainda se preocupam com a segurança? Será que os toques do teclado e as senhas podem ser interceptados ou, mais simples ainda, vistos da mesa ao lado?

Mesmo depois de muitos anos ensinando noções de informática aos funcionários e fornecedores, as pessoas sempre serão um elo fraco em qualquer sistema. Elas levam materiais para casa, esquecem pendrives no trem, deixam suas telas ativas para qualquer pessoa ver, conversam sobre assuntos confidenciais em redes sociais e são vulneráveis à coerção, ganância… e economizam com a verdade. Apenas um em cada cem funcionários admite** ter publicado informações confidenciais em uma rede social, mas 20% dos gerentes de TI dizem que isso já aconteceu em suas empresas. Um entre 50 funcionários revela que adicionou malware à rede – mas 35% dos gerentes de TI já viram isso acontecer.

A mudança da cultura social é uma fraqueza relativamente recente que merece a atenção do gerente de TI. Com o volume crescente de e-mails, redes sociais e dispositivos pessoais portáteis, o número de pessoas que comunicam, compartilham informações e organizam suas vidas disparou, e a divisa entre a vida pessoal e profissional é cada vez menos nítida. Outra previsão para 2012* diz que sua identidade em redes sociais pode ser mais valiosa para o hacker do que seus cartões de crédito. Qualquer rede social é baseada em confiança, e se alguém com más intenções rouba seu login, existe uma grande chance dele manipular seus amigos. O primeiro método de ataque combinado adotado na maioria dos ataques avançados será de tentar atingir o alvo através dos seus “amigos” em redes sociais, dispositivos móveis e da nuvem.

Em 2012, os Jogos Olímpicos de Londres e as eleições presidenciais nos Estados Unidos são eventos que os hackers devem usar para atacar usuários nos lugares onde se sentem mais a vontade, como sites criados para fingir de serviços de notícias, feeds do Twitter, posts do Facebook, atualizações do LinkedIn, comentários do YouTube e conversas em fóruns. “Durante o próximo ano, muitos dos ataques contra empresas e governos provavelmente não dependerão da complexidade do código”, diz Dan Hubbard, “mas da habilidade do hacker de convencer vítimas desatentas a clicar em seus links”.

3. Saiba o que você precisa fazer: investir e treinar

A dificuldade de corrigir pontos fracos está no nome. Eles são pontos – não falhas básicas do projeto ou da operação. Mas, algumas das soluções mais eficientes são as mais óbvias e simples.

Senhas mais fortes ainda são uma solução muito fácil para fortalecer a segurança. Senhas mais robustas requerem praticamente nenhum investimento, mas você deve investir bastante em treinamento e educação para ajudar o departamento de TI a resolver os problemas que acompanham a adoção de senhas mais complexas e que são alterada com maior frequência, de uma estratégia para sair de todas as sessões com um único logout e até sistemas que exigem a autenticação dupla. Com isso a segurança será mais forte, mas você deve se preparar para lidar com usuários irritados e muitas chamadas ao helpdesk!

Em alguns casos esquecemos da necessidade de manter um sistema básico de segurança física para proteger os escritórios e data centers. Por exemplo, se um visitante pode acessar áreas de hotdesk onde existem conexões de rede abertas, essa pessoa consegue baixar dados para um pendrive rapidamente? Não é preciso hackear, fraudar ou ludibriar a segurança se os dados procurados podem ser facilmente roubados em um canto menos frequentado do escritório.

Uma rotina de implementar atualizações e patches deve ser uma peça chave de qualquer sistema de segurança. Esse processo pode ser classificado como manutenção, mas quando uma falha existe, ela é um ponto fraco pronto para ser explorado. E em casos de crise, a sua empresa mantém uma CERT (Equipe de Assistência Emergencial de TI) de prontidão ou você tem acesso à sua experiência.

As previsões da Websense para 2012 revelam que, antigamente, as defesas tradicionais se concentravam em manter o cibercrime e o malware longe da empresa, mas hoje, as empresas devem implementar sistemas para inspecionar dados saindo da rede e focar em adaptar suas tecnologias de prevenção para conter qualquer ataque, cortando as comunicações e mitigando a perda de dados após uma infecção inicial. De acordo com a pesquisa, a maioria dos gerentes de TI já está implementando diversas mudanças: mais de 40% voltaram suas atenções para dentro da empresa para testar e avaliar as políticas existentes, implementar soluções novas e aplicar novas restrições aos usuários.

Afinal, vencer o hacker significa saber onde seus dados mais valiosos estão localizados, quando esses dados são manipulados e quem está os manipulando. A pesquisa revela a aceitação dessa abordagem, já que quase um quarto dos gerentes de TI começou ou agilizou um projeto completo de DLP.

Lembre-se da terceira ponta da estratégia principal – “Faça o que eles acham que você não vai fazer?” Os hackers são acostumados a explorar as fraquezas e as inconsistências, ou seja, uma solução integrada de DLP pode ser exatamente o que eles menos esperam!

* Carl Leonard é gerente Sênior do Websense Security Labs

Fonte: IT Web

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Tenho interesse por todas as áreas da informática, mas em especial em Gestão, Segurança da Informação, Ethical Hacking e Perícia Forense. Sempre disposto a receber sugestões de assuntos para criar uma postagem.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!