Segurança de dados – Um panorama sobre a questão nas empresas

Autor: Telium Networks
Publicação: 14/09/2018 às 02:12

Quando um funcionário recebe um e-mail do príncipe de algum país qualquer solicitando, em inglês, o depósito inicial de uma quantia “simbólica” como chave para o start de uma parceria milionária de negócios, é muito fácil para ele saber o que fazer, já que é consenso que esse tipo de mensagem invariavelmente traz um “presentinho de grego” no anexo (o qual pode comprometer a segurança de dados de toda a infraestrutura de TI da organização).

Mas e quando o e-mail recebido é de um fornecedor real, solicitando apenas uma mudança na conta-corrente cadastrada, para fins de recebimento do pagamento referente ao lote de materiais adquiridos na semana passada?

Sim, as ações dos cibercriminosos estão cada vez mais complexas e, enquanto alguns gerentes de TI ainda subestimam ameaças (lidando com segurança da informação apenas como sinônimo de divulgação de cartilhas de alertas), centenas de empresas são dizimadas mensalmente com as arrojadas ações de criminosos virtuais.

Será que sua empresa está alinhada com as principais tendências em segurança de dados? Se você não sabe o que é ou não se preparou para RoT e ataques DDoS, sua empresa está correndo riscos! As próximas linhas jogarão luz sobre essas e outras questões.

Panorama da segurança de dados no mundo corporativo

O aumento das plataformas de interação com sistemas/documentos digitais amplia também o rol de invasões que sua empresa pode sofrer. Os ciberataques ocorridos em escala mundial, em maio de 2017, afetando pessoas físicas e empresas de 74 países, são exemplos recentes de que violação de sistemas não é mais assunto apenas para grandes corporações.

Nesse episódio de sequestro digital do Wanna Cry, por exemplo, organizações de todos os portes e segmentos foram impactadas. Mas essa investida sem precedentes na história dos crimes virtuais parece ter sido apenas o início de uma onda de ações sincronizadas iminentes.

Em junho de 2017, um novo ransomware voltou a afetar computadores na Europa. Dessa vez, instituições financeiras, agências oficiais, sistemas aeroportuários e até o metrô de nações como Ucrânia e Rússia sofreram com sequestro de informações, em uma estratégia similar aos ataques de maio, em que os criminosos exigiam o pagamento de uma quantia convertida em bitcoins para liberar o acesso aos dados da vítima.

No Brasil, a frequência de intrusões tem sido até maior do que a média mundial. Você sabia, por exemplo, que o Brasil foi o 4º país do mundo que mais sofreu ataques hacker em 2016? Foram 42,4 milhões de pessoas afetadas por cibercriminosos, com prejuízos totais de R$ 32,1 milhões.

Tomados individualmente, aliás, os exemplos de invasões no Brasil são abundantes: ataques DDoS (Negação Distribuída de Serviços) derrubando sites de bancoscorretoras de valores sofrendo com vazamento de dados dos clientes, varejistas tendo suas contas “varridas” de um dia para o outro.

Ocorre que, como as notícias divulgadas na imprensa referem-se quase sempre às grandes corporações, estimula-se no inconsciente coletivo a falsa ideia de que apenas os gigantes do mercado estão sujeitos a invasão de sistemas. Algo que, evidentemente, não procede. Muito pelo contrário:

  • 60% das violações de sistemas ocorrem contra as PMEs;

  • metade delas fecha em cerca de 6 meses após o ataque;

  • 44% dessas organizações não possuem recursos adequados em segurança de dados.

Não foi à toa que o “2017 Ponemon Cost of Data Breach Study” colocou o Brasil como o país com maior chance de sofrer violações de informações.

Os ciberataques tomam forma por meio das mais variadas táticas. Podem ocorrer pelo aproveitamento de alguma vulnerabilidade no sistema, por negligência humana (como no caso de um funcionário que receba um arquivo malicioso e, inadvertidamente, decida abri-lo) ou por meio de alterações complexas na rede de dados, como ataques de inundação UDP ou WLAN Scanners.

Segurança de dados como estratégia de negócios

Na mesma proporção em que os crimes digitais se tornam mais eficientes, as contramedidas tecnológicas se convertem também em uma obrigação a qualquer empresa que almeje se manter no mercado no longo prazo. Atuando sobre variadas vertentes, sistemas baseados em Big Data Analytics (como firewall gerenciado), por exemplo, cruzam milhares de dados no tráfego da rede, buscando identificar padrões suspeitos e evitar invasões. Invasões como a que se tornou famosa em 2015, no caso da pequena empresa de varejo em São João da Boa Vista (SP).

A loja teve o sistema invadido e perdeu diversas informações fundamentais para sua sobrevivência. Além dos dados removidos/alterados, os criminosos exigiram pagamento de US$ 3 mil para devolver as informações que restaram. A notícia ganhou repercussão nacional, levantando a discussão sobre a importância da segurança da informação como estratégia de negócios, mesmo nas pequenas e médias corporações.

Os dados são, para este século, tão importantes quanto foi o petróleo ao século XX. Dessa forma, é preciso protegê-los, posicionando segurança de dados na esfera estratégica das empresas. Aquisição de soluções de segurança em nuvem (como plataformas de endpoint), recursos de gerenciamento de dispositivos móveis e implementação de firewall inteligente são algumas medidas que devem ser trazidas para dentro das corporações, não mais como complemento, mas como parte integrante da estratégia de negócios.

Assim, da mesma forma que planejamento, consultorias, análises preditivas e inovações são discutidos na cúpula das empresas, tais elementos devem estar presentes também na pauta das reuniões diretivas, mas, dessa vez, para pensar a empresa em torno de sua segurança de dados.

Controles físicos/lógicos na segurança da informação e as atenções voltadas aos serviços de Cloud Computing

Controles físicos são barreiras que limitam o acesso à infraestrutura de TI, tais como sala-cofre para armazenamento de servidores, sistema de vigilância 24 horas, dispositivos contra “grampos” em linhas telefônicas etc.

Por sua vez, os controles lógicos são obstáculos eletrônicos para acesso aos dados armazenados nos sistemas e bancos de dados, como uso de assinatura eletrônica, encriptação, protocolos seguros, entre outras medidas. É da sincronia entre essas duas esferas de proteção que se origina uma estratégia de segurança de dados verdadeiramente eficiente.

Em uma era em que termos como Cloud Server, mobile, SaaS e IoT dominam a gestão da TI das organizações, é preciso investir em estruturas de proteção mais alinhadas com o novo cenário empresarial e que integrem os diversos aspectos físicos e lógicos da proteção de dados, incorporando Ciência de Dados e automatização da segurança por meio de recursos autônomos e adaptáveis. E a segurança na nuvem tem papel central nesse processo.

Um estudo do Gartner prevê que, em 2018, 25% do tráfego de dados corporativos fluirão dos dispositivos móveis diretamente para a nuvem, sem passar pelos controles de segurança internos da empresa. O problema é que, tomando emprestados os resultados de uma outra pesquisa, dessa vez da Cisco, 85% das aplicações corporativas em nuvem apresentam atualmente riscos graves à segurança de dados.

De fato, até alguns anos, proteger informações confidenciais era mais simples, uma vez que tudo era alocado em um centro de dados sob a tutela da organização. Entretanto, a descentralização das informações na atualidade faz da escolha do provedor de soluções em Cloud Computing ponto crucial na proteção da empresa, em todos os seus aspectos (físicos e lógicos).

A Santíssima Trindade da segurança de dados: confidencialidade, integridade e disponibilidade

Basta uma rápida leitura das boas práticas ITIL para perceber que os 3 principais critérios de segurança da informação “confidencialidade, integridade e disponibilidade” formam o pilar de uma infraestrutura de TI robusta, provida de um conjunto requisitos, processos e controles organizados com o objetivo de mitigar e gerenciar os riscos da TI de uma empresa:

Confidencialidade

Nos termos do pesquisador Rainer Baumann (BRAUMANN, CAVIN e SCHMID, 2011), confidencialidade significa ter informações absolutamente protegidas contra acessos não autorizados, ou seja, apenas os que possuem privilégios necessários podem visualizar dados armazenados, processados ou em trânsito. O conceito pode parecer óbvio, mas as possibilidades de violação dessa premissa, certamente não são.

A violação da confidencialidade pode ocorrer por meio de um oceano de estratégias criminosas que se renovam diariamente, passando pela simples engenharia social (em que crackers fazem uso da persuasão para obter IDs e senhas de acesso), até métodos complexos de captura de tráfego.

Em uma rede Wi-Fi, por exemplo, os ataques podem ocorrer por meio de técnicas diversas. Vale a pena citar apenas algumas delas:

WLAN Scanners

Conhecido também como ataque de vigilância, ocorre quando um cracker capta os sinais transmitidos usando um dispositivo que opere na mesma frequência do ponto de acesso. Trata-se de uma fase de rastreamento inicial que precede o ataque.

Para você ter uma ideia do que estamos falando, alguns scanners desfrutam da capacidade de localização do Access Point (AP) por meio de um simples GPS.

Man in the Middle

Em uma das vertentes desse ataque à segurança de dados empresariais, ocorre o sequestro de uma conexão TCP. Nesse, que é também chamado de “ataque de penetra”, uma máquina B pensa que envia pacotes para A, quando, na verdade, envia para X.

O mesmo acontece com as transferências de B para A, que também passam por X. Ou seja, o criminoso fica entre o cliente e o servidor observando os dados confidenciais.

Há dois momentos de fragilidade na rede em que esse tipo de ataque costuma tomar forma: um é durante o handshake (começo da comunicação entre duas máquinas); o outro é quando ocorre uma falha no estado “desalinhado” da comunicação TCP, oportunidade em que um cracker pode lançar pacotes forjados na rede, indicando números sequenciais corretos.

Dessa forma, é possível controlar a conexão e espionar todos os dados que estejam circulando entre o cliente e o AP.

IP Spoofing

Trata-se da falsificação de endereços IP, o que faz com que um pacote seja emitido com o endereço de outra máquina. Essa estratégia criminosa, que afeta pessoas físicas e empresas, pode ser usada para criar milhares de usuários dentro de um sistema, ocasionando aumento do consumo de banda.

Mas são nos serviços baseados no protocolo UDP que ocorrem os maiores riscos desse tipo de ataque. Isso porque diversos serviços referenciados nesse protocolo oferecem acesso apenas para determinadas máquinas, de acordo com configuração feita pelo administrador (como é o caso do serviço NFS, que trata do compartilhamento de discos remotos).

O IP Spoofing permite que um cibercriminoso envie um pacote UDP (como se este fosse originário de um dispositivo cliente autorizado) diretamente a uma máquina NFS. O IP falsificado “engana” a máquina servidora, que atende prontamente todas as solicitações.

A partir de então, é possível remover, alterar ou extraviar dados de terceiros, causando prejuízos imensos, que podem custar até a sobrevivência da empresa. Vale a pena lembrar que vulnerabilidades dessa natureza não podem ser combatidas sem a existência de um firewall gerenciado na rede corporativa.

Integridade

Integridade se refere à exatidão dos ativos da informação. Trata-se da propriedade dos dados que não sofreram nenhuma alteração entre os períodos de transmissão de recepção. Existem dois tipos de integridade, a integridade de fonte (que assegura que a informação, de fato, vem do remetente indicado) e a integridade de dados (confiança de que seu conteúdo não foi manipulado).

Como muitos funcionários colocam a comodidade acima da segurança de dados, as senhas fracas estão por todas as partes nas organizações e não faltam ações de hackers especializados em quebra de senhas (que fazem uso, inclusive, de programas de combinações de caracteres, em busca de falhas para ingressar em sistemas/bancos de dados).

Uma vez dentro dos sistemas, é possível alterar informações, modificar contas cadastradas para recebimento de valores, entre outras iniciativas de violação na integridade dos dados.

Disponibilidade

Trata-se da propriedade da informação de estar acessível sempre que for requisitada por uma entidade autorizada. Os ataques DDOs são exemplos de ações maliciosas com o objetivo de eliminar a disponibilidade dos dados de um sistema.

Em um estudo recente sobre o tema, encaminhado pela Veeam, revelou-se que as empresas brasileiras enfrentam, em média, 14 paradas de sistemas por ano, e esses episódios de downtime resultam em prejuízos anuais de US$ 18 milhões.

Em uma fiscalização surpresa, a indisponibilidade dos Demonstrativos de Resultados do Exercício pode acarretar multas pesadas do Fisco; em uma Black Friday, um varejista com site fora do ar perde receita, clientes e credibilidade; o mesmo se dá com uma corretora de valores, cuja indisponibilidade de seu Home Broker, ainda que por alguns segundos, certamente gerará aumento nas taxas de churn (e, em alguns casos, até ações judiciais).

Erros na segurança de dados

A comunidade acadêmica é farta em levantamentos que mostram que os erros dos funcionários nas organizações são tão ou até mais perigosos do que os ataques hackers. Um estudo recente, feito com 400 profissionais de TI, revelou que 24% dos casos de perda de dados envolviam falha humana, como sobrescrever arquivos, danificar unidades removíveis, criar senhas óbvias ou deixá-las expostas à vista de terceiros.

Outra falha comum nas empresas é ter sistemas sem qualquer mecanismo de hierarquia de privilégios para acesso às informações confidenciais. Ou seja, as aplicações possuem controle de acesso para impedir a visualização por terceiros; no entanto, os colaboradores que desfrutam do acesso não sofrem restrições quanto ao limite dos dados a serem visualizados.

Além dos dois motivos acima descritos, a não existência de política de gestão de riscos, a ausência do hábito de realização de backups e a falta de registro (logs) de ações realizadas também prejudicam uma eventual investigação sobre uma ação indevida.

Principais mudanças que podem impactar a área de segurança de dados nos próximos anos

1- Ransomware das Coisas (ROT)

De acordo com dados do Kaspersky, mais de 750 mil computadores sofreram infecções de ransomware em 2016. Para o próximo ano, com o desenvolvimento de novos recursos que interconectarão sistemas e dispositivos, estima-se que as ações em massa de sequestro de dados não objetivem mais bloquear apenas computadores pessoais, mas também quaisquer dispositivos conectados à web, como automóveis ou equipamentos residenciais inteligentes.

Para evitar esse tipo de bloqueio e os consequentes pedidos de resgate, é preciso investir em soluções de criptografia, autenticação inteligente e recursos de proteção baseados em Big Data Analytics.

2- Dispositivos móveis como foco dos criminosos digitais

O mundo mobile gerou novas formas de interação tecnológica, como a realidade virtual. Entretanto, se o universo de smartphones/tablets e suas funcionalidades crescem em ritmo exponencial, o mesmo não se pode dizer do cuidado de seus usuários com a segurança de dados móveis.

Com muitos dados sensíveis trafegando por meio de gadgets, a possibilidade de uma explosão de ataques a dispositivos móveis é iminente, o que exige proteção tanto na rede quanto nos aparelhos conectados aos sistemas empresariais.

3- Aumento da violação de dados na área de Internet das Coisas (IoT)

As empresas do setor de saúde vêm se tornando uma das preferidas dos cibercriminosos, devido à imensa quantidade de dados críticos de pacientes em sistemas hospitalares (como informações de cartões de crédito), bem como ao atraso do segmento na implementação de soluções modernas em segurança da informação. Prova disso é que, além dos recentes ataques aos sistemas de saúde do Reino Unido, as instituições brasileiras do setor também vêm sendo vítimas recorrentes de ataques hackers.

Com a proliferação dos dispositivos vestíveis (wearables), a tendência é que haja elevação dessas invasões, tendo como alvo o conteúdo dos dados coletados nessas aplicações (objetivando bloqueio ou divulgação de dados para fins de extorsão, ameaça chamada atualmente de extorsionware).

4- Ataques de phishing e malwares cada vez mais verossímeis exigirão mudanças no comportamento de funcionários

Lembra que dissemos no início sobre a possibilidade de um invasor se passar por um fornecedor, usando dados reais para ludibriar funcionários? Pois bem, esse tipo de ação tende a se tornar a tônica dos ataques em sistemas empresariais, o que exigirá uma nova abordagem na interação via web.

5- Ataques DDoS usando largura de banda na escala Tbps

Em 2016, o volume de ataques DDoS cresceu em níveis assustadores e já há informações de ataques em que as requisições sucessivas utilizaram largura de banda na escala de Tbps, passando a exigir proteção especializada.

De acordo com especialistas no setor de segurança de dados, nos próximos anos, as ações maliciosas dessa natureza deverão adquirir intensidades ainda maiores, adotadas com o objetivo de deixar países inteiros offline.

Medidas preventivas e remediáveis

Um ataque cibernético pode eliminar a possibilidade de uma empresa se manter de portas abertas, com o bloqueio do acesso a informações importantes, alteração de dados contábeis, desvio de dinheiro e vazamento de informações estratégicas.

Além de paralisar as operações corporativas, uma invasão a sistemas costuma também afetar irreversivelmente a credibilidade da organização. Em meio a um oceano de novas ameaças lançadas diariamente, o segredo de uma boa estratégia de segurança de dados, atualmente, não é evitar o risco, mas estar devidamente preparado para a reagir aos ataques, gerenciando as ameaças. É o que especialistas em segurança chamam de “resiliência digital”. Algumas medidas preventivas e remediáveis para tornar sua infraestrutura de TI mais segura:

1- Manter um processo eficiente de classificação de dados: ainda na linha do gerenciamento como foco do sucesso em segurança da informação, é preciso que a empresa tenha capacidade de determinar quais os dados críticos para a continuidade do negócio, o que pode ser compartilhado e quem tem acesso a cada informação crítica. Esse mapeamento é essencial para formular uma política de segurança verdadeiramente eficiente.

2- Conhecer o tráfego da informação por meio de soluções em firewall gerenciado: o monitoramento do tráfego de dados não deve ficar a cargo de um firewall nativo (aqueles que já vem instalados nos computadores), uma vez que, preparado apenas para lidar com ameaças de âmbito residencial, essas ferramentas estáticas não estão preparadas para filtrar pacotes com a acurácia de uma solução gerenciada, que utiliza conceitos de Big Data Analytics para verificar eventuais ameaças de forma autônoma.

3- Não abrir mão do acesso à web via link dedicado: o não compartilhamento de banda com terceiros reduz significativamente as possibilidades de interceptação de dados, além de assegurar alta performance na conexão a seus sistemas críticos. Por incrível que pareça, muitas empresas ainda acessam suas informações sigilosas ou se conectam na internet por meio de banda larga, o que eleva exponencialmente as possibilidades de ataque cibernético.

4- Criptografar dados mais estratégicos e investir em tecnologias contra ameaças avançadas no endpoint (como as que utilizam conceitos de linguagem de máquina e Análise Preditiva) também são pontos fundamentais para dificultar o acesso de terceiros a dados confidenciais.

Dê uma olhada nos estudos mais recentes do Gartner e sinta-se desafiado a não ficar apreensivo: a mais importante consultoria mundial de TI estima que, até 2020, 60% dos negócios digitais serão vítimas de falhas graves em seus serviços, sobretudo, em função do preparo insuficiente das equipes de segurança de TI em gerenciar riscos digitais.

As invasões a sistemas tendem a se tornar mais próximas da realidade das pequenas e médias empresas (extremamente vulneráveis pela baixa cultura de investimento em segurança de dados), cujos prejuízos potenciais podem devastar setores inteiros.

Como se não bastasse, também há a estimativa que, já em 2018, 50% dos fabricantes de dispositivos móveis não mais estejam aptos a conter ameaças devido à autenticação fraca, entre outras fragilidades do mundo mobile.

Com criminosos digitais utilizando táticas cada vez mais sofisticadas para desviar dinheiro e interceptar informações estratégicas corporativas, é preciso investir em segurança da informação como parte integrante da estratégia de crescimento da empresa.

Dessa forma, soluções primárias como links dedicadosserviços de backup automatizados e firewall gerenciado, além de recursos mais complexos de segurança de dados, como uso da Inteligência Artificial (IA) e machine learning na análise dinâmica de riscos e detecção de anomalias, devem fazer parte do planejamento da empresa para adquirir vantagem competitiva no mercado, e não como um mero “problema da TI”.

Quer continuar se aprofundando em gestão de TI e segurança de dados? Então baixe o e-book “Saiba como migrar sua TI para a nuvem de forma eficaz”! Boa leitura e até a próxima!