O custo de uma violação de dados para uma empresa pode ser enorme, tanto diretamente, como resultado de ações legais e regulamentares, como indiretamente, através da perda de reputação e de clientes. Todos os CISO estão certamente conscientes disto e, por isso, não é surpresa que as grandes empresas sejam as mais propensas a investir fortemente nos recursos e tecnologias destinadas a ajudá-las a prevenir tais incidentes. No entanto, apesar destes enormes investimentos, ano após ano ouvimos falar de mais uma grande violação de dados que afeta milhões de pessoas e custa milhares de milhões de dólares.
Primeiro, como acontecem as violações de dados?
Os principais pontos fracos que levam a violações de dados são a complexidade dos sistemas empresariais e os erros humanos que ocorrem durante a concepção, manutenção e utilização desses sistemas, ao longo de todo o ciclo de vida do sistema. Quanto maior e mais complexo for o sistema, mais difícil será mantê-lo continuamente seguro. E quanto maior for a empresa, maior será a probabilidade de os agentes maliciosos estarem altamente interessados em obter acesso aos seus dados sensíveis. Uma pequena fraqueza pode causar uma reação em cadeia – assim como uma pá de ventilador ligeiramente deformada no motor de um avião pode se soltar e cortar todos os outros motores, acabando por matar todos a bordo.
As ferramentas de segurança cibernética atuais são completas e eficazes. O escopo dos produtos de segurança disponíveis abrange todos os aspectos da infraestrutura da empresa: nuvens, servidores locais, redes, endpoints, IoT e muito mais. Eles fornecem testes, prevenção, detecção e reação. No entanto, todas essas ferramentas precisam ser implementadas e mantidas corretamente por humanos, e até mesmo os especialistas em segurança cometem erros. Quase todas as grandes violações da história, mesmo que orquestradas por atacantes avançados, como organizações de espionagem estrangeiras, foram causadas, em última análise, por simples erro humano. Esses erros estavam mais frequentemente associados a medidas de segurança insuficientes, à falta de devida diligência na manutenção ou à queda em manobras avançadas de engenharia social.
Aqui estão algumas das maiores violações de dados corporativos da história e as histórias por trás delas.
Yahoo! – Apenas um clique foi suficiente
Yahoo! aparece várias vezes na lista das maiores violações, sendo o melhor exemplo de que uma empresa de alta tecnologia tem a mesma probabilidade de ser vítima de violações do que empresas de qualquer outro setor – ou talvez até mais provável, porque muitos ativos devem ser publicamente expostos. A violação do Yahoo! de 2014 não foi apenas a maior, afetando até 500 milhões de pessoas, mas também a mais interessante do ponto de vista tecnológico. Isso ocorre porque a avalanche que levou à violação foi iniciada por um simples e-mail de spear phishing , mostrando perfeitamente como um pequeno erro humano pode custar bilhões a uma empresa.
Um clique errado de um funcionário permitiu que os invasores assumissem uma presença na rede interna, saltassem de uma máquina endpoint para os servidores e, por fim, obtivessem acesso ao banco de dados do usuário e suas ferramentas de gerenciamento. O fato mais assustador sobre este ataque é que poderia ter acontecido a qualquer pessoa – é simplesmente impossível garantir que cada funcionário da organização seja cuidadoso o suficiente para não cair num ataque de engenharia social bem preparado. E, o que é ainda pior, os softwares típicos de segurança de endpoints e de e-mail, como ferramentas antivírus e antiphishing, são indefesos contra ataques de spear phishing, que são preparados individualmente usando ferramentas personalizadas e praticamente indetectáveis.
Embora o escopo dos detalhes publicamente disponíveis sobre o ataque não seja suficiente para dizer se um bom software de proteção de endpoint poderia ter evitado esse ataque, é muito provável que sim. Mesmo que a vítima clicasse no link do spearphishing, para o invasor obter acesso à rede, ele provavelmente precisaria primeiro acessar credenciais ou outras informações confidenciais usando um software de controle remoto. É exatamente aqui que um software de prevenção contra perda de dados (DLP), como o Endpoint Protector, provavelmente teria sido capaz de detectar o acesso indevido e disparar um alarme, impedindo o avanço do ataque.
Equifax – Algumas pequenas falhas levam a uma tragédia
A violação da Equifax em 2017, que afetou 143 milhões de pessoas, é mais uma história interessante para aprender. Essa violação prova como apenas algumas pequenas falhas de segurança juntas podem permitir que um invasor qualificado aumente sua presença no sistema alvo para um controle quase absoluto. E se pudéssemos aprender algo específico com a Equifax, é que não são apenas os usuários finais que cometem erros graves de segurança – toda a cadeia de eventos foi resultado de falhas nas medidas de segurança.
Este ataque, provavelmente arquitetado pelas forças de espionagem chinesas, começou com uma falha do pessoal de segurança responsável pela correção do software do servidor. O portal de reclamações do consumidor estava executando uma versão de um servidor de aplicativos da web com uma vulnerabilidade bem conhecida – tudo o que seria necessário para corrigi-lo seria aplicar os patches de segurança recomendados e tudo o que seria necessário para descobrir que era um simples scanner de segurança.
A próxima falha foi a falta de segmentação do sistema e de armazenamento de senhas de acesso ao sistema em arquivos de texto simples. Este tipo de prática é, infelizmente, muito comum entre muitos administradores de servidores, que assumem erroneamente que apenas usuários legítimos podem ter acesso a qualquer um de seus servidores e, portanto, facilitam suas vidas armazenando credenciais de acesso ao sistema em arquivos inseguros. Felizmente, esse tipo de prática é facilmente detectável usando software DLP – o acesso do usuário a arquivos contendo padrões sensíveis e facilmente reconhecíveis, como nomes de usuário e senhas armazenados em texto não criptografado, não apenas seria evitado, mas também dispararia imediatamente um alarme de acesso indevido.
Por último, mas não menos importante: depois que os invasores acessaram os dados confidenciais, eles conseguiram retirá-los durante meses dos sistemas Equifax por meio de conexões de rede regulares, simplesmente porque uma das ferramentas de segurança interna não tinha um certificado de segurança atualizado. Em suma, todas as três fases do ataque foram possíveis devido à incompetência de pessoal técnico bem treinado, o que levanta a questão: se não podemos confiar nos “seguranças” para lidar bem com a segurança, em quem podemos confiar?
Capital One – Não apenas espiões estrangeiros
Embora as duas violações de dados descritas anteriormente tenham sido orquestradas por potências estrangeiras, que contrataram equipes de especialistas bem preparadas e bem financiadas, este não é, surpreendentemente, o cenário mais comum com grandes violações de dados. Muitas das maiores violações foram causadas por amadores ou expostas por especialistas em segurança de chapéu branco (os “mocinhos”) antes que alguém pudesse tirar proveito das informações confidenciais. Por exemplo, por um bom tempo, uma das mecânicas mais comuns por trás das violações de segurança eram os bancos de dados Elasticsearch acessíveis ao público – qualquer pessoa poderia simplesmente apontar para o endereço inseguro e acessar todos os dados usando um login e uma senha padrão.
O hack da Capital One foi um cenário diferente, mas comum, onde uma pessoa sem intenções verdadeiramente maliciosas se equilibrava à beira da lei para impressionar seus pares. Este foi exatamente o caso de Paige Thompson, que causou uma violação de dados de 250 milhões de dólares ao simplesmente descarregar dados sensíveis para o seu computador privado, claramente sem intenção de os vender no mercado negro, mas apenas para os exibir à comunidade hacker.
O motivo pelo qual Paige Thompson merece alguma atenção é que ela era quase um modelo clássico de alguém que causou grandes danos devido a uma combinação de circunstâncias. Em primeiro lugar, ela representava uma ameaça interna, sendo uma ex-funcionária da Amazon, e a Capital One usava os serviços da Amazon para armazenar os seus dados sensíveis. Em segundo lugar, Paige sofria de problemas de saúde mental e lutas pela identidade de gênero, o que a tornava mais propensa a procurar validação pelos pares e a fazer maus julgamentos. Como resultado, suas ações foram precipitadas e emocionais, mas felizmente para ela não a levaram a passar a vida na prisão por esse erro.
Do ponto de vista técnico, o Capital One não foi diferente da maioria dos outros grandes hacks – foi um processo de vários estágios causado por diversas falhas de segurança e configurações incorretas. Primeiro, Thompson aproveitou uma falha de falsificação de solicitação do lado do servidor no aplicativo Web da Capital One para poder acessar a infraestrutura de nuvem da Amazon por trás desse aplicativo Web, o que poderia ter sido evitado se a Capital One usasse a verificação de segurança da Web. Então, Thompson conseguiu obter acesso a uma função com privilégios excessivos, o que lhe permitiu sincronizar os buckets S3, baixando efetivamente dados confidenciais para seu computador. Embora o aplicativo estivesse protegido por um firewall de aplicativo da Web, esse firewall também foi configurado incorretamente, com registro insuficiente ou permissões excessivas, permitindo que esse processo passasse despercebido.
A violação da Capital One expôs os perigos das ameaças internas – funcionários ou ex-funcionários insatisfeitos são mais propensos a cometer erros graves ou mesmo a agir de forma inadequada em relação à empresa, tornando-se potencialmente o primeiro passo na violação de dados. Também mostrou que a infraestrutura em nuvem, mesmo hospedada por uma empresa tão renomada como a Amazon, tem a mesma probabilidade de ter configurações incorretas de segurança e que mesmo os privilégios de acesso administrativo devem ser bem controlados e monitorados.
Existe alguma esperança de evitar violações de dados?
Sua melhor esperança de ajudar a prevenir violações de dados em sua organização é aprender com os erros cometidos por outras pessoas. Apenas estas três violações principais mostram uma infinidade de erros típicos, como a confiança excessiva no pessoal de segurança e a falta de cobertura de certas superfícies de ataque à segurança cibernética. Nenhuma solução de segurança completa, mesmo da mais renomada empresa de segurança, cobrirá todas as bases que você precisa cobrir. Somente um programa de segurança bem projetado pode ajudá-lo a garantir que não haja falhas, como a falta de software DLP para proteger seus endpoints.
A melhor abordagem para evitar violações de dados é, portanto, seguir o enigma da confiança zero – e não apenas redes de confiança zero ou aplicações de confiança zero, mas também programas de segurança de confiança zero. Embora o seu pessoal de segurança provavelmente esteja fazendo o possível para garantir que uma violação não aconteça, eles são apenas humanos e também cometerão erros. Portanto, monitorar e verificar novamente suas atividades não será um sinal de que você não confia neles o suficiente, mas deve ser percebido como uma vontade de fazer os investimentos certos não apenas na sua segurança, mas também na segurança de seus clientes e parceiros.
Explore mais sobre prevenção contra perda de dados entrando em contato com um dos nossos especialistas hoje mesmo!
