- Gerar link
- Outros aplicativos
Matéria livremente traduzida do site Defense iQ
O consultor de segurança Thomas Ballin, especializado na avaliação de segurança de aplicações web e infraestrutura de rede, é um dos palestrantes convidados para a conferência londrina que acontece entre 15 e 17 de março sobre fraudes em telecom e sobre o programa de iniciativas que asseguram que o tráfego gerado pelos utilizadores dos serviços de telecom é capturado, faturado e cobrado corretamente, a Telecoms Fraud and Revenue Assurance Conference. No evento, Ballin, que trabalha na indústria de testes de penetração e possui ampla experiência em todas as áreas de segurança da informação, irá demonstrar ao vivo um ataque cibernético para tentar compreender o ponto de vista do hacker ao adentrar o ambiente corporativo. O site Defense iQ conversou com Thomas Ballin, que já trabalhou para muitas organizações, incluindo instituições financeiras e conglomerados internacionais, para antecipar um pouco o que será abordado no evento londrino e entender melhor a segurança sob o ponto de vista do hacker. A TechBiz Forense Digital fez a livre tradução desta conversa, cujo documento original pode ser acessado aqui.
Você pode nos explicar de forma bem simples como um hacker se infiltra na rede de uma companhia e ganha acesso aos dados dos consumidores? Onde estão os principais pontos de tensão na rede?
Um hacker passa por quatro estágios quando tenta roubar informações de uma empresa. O estágio um é o reconhecimento, quando ele descobre a superfície de ataque (todos os diferentes pontos por onde pode adentrar no sistema e onde ele pode coletar os dados). Um atacante está em busca de qualquer ponto que apresente vulnerabilidade. Por exemplo, uma falha na segurança física de um escritório, informações sobre funcionários que podem ser manipulados e oferecer informações ao atacante ou qualquer website, serviços on-line ou recursos que possam estar abertos para exploração. O estágio dois é a exploração propriamente dita, quando um atacante fará uma avaliação da superfície de ataque e trabalhará no melhor alvo, que pode ser tanto o que está mais vulnerável para o ataque ou o que irá provê-lo com o maior nível de acesso. Por exemplo, uma companhia pode estar aberta a um ataque em todos os três níveis; o seu escritório pode estar aberto para qualquer um que queira entrar e sair com alguns documentos. Um membro da equipe pode estar com dificuldades financeiras e pode estar mais suscetível a subornos, e seu website pode estar sujeito a uma vulnerabilidade de SQL Injection (como o ataque à operadora britânica Talk Talk, em outubro de 2015), que poderia comprometer toda a rede. Entrar no escritório poderia ser a tarefa menos difícil da perspectiva de um atacante, já que não requer nenhum conhecimento específico. Mas, a quantidade de informação e o tempo de comprometimento são limitados. Subornar um membro da equipe pode ser caro, mas no caso de uma grande organização financeira, pode ser visto como um investimento. Mais uma vez, isso não requer nenhum conhecimento específico, mas depende da cooperação de um terceiro, o que traz maior risco para a campanha de ataque. Uma vulnerabilidade de SQL injection demanda habilidades para explorar de forma efetiva o que se deseja. Mas, uma vez que o sistema está comprometido, o acesso obtido é inigualável. Além do mais, oferece maior possibilidade de anonimato e a possibilidade de persistir caso não se consiga o que deseja de primeira. Uma vez que o atacante escolheu a vulnerabilidade a explorar, o terceiro estágio é o roubo da informação. O objetivo é extrair a informação mais valiosa possível e deixar o menor rastro possível. Por exemplo, se um membro da equipe tiver dados comprometidos, então, ao invés de pedir que ele faça um clone completo de todos os compartilhamentos da rede, que é como gerar alertas em uma empresa de vigilância, uma melhor solução pode ser simplesmente fazer uma cópia da documentação financeira que é o objetivo chave para um atacante. O estágio final é a limpeza. Em muitos casos, um atacante não deseja que a organização saiba que foi explorada. No caso de espionagem corporativa, por exemplo, quanto mais tempo uma empresa está desavisada de que seu competidor tem acesso à sua base de clientes, mais valiosa é a informação para o atacante.
Quais medidas as companhias devem adotar para ter o mínimo de impacto em um ataque cibernético? O que elas deveriam fazer de forma ideal?
No mínimo, as empresas deveriam desejar reduzir a superfície de ataque. Sempre existirão vulnerabilidades em uma organização e não há uma maneira de garantir a segurança em toda a linha. Mas, limitar a exposição a ataques significa que as organizações são capazes de lidar muito melhor com as consequências de um ataque bem-sucedido que comprometa parte de sua infraestrutura. A segregação da rede é crítica, então é importante que aplicações externas e serviços, tais como websites, não estejam hospedados no mesmo ambiente com informações sensíveis, bem como garantir que os controles de acesso estão funcionando de forma que, apenas o que é necessário, seja acessado pelos responsáveis. Por exemplo, não é normal um membro da equipe técnica requerer acesso à área de recursos humanos, da mesma forma que um website não precisa estar hospedado dentro da mesma rede como um banco de de dados cliente. Idealmente, no entanto, uma vez que cada seção está segregada, elas devem ser revistas frequentemente para garantir de que estão seguindo as melhores práticas. Softwares deveriam estar atualizado e com os patches de segurança, serviços que não são necessários devem ser desabilitados, logs devem ser revisados para garantir que não aja comprometimento da rede, se o ataque foi detectado na primeira oportunidade e o dano foi limitado, toda a infraestrutura deve ser auditada para garantir que está configurada apropriadamente e não representa um risco para o negócio.
O ataque à TalkTalk (ataque que deu acesso a dados de 4 milhões de clientes da operadora britânica TalkTalk) mudou a maneira como as companhias abordam a segurança? De que forma essas medidas são suficientes?
Na indústria de tecnologia da informação, o ataque à TalkTalk não criou grandes reviravoltas. Não é uma ocorrência incomum grandes organizações serem atacadas. Sites como o pastebin estão carregados de dados dos clientes, incluindo cartões de crédito, CPF e detalhes pessoais. Mas, se comparados com o número de outros vazamentos notórios dos últimos anos, tais como o dump de contas do “Ashley Maddison”, a mídia focou na gravidade da questão e colocou o ataque no centro das notícias. A pressão do público para proteger suas informações pessoais dos atacantes nunca foi tão grande, e as companhias estão reconhecendo que não é apenas um caso de estar bem com o Gabinete do Comissário de Informação (ICO - Information Commissioner's Office), com o qual precisam lidar, mas com uma massa de danos de reputação e um controle maior da organização. As práticas da segurança da informação estão gradualmente movendo-se do lugar de conformidade aos padrões tais como Cyber Essentials e PCI-DSS, entre outros, para a proteção de fato das informações pessoais e da propriedade intelectual. Não é razoável esperar que cada organização dobre sua verba de segurança e resolva cada problema ocorrido nos últimos meses, mas o reconhecimento do quão importante a segurança da informação tornou-se precisa ser mantido para que as empresas gradualmente melhorem seus padrões de segurança.
"Calcular riscos é um termo geralmente usado para descrever o trabalho sobre o que deve receber o foco de segurança e o que não deve (...) Pode-se aplicar a seguinte equação: RISCO = CUSTO x PROBABILIDADE. Onde o custo é o que o negócio irá perder em caso de um ataque bem-sucedido e a probabilidade é a chance de um ataque ser bem-sucedido."
Como os hackers podem se adaptar às futuras mudanças na defesa da rede? Existe alguma maneira de antever qual seria a próxima ameaça ou área de preocupação?
É seguro dizer que a segurança da informação sempre será uma participante crítica nas ameaças enfrentadas por qualquer negócio. Quanto maior a segurança, mais avançados tornam-se os métodos de driblar essa segurança. Predominantemente, a segurança é tratada como um processo reativo: assim que um ataque ocorre, uma mitigação é encontrada para se defender. No entanto, medidas proativas estão sendo desenvolvidas para salvaguardar as empresas contra a próxima geração de ciberataques. Uma área que se mantém estacionada é a de pessoas. A habilidade de um atacante se infiltrar na infraestrutura através de suborno, coerção, trapaça e qualquer outra forma de manipulação sempre esteve presente e os métodos permanecem basicamente os mesmos. Em termos de avanços tecnológicos é muito difícil prever a próxima geração de ameaças cibernéticas. Grupos em países como China e Rússia interessados em roubar propriedade intelectual são bem conhecidos, e podem, talvez, ser considerados a vanguarda da guerra cibernética. A maneira como eles operam sugere muito sobre como as próximas ameaças corporativas serão. A batalha já não se resumirá à interrupção dos negócios de uma empresa ou no roubo de informações de cartão de crédito do cliente, em vez disso a batalha será para proteger a própria organização de ser copiada por um terceiro que investiu em espionagem em vez de Pesquisa e Desenvolvimento.
Convencer gerentes sêniores a investir em iniciativas de Revenue Assurance é um desafio no setor de fraude em telecom e dos profissionais de RA (Regulatory Affairs). Em sua opinicão como o gerenciamento pode ser persuadido a investir e a colocar todo o peso nisso?
É fácil da perspectiva de alguém que a responsabilidade primária é a segurança garantir a suposição de que isso é a coisa mais importante a se investir em um negócio, e que um equilíbrio deve ser mantido. É ilógico, por exemplo, gastar £250 mil em uma solução de segurança para proteger os ativos que valem um total de £100 mil. Calcular riscos é um termo geralmente usado para descrever o trabalho sobre o que deve receber o foco de segurança e o que não deve, e uma maneira de convencer gerentes sêniores é aplicar a seguinte equação: RISCO = CUSTO x PROBABILIDADE. Onde o custo é o que o negócio irá perder em caso de um ataque bem-sucedido e a probabilidade é a chance de um ataque ser bem-sucedido. Se o risco for maior do que o preço para mitiga-lo, então a solução é financeiramente benéfica.
Se você tivesse um conselho para companhias de telecomunicações para implementar ou trabalhar nos próximos anos, qual seria?
Consciência. Segurança não pode ser um produto comprado e colocado em frente de um serviço como uma barreira a protegê-lo, Ao contrário, precisa ser uma parte intrínseca de cada produto ou serviço. A sensibilização para a segurança significa que as despesas gerais serão reduzidas, e a segurança será melhorada. Além do mais, o treinamento em segurança para todos os funcionários deve ser dado para tornar a segurança uma parte verdadeiramente intrínseca à companhia.
O que você espera da conferência Telecoms Fraud & Revenue Assurance?
Eu espero ter a oportunidade não apenas de apresentar uma maneira de como os atacantes enxergam o negócio, mas de abrir um canal de comunicação entre as pessoas dentro de um negócio, e pessoas que veem isso de um ângulo diferente. Eu posso oferecer uma perspectiva de terceiros para um negócio e oferecer um olhar especialista sobre onde as ameaças estão. Mas o que eu acho que é mais importante é o fórum para discutir quais são as verdadeiras questões em segurança da informação que estamos de fato envolvidos.
Foto: freepik.com
Comentários
Postar um comentário