Por Abian Laginestra
Às vezes, em um estado de beligerância declarada, o maior estado e com mais recursos perde sucessivas batalhas e até mesmo a guerra. Não é muito diferente da vida dos CISO’s.
Numa estrutura de combate regimentada e organizada, há certos preceitos. Acontece que o inimigo digital é uma espécie de paramilitar, onde os pactos e acordos não são levados em conta. Toda estratégia, por mais ignóbil que seja, é válida e praticada.
O roubo de credencial por todos os meios possíveis é a prática mais utilizada pelos atacantes e para isso, no Crime as a Service, há várias milícias hackers contra os times de segurança institucionalizados.
Em due diligences e auditorias é sempre perguntado sobre o uso de PAM – Privileged Access Management e Cofre de senhas, com justa razão, afinal o roubo de credencial em TI é a arma número 1 da contrainteligência hacker. Indo na direção do maravilhoso mundo novo do Zero Trust, temos também o IGA – Identity Governance, que automatiza as cargas de trabalho de auditoria.
Não é difícil perceber que existem as ferramentas e camadas defensivas. Mas não são elas que determinam o sucesso de uma campanha, é a estratégia. Nem todo o melhor e mais poderoso ferramental que temos disponível pode nos livrar do comprometimento de uma credencial vazada, porque esse processo é intrinsecamente humano, antes do uso das ferramentas, que ajudam e muito a diminuição da superfície de ataque.
Logo, o bom e velho treinamento continua no mundo Zero Trust. Conhecimento é poder, empoderar usuários em cibersegurança é deixá-los cientes e reforçar sempre os aspectos dos vazamentos, compartilhamento de credencial.
Muitas empresas têm todas as ferramentas, mas o processo de manter atualizadas as tabelas RBAC’s não existem, aí usuários migram dentro da empresa e vão colecionando acessos que não deveriam mais possuir.
Os PII’s e por que esses dados seriam valiosos para hackers?
PII são dados que podem ser usados para identificar, contatar ou localizar um indivíduo, sozinhos (por exemplo, nome, número de segurança social) ou combinados com outros dados (por exemplo, empresa + cargo). Exemplos de dados pessoais incluem, mas não estão limitados a:
• Identidade (nome, data de nascimento, assinatura, sexo, raça, situação familiar);
• Informações de contato (endereço, número de telefone, endereço de e-mail);
• Informações profissionais (cargo, empresa, cargo, data de contratação, avaliação de RH, salário);
• Documentos administrativos (ID, número do passaporte, carteira de motorista, CPF);
• Saúde (dados biométricos, registros médicos);
• Relacionado a TI (senha(s), cookies, logs).
Embora alguns desses dados estejam disponíveis publicamente, muitos deles não estão. O valor para os hackers não é apenas a quantidade de dados pessoais encontrados – mas quanto mais correlacionadas essas peças são, mais valiosas elas se tornam para os hackers.
Por exemplo, nomes e empregos de passageiros em potencial podem ser encontrados em uma lista telefônica eletrônica ou no LinkedIn, mas nenhuma dessas fontes inclui números de passaporte ou números de cartões de crédito. Quando você correlaciona nome, cargo, passaporte e números de cartão de crédito, você coloca em risco os usuários das suas organizações. Isso ressalta o ponto de que qualquer informação, exclusiva de um indivíduo ou que possa levar de volta à pessoa, deve ser protegida – mesmo que pareça inofensiva para si mesma.
Violação de dados PII típica e não típica: o que isso significa para o seu negócio
Onde os ladrões cibernéticos podem roubar todos esses dados? Em geral falha de configuração, os dados são armazenados em um dispositivo não seguro ou configurado incorretamente – geralmente usando sistemas de banco de dados como ElasticSearch, Oracle, SQL ou MongoDB. Os agentes maliciosos obtêm acesso aos dados e exploram as informações para fins maliciosos, como: ransomware, falsificação de identidade, espionagem corporativa, phishing ou simplesmente vendê-los no mercado negro. A grande maioria das violações de dados resulta de cenários semelhantes a este.
Em um número significativo de casos, os invasores ainda utilizam técnicas sociais para obter acesso a seus alvos: de acordo com o DBIR de 2020 da Verizon, 22% das violações de dados incluíram “ataques sociais”, incluindo engenharia social e/ou uso de PII roubado.
As PII também podem ser comprometidas de uma forma menos conhecida – embora de forma extremamente comum. Como acontece com qualquer outra informação, documentos e compilações de PII podem ser encontrados expostos em dispositivos de armazenamento conectados não seguros, como: servidores de arquivos, NAS ou protocolos de sincronização). Isso geralmente é resultado de negligência, configuração incorreta, configurações padrão ou backups automáticos de sombra. Essas exposições, mesmo que raramente exibam tantos dados quanto um sistema SQL ou ElasticSearch, ainda assim são muito sérias, dado o contexto altamente detalhado disponível por meio dos documentos e a completude dos conjuntos de dados.
Mapeamento de informações, boa governança de acessos, treinamento e a implementação adequada das camadas de segurança mantém a exposição de credenciais em um baixo nível.
*Abian Laginestra é profissional na área de Tecnologia da Informação há 25 anos e de Segurança da Informação e defesa cibernética há 18 anos. CISO da Aliansce Sonae Shopping Centers, possui graduação em Gestão de Processos Gerenciais – FGV/EBAPE, MBA em Gestão da Segurança da Informação pelo INFNET e cursa Mestrado no Programa de Pós-Graduação em Segurança Internacional e Defesa na Escola Superior de Guerra – ESG. Atua no PROCAD do Ministério da Defesa. Ao longo da carreira, contribui significativamente em projetos e empresas dos setores financeiro, farmacêutico, governamental, jurídico empresarial e informática.
