Por que são tão frequentes os vazamentos de dados das empresas?

Temos visto nos últimos meses uma grande variedade de ataques contra grandes corporações onde esses resultaram vazamento e exposição de dados sensíveis. Recentemente noticiou-se o vazamento de dados da SKY, TIVIT e SICRED, STONE e MARRIOT.

Se juntarmos os ataques em um passado recente, por que as empresas ainda sofrem com os ataques cibernéticos? O que falta para que as empresas estejam imunes a essas ameaças?

Realmente é difícil dizer, pois como especialista de segurança da informação, aprendi que nenhuma empresa está 100 % (cem porcento) segura.

Hoje a evolução tecnológica está tão acelerada que novos dispositivos, novos softwares são lançados em um nível que realmente é difícil acompanhar. Hoje já utilizamos inteligência artificial para facilitar nosso dia a dia. Hoje é comum a utilização de Machine Learning para coleta mais acelerada de informações e tomadas de decisões.

Se há o objetivo de usar essas tecnologias para o bem, elas também são usadas para o mal. Já há relatos que hacker utilizam desses mecanismos para aperfeiçoarem seus ataques. Mas também as empresas de segurança têm utilizado dessa tecnologia para fazer a proteção contra esses ataques.

Mas mesmo assim isso não é suficiente. Pois uma das maiores brechas de segurança encontrada hoje é o fator humano. Mas como assim?

Umas das técnicas mais utilizadas pelos atacantes é a engenharia social. Esse mecanismo visa coletar o maior número de dados possíveis para ser utilizados como insumos para o sucesso do ataque. Esses dados podem ser coletados nas principais redes sociais. Mas como esses dados são utilizados? É muito comum as pessoas postarem onde trabalham e quais seus cargos. Além disso deixam informações do seu dia a dia. Lugares que frequentam, amigos em comum, datas, familiares, entre outras informações. Essas informações são utilizadas para gerarem tentativas de acesso a sites das empresas que elas trabalham ou empresas a quais elas se relacionam e tem acesso a seus produtos. É muito comum os usuários usarem senhas com os dados informados acima, como data de aniversário, tanto deles como de familiares, lugares que visitou, animais de estimação entre outros. Quando analisamos arquivos vazados que contém senhas, notamos esse padrão.

Nisso chegamos em um ponto. Mas e os sites, sistemas ou outros recursos que essas pessoas acessam não deveria ser seguro? Sem sombra de dúvidas. Porém, como citado no inicio desse artigo, a evolução tecnológica está tão rápida que fica difícil se adaptar. Além disso as empresas precisam ter ciência que, o modelo utilizado para proteger seu ambiente utilizado a 2 anos atrás ou mais, estão obsoletos. Firewall, Detectores e prevenção de intrusão ou Antivírus não são mais soluções de proteção adequadas, pois são baseados em vulnerabilidades que foram corrigidas a algum tempo. É verdade que essas soluções têm se atualizados, mas elas protegem até um certo ponto do ambiente. Hoje os ataques estão voltados às aplicações da empresa, no seu banco de dados. Essas soluções apenas olham o acesso, mas não seu comportamento. Por exemplo, um firewall tradicional apenas libera ou bloqueia um acesso. Mas ao liberar um acesso, ele olha seu conteúdo, seu código, seu comportamento. Infelizmente não. No máximo alerta uma anomalia já conhecida.

Para isso precisamos ir além. Mas, como ir além? Quais ações devo tomar para melhorar a segurança da minha empresa?

Primeiro vem com a mudança de cultura de todos os usuários que utilizam a tecnologia da informação. Conscientizando-a que ações como, utilizar uma senha mais forte que não tenham relações pessoais, ou se atentar a que tipo de arquivo estão fazendo download.

Isso também inclui a equipe de tecnologia de informação. A equipe de desenvolvimento deve possuir a cultura de desenvolvimento seguro em todo o seu ciclo, além de executar testes constante para garantir a segurança do código. Os administradores de dados devem sempre fazer auditoria e proteger não só o acesso aos bancos de dados, mas também proteger como esses dados são manipulados. Testes de invasão devem ser realizados com regularidade, pois como informado nesse artigo a evolução e o surgimento de novas ameaças está cada vez mais aceleradas e novas ameaças sempre irão surgir no mesmo ritmo.

Os servidores devem estar customizados para atender apenas o serviço que foi proposto a ele, além de estar sempre atualizados.

Os dispositivos de segurança de borda, detecção e prevenção, além dos antivírus devem ser constantemente monitorado, testados e atualizados.

Também é importante coletar e armazenar tudo o que ocorre no ambiente para tomar ações mais rápidas em caso de uma ameaça tentar ou conseguir romper as barreiras de segurança.

Além de soluções de segurança de borda, como citado, as empresas devem investir em segurança de sistemas e dados como soluções de firewall de aplicação, soluções de análise de código em tempo real, auditoria e controle de banco de dados, não só protegendo o acesso, mas protegendo como os dados são manipulados.

Mesmo assim essas medidas não garantirão a total proteção contra os ataques cibernéticos, mas irá dificultar e muito o sucesso desses ataques.