Ciberataques mundiais
É evidente que os controles e mecanismos de proteção adotados pelas organizações são frágeis e ineficientes aos ciberataques mundiais.
Dois ataques significativos assolaram organizações de todos os tamanhos no último mês, inclusive de potências mundiais, o primeiro ransomware WannaCry afetou 150 países incluindo o Brasil, o segundo ransomware Petya, utilizou as mesmas vulnerabilidades do anterior e fez vítimas em diversos países como Ucrânia, Dinamarca, França, Espanha, Rússia e também no Brasil.
Quais as lições podemos aprender com esses dois cenários?
No primeiro caso, com WannaCry vislumbramos uma falha generalizada no processo de gestão de patch das organizações, outro ponto crucial no processo é a segregação de acesso ao menor privilégio possível entre redes distintas.
Agora com um mês e meio depois, outro ataque utilizando as mesmas vulnerabilidades afetou inúmeras vítimas, claramente as empresas não aprenderam com os incidentes de segurança da informação e não usaram o conhecimento adquirido para reduzir a probabilidade ou impacto em incidentes futuros.
Nesse ponto, nos deparamos com a seguinte questão:
Quando será realizada a análise crítica da segurança da informação pela direção?
Muitas empresas precisam melhorar a sua maturidade em segurança da informação, nossas empresas se preocupam com a disponibilidade e acabam deixando de lado ponto como a confidencialidade e a integridade, todos na organização devem possuir conhecimento das melhores práticas de segurança da informação e atuarem em conjunto para evitar cenários como esses, aplicando em conjunto a tríplice: Processo; Pessoas; e Tecnologia.
Os processos baseados em melhores práticas devem ser respeitados e executados, medidos e avaliados em todos os aspectos, a identificação das vulnerabilidades e mapear os possíveis ataques é certamente uma forma de minimizar a exposição aos riscos.
Além da gestão de vulnerabilidade, as organizações devem possuir um plano de continuidade de negócios para que em caso de um incidente possa vir a afetar a operação, ela possua condições de se recuperar em tempo adequado, minimizando o impacto ao negócio.
Processos de cópias de segurança de softwares, imagens de sistemas e de dados, devem ser realizadas e testadas regularmente, com isso o impacto de um ransomware será minimizado e a recuperação será rápida.
Caso alguma máquina seja infectada, o que pode ser feito?
- Desconecte a máquina imediatamente da rede;
- Ative o seu plano de resposta a incidentes;
- Caso seja necessário decrete crise e ative o plano de continuidade de negócios;
- Identifique as vulnerabilidades do seu ambiente;
- Aplique os patches de segurança;
- Aplique as assinaturas em ferramentas como, IPS e IDS;
- Bloqueie endereços de IPs, portas e URLs em firewalls;
- Instale, atualize e utilize de fato as ferramentas de detecção de malwares;
- Colete as evidências forenses, para que possam ser usados no futuro.
Também devemos acabar com crenças que não agregam a segurança da informação como por exemplo: Linux é seguro, IOS não tem vírus, é sempre melhor estar preparado, a zona de conforto é sempre o pior inimigo. Não tenha a falsa sensação de segurança.
Para que tudo isso funcione e iniciemos um ciclo virtuoso as organizações e seus representantes devem enxergar áreas como Cibersegurança, Segurança da Informação, Governança de TI, entre outras, como parte estratégica da organização provendo apoio, liderando e se comprometendo com a segurança da informação.
Atividades como Pentest, Teste do PCN, auditorias, capacitação, workshops, palestras, também devem ser vistos como investimento, com o único objetivo de preparar a todos para situações como as que estamos passando nos últimos meses.