Muito se fala sobre cibercrime no contexto das grandes companhias, especialmente empresas de varejo, e-commerce, redes de jogos (como Xbox e PSPN), bancos, empresas financeiras e outros segmentos. Porém, essa é uma ameaça real também para negócios de pequeno e médio portes. Segundo levantamento do site Cyberthreat Real-Time Map da Karspersky, o Brasil é o quarto País com mais ataques cibernéticos em todo o mundo.
Quanto às ameaças, o ransomware – que consiste em uma operação no qual o atacante criptografa os dados da vítima e solicita o pagamento de resgate para a liberação dos mesmos – continua a liderar o ranking. No primeiro semestre de 2015, o ransonmware apresentou mais de 2 milhões de variantes, número nove vezes maior que o mesmo período de 2014. O valor médio de um resgate varia de US$ 300 a US$ 12 mil.
Apesar de o valor cobrado pelo resgate das informações ser, por vezes, baixo, os criminosos costumam não cumprir o acordo da entrega dos dados decriptados mediante o pagamento. Com isso, empresas continuam nas mãos dos criminosos, tendo que realizar o pagamento de vários resgates sucessivos.
Os alvos dos ataques são geralmente servidores com dados corporativos, como sistemas ERPs, servidores de arquivos e outras bases de dados. Mesmo que a infraestrutura esteja on premise, ou seja, instalado em data center interno da empresa, ou na nuvem por meio de uma cloud pública ou privada, o criminoso pode conseguir o acesso a todo tipo de informação nesses sistemas.
E como se dá esses ataques? De que forma os criminosos chegam até seu ambiente? O primeiro caminho, e o mais óbvio, é a utilização da internet para efetuar varreduras constantes em servidores com serviços, websites, sistemas e aplicações publicados na rede mundial. A partir daí, ele identifica as vulnerabilidades exploráveis que permitem o acesso a recursos computacionais.
Outro caminho também muito conhecido é a distribuição de conteúdo em redes P2P (Peer-to-Peer) ou sites de compartilhamento de mídias, principalmente vídeos e músicas ilegalmente distribuídos ou softwares alterados para uso ilegal, ou seja, sem registro.
Esses conteúdos, assim que copiados ou instalados, se alastram e dominam recursos da infraestrutura por meio da operação remota que utiliza um backdoor (acesso informal e desconhecido), que permite uma conexão direta do criminoso ao ambiente corporativo.
Com isso, vem a questão: como se proteger de tais eventos? A segurança do ambiente de TI depende de diversos fatores, que vão desde controles tecnológicos, filtros e bloqueios, até a conscientização dos colaboradores. É extremamente importante o acompanhamento da saúde do ambiente de TI e o alinhamento às melhores práticas de mercado, que incluem, mas não se limitam, à gestão de políticas e configurações do ambiente e estações de trabalho, e a avaliação continua de vulnerabilidades, principalmente para sistemas que estão disponíveis na internet. Importante também que o uso de conteúdo e softwares não oficiais ou sem licenciamento seja proibido.
Auditorias contínuas devem fazer parte da rotina da TI para garantir que transgressões sejam rapidamente identificadas e sanadas, assim como vulnerabilidades tratadas, mitigadas ou minimamente monitoradas quando consideradas inevitáveis pela organização.
*Marco Ribeiro é líder da prática de gestão de risco de TI da Protiviti
