Na missão de proteger as informações de sua empresa, um bom planejamento deve começar pelo estudo amplo do cenário de ameaças e potenciais riscos
Nos últimos dias, certamente você deve ter ouvido falar sobre a série espanhola “La casa de papel”. Exibida no Brasil desde dezembro de 2017 pelo serviço de streaming Netflix, a trama virou uma grande febre na internet. Trata-se de um crime muito bem arquitetado por um “professor” para realizar o maior assalto da história em que ladrões invadem a Casa da Moeda da Espanha para imprimir seu dinheiro e tudo isso com uma regra clara: sem sangue e sem tirar nada de ninguém.
Deixando de lado a minuciosa inteligência do mentor do crime, um personagem é muito importante para que tudo aconteça como o planejado: Rio, um jovem hacker. É por meio dele que conseguem invadir todo o sistema de informação da Casa da Moeda espanhola, realizar as instalações perfeitas do armazém onde o crime é planejado sem que sejam descobertos por localização e afins, além de, é claro, acessar a Deep Web para comprar os materiais (armas, bombas, explosivos etc.) necessários para realizar o crime.
A atmosfera tensa deixa o público à beira da poltrona e me fez ter uma reflexão sobre um ponto importante: como o acesso à informação que os hackers têm possibilita uma infinidade de opções criminosas até mesmo em um contexto de crime físico? Eis o ponto que queria chegar. O que devemos fazer então para manter uma empresa segura?
Na missão de proteger as informações de sua empresa, um bom planejamento deve começar pelo estudo amplo do cenário de ameaças e potenciais riscos. Essa análise é fundamental para contrapor o estado de segurança da sua cultura corporativa em relação às técnicas adotadas por agentes maliciosos.
Vale destacar algumas recomendações que podem parecer óbvias, mas que em muitos casos, não são respeitadas quando pensamos em criar um plano de ação para responder às crescentes ameaças cibernéticas (ou até mesmo físicas).
Entender quais são os objetivos dos atacantes, quais são as técnicas de exploração mais frequentes e, sobretudo, quais são as motivações do crime, são os primeiros passos para criar seu contra-ataque. Isso não vai te transformar em um atacante, mas vai dar melhores subsídios para criar estratégias alinhadas com a realidade para prevenir invasões.
Aqui, vale um parêntese: embora seja comum usar o termo hacker como o equivalente para um cibercriminoso, na realidade, o hacker é um especialista – no nosso caso, especialista em temas de tecnologia e segurança. Pode ser um programador com conhecimentos avançados, por exemplo, mas isso não o transforma em um criminoso.
Inclusive, nos últimos tempos, vemos um aumento considerável no número de empresas que procuram por hackers para atuar em suas áreas de segurança.
Em termos de motivação, sabemos que as atividades do cibercrime podem ser dirigidas por alguma das seguintes razões:
· Retorno financeiro
· Hacktivismo político
· Poder
· Entretenimento
Você pode relacionar quais tipos de ameaças estão mais frequentemente associadas a estas motivações. E um passo adicional será relacionar quais são os riscos reais a que sua empresa é sujeita e quais controles de segurança podem ajudar.
Este é apenas um caminho sugerido para mapear os riscos potenciais do ambiente corporativo. Você pode também iniciar a sua análise a partir de reflexões:
· Qual é o ponto de defesa mais fraco na minha rede? Quais aplicações podem estar vulneráveis?
· Quais usuários são mais visados por atacantes? Eles cuidam da sua própria segurança?
· Quais lacunas precisamos para trabalhar antes que um hacker a explore?
· Qual é a nossa estratégia ou estrutura para a segurança cibernética?
· Como implementamos uma segurança em profundidade ou abordagem em camadas para segurança?
Por que atacantes são bem-sucedidos em invadir sistemas corporativos e roubar informações? Porque eles descobriram quais são os pontos fracos daquele ecossistema. Se eles são capazes de identificar estas brechas, é crucial que você também mapeie todas as potenciais falhas de segurança de sua rede, aplicações e usuários.
Se for possível aplicar os métodos de ethical hacking (hacking ético, em que um especialista conhece as técnicas e métodos utilizados para encontrar vulnerabilidades de segurança em softwares e redes corporativas), você pode executar regularmente exercícios de segurança para desafiar suas defesas e identificar vulnerabilidades na rede. Certos testes podem ser custosos, embora o retorno seja interessante para a segurança da sua empresa se comparado ao estrago que um vazamento de informações pode causar.
Uma alternativa é adotar um produto de gestão de vulnerabilidades e compliance, que é capaz de monitorar de forma constante o status de segurança de seu ecossistema, avaliando eventos de acordo com uma extensa base de vulnerabilidades, ferramentas para automatizar a exploração (exploits) e políticas de conformidade, indicando medidas para remediação dos riscos.
Muitas empresas ainda têm grande dificuldade para estabelecer valor em seus bens. Desse tipo de desafio deriva a mentalidade de que certos tipos de empresa nunca seriam vítimas – e esse é um erro, basta lembrar da lista de mais de 300 milhões de vítimas do WannaCry. Afinal, quem pensaria que seria tão fácil para um hacker entrar na Casa da Moeda Espanhola estudando todo seu sistema? É nesse cenário que pensar como um hacker pode ajudar, mostrando que sempre existe uma possibilidade de risco, independentemente do tamanho da sua organização. Gerenciando os riscos, fica mais fácil trabalhar para identificar suas fraquezas e como melhorá-las. Afinal, assim como Arturo você não quer que imprimam 1 bilhão de Euros na empresa que comanda, certo?
*Fernando Amatte é diretor de inteligência cibernética da CIPHER
