“O roubo de credencial pode sangrar uma empresa”

Compartilhar:

Durante o Security Leaders Roundtable, executivos de Cibersegurança destacaram o impacto nos negócios quando incidentes envolvem credenciais de acesso, dando condições para o cibercrime chegar às informações mais valiosas. Para eles, a senha é um recurso frágil e o trabalho do CISO é complementar a proteção com o máximo de autenticações disponíveis no mercado

O roubo de credenciais não é um assunto novo para os líderes de Segurança da Informação, mas as modernidades dos acessos, de fato, têm impactado ainda mais o setor, desafiando os CISOs no redesenho das estratégias de defesa, incluindo acesso mínimo e gestão dessas credenciais, especialmente as privilegiadas. Para entender melhor esse novo momento, o Security Leaders, em parceria com a Appgate, reuniu na manhã de hoje (13) executivos de SI para entender esses riscos e debater melhores práticas de mitigação.

Na visão de Pedro Nuno, CISO no Banco BMG, é perceptível que não existe um tipo único de autenticação a ser protegida pelas empresas, pois há uma realidade diferente para cada vertical de negócios. “No caso da área financeira, os dados dos usuários podem realmente sangrar uma empresa se forem vazados. Eles geram uma série de serviços ao cibercrime, como roubo e venda dessas informações na Deep Web e os golpes fraudulentos decorrentes da venda”, explicou ele.

Sílvio Hayashi, CISO Global na Votorantim Cimentos, por outro lado, aponta para os registros dos administradores de TI como as mais visadas em sua vertical. “Isso porque são credenciais altamente privilegiadas e responsáveis pelas chamadas ‘as chaves do reino’, dando condições de se chegar às informações mais valiosas nas empresas. Portanto, considerando a perspectiva de lucro que o atacante pode ter, a senha desse Domain Admin precisa ser protegida essencialmente”, explicou ele.

Todavia, os debatedores concordaram que o maior perigo para todas as áreas envolvendo credenciais está na ação dos insiders, aliciados pelos criminosos a vender seus acessos por valores muito baixos. Além disso, Glauco Sampaio, Superintendente Executivo de Segurança e Privacidade na Cielo, reforça que os criminosos já estão em busca do acesso propriamente dito, tornando esse perigo ainda mais grave.

“Trata-se de fazer o próprio funcionário acessar o ambiente enquanto o criminoso o acompanha usando algum artigo próprio, como VPN. Em praticamente todos os casos bastou o comprometimento de um acesso comum para viabilizar incidentes realmente críticos. O movimento de trabalho remoto durante a pandemia piorou essas situações porque o monitoramento ficou mais difícil”, explica Sampaio.

Assim, um contexto cada vez mais vulnerável exige que os líderes de cibersegurança revisem seus procedimentos e se atentem mais às mudanças culturais, alterando a postura de toda a força e trabalho. Nesse aspecto, a ideia é envolver outros setores chave das empresas na defesa das credenciais, como a TI, DevOps e Governança. É válido também pensar em novos conceitos tecnológicos na sustentação de novas defesas dos dados, especialmente como monitoramento comportamental de acesso; aplicação de passwordless e liveness nas autenticações; além de manutenção de cofres de senhas.

“Mesmo em relação à Inteligência de Máquina, hoje é possível usar o Machine Learning em mecanismos transacionais  de implementação de acesso baseado no risco, levando em conta os fatores de comportamento do usuário. Considerando conceitos de Zero Trust, algumas soluções possuem capacidades de Inteligência Artificial para compor os metadados da postura de segurança do profissional, permitindo a determinação da amplitude de acesso daquela credencial”, exemplificou Rafael Lima, Sales Engineer na Appgate.

João Paulo Back, Executive Information Security Manager na Crefisa, arrematou dizendo ser visível que os problemas eram os mesmos para todos e isso habilitava-os a tirar as mesmas conclusões:

“Antes de tudo, senha não é mais sinônimo de segurança, pois precisamos partir do princípio de que ela já vazou ou já foi quebrada. Dito isso, reconhecida essa fragilidade, o nosso trabalho é complementar essa credencial com o máximo de outras autenticações possíveis, todas baseadas em artefatos diferentes. Por fim, como CISOs, precisamos nos posicionar com firmeza e segurança dentro dos processos de negócio. A questão do board é o quanto se está disposto a renunciar a Cibersegurança para executar as tarefas da empresa”, disse o executivo.

Transparência engaja o usuário

Outra preocupação destacada na Roundtable foi como os C-Levels poderiam lidar com os impactos à experiência ou mesmo à privacidade de funcionários e clientes no momento de se monitorar e proteger as credenciais. Esse alerta foi levantado pela intervenção de Fernando Bruno, Gerente de Segurança da Informação no B3, com a ressalva de que havia ainda uma enorme falta de preparo do setor de SI para lidar com a linha tênue entre monitoramento e privacidade.

“Certamente esse monitoramento todo impactará na privacidade. Surge a dúvida dos usuários se eles querem que os superiores saibam onde estão, o que fazem ou como fazem. Isso traz outras discussões muito complexas, da qual o mercado e a categoria não estão muito preparados para discutir isso com sobriedade. Há risco de esbarrarmos em questões de personificação e privacidade, ou mesmo de ações preditivas”, afirmou Bruno.

Pensando justamente nesse risco, Allan Buscarino, CISO no Mercado Livre, recomenda manter os usuários cientes do porquê de existir esses monitoramentos. Essa, segundo ele, é uma missão compartilhada entre a SI e as áreas de produto. “A percepção de segurança também é muito importante para os usuários se sentirem mais confortáveis em consumir seus bens e serviços. No fim essa é a mensagem que precisa chegar ao usuário e ao board. Pois essas soluções não inviabilizam nenhum negócio, mas fortalecem a integridade dos produtos. A consequência disso é a expansão desse negócio”, encerra.

A discussão está disponível na íntegra no canal da TVSecurity no YouTube.


Conteúdos Relacionados

Security Report | Destaques

AT&T comunica acesso indevido aos dados dos clientes

Registros de chamadas telefônicas e mensagens de texto de quase todos os clientes foram baixados ilegalmente. Em nota, a companhia...
Security Report | Destaques

“Transparência é o fator-chave da relação entre SI e empresa”, afirma Gil Vega, CISO da Veeam

O atual líder de Segurança da Informação da vendor falou com exclusividade à Security Report sobre sua trajetória em diversos...
Security Report | Destaques

BRASPRESS retoma funcionamento do site oficial após ataque de ransomware

Incidente que causou a parada de diversos sistemas operacionais da companhia se deu ainda no começo dessa semana, e forçou...
Security Report | Destaques

Problemas técnicos causam perda de dados de 39 mil chaves Pix da 99Pay

Incidente ocorrido entre 26 de junho e 2 de julho desse ano foi revelado pelo próprio Banco Central do Brasil...