Em meu último artigo, descrevi alguns pontos de como devemos nos armar para desmascarar o inimigo. Agora, no final de uma crise que vivenciei com o COVID-19 com a minha esposa e minhas filhas, achei interessante compartilhar como foi se proteger de uma contaminação mitigando o risco quando o inimigo está dentro de casa.
Olhando para isso sob outra perspectiva, comecei a comparar como seria viver com o inimigo dentro do seu ambiente de trabalho, seja uma contaminação de um ransomware, uma botnet oculta em um servidor ou um vazamento de dados na cloud. A criatividade dos atacantes tem sido cada vez mais invasiva.
No começo de setembro, me deparei com a minha esposa e minhas filhas com testes positivos do COVID-19, fui o único que não contraiu o vírus. O motivo não me pergunte, mas o criador do mundo deve saber, pois Ele mesmo diz: “que os seus pensamentos são mais altos do que os nossos pensamentos assim como os céus são mais altos que a terra!”
Para mitigar e impedir a contaminação, resolvi aplicar o protocolo recomendado pelas agências de saúde, como lavar as mãos sempre, ter um álcool gel líquido, máscaras em todo tempo, tirar os sapatos, trocar e lavar as roupas, dormir em quartos separados e uso de banheiros diferentes, etc.
Imagina a mente de uma cara que trabalha com risco nesta situação? De acordo com a minha esposa, fui ao extremo, mas pela questão de manter-se trabalhando e oferecendo o suporte necessário para elas.
O vírus pode se propagar pela saliva, tossindo ou espirrando. Se a pessoa contaminada colocar a mão no nariz e tocar em alguma superfície, existe a possibilidade de o vírus ficar ali por algumas horas. Como podemos ser tão vulneráveis a um vírus que não resiste ao um detergente?
Da mesma forma nossa empresa se torna vulnerável a um erro de configuração em um servidor, a ausência de um patch de segurança, uso de um algoritmo criptográfico fraco, excesso de privilégio de acesso, uso de funções vulneráveis em um source code, ataque direcionado por um phishing, método de autenticação fraco com senha sem a devida robustez, entre outros.
Lavar sempre as mãos assim como passar álcool me faz comparar com controle de revisão de acesso, a fim de assegurar que tudo está em ordem. Ou mesmo o uso de um SIEM para monitoramento do comportamento dos usuários na rede. Se há algum desvio e um pen testing, ou avaliação de segurança nas aplicações em uma periodicidade para garantir a conformidade com os controles e padrões de segurança.
Quanto ao uso de máscara, lembrei imediatamente do Firewall, IPS, WAF e outras soluções em nuvem para detecção de malware e ataques zero day. Assim como uma boa máscara pode proteger suas narinas e boca contra o vírus, estas soluções em conjunto complementam a proteção do ambiente.
Por hora, não adianta usar uma única máscara e não trocá-la, não e lavá-la, pois o vírus pode estar no ar tentando um ataque de brute force para entrar. Pense nisso quando o usuário não troca a senha.
Assim como a troca de roupa e um bom banho podem mitigar o vírus, a revisão de acesso também é importante, tanto no ambiente de IAM das aplicações críticas quanto nas revisões de regras de firewall. Uma limpeza pode eliminar a entrada oculta de um acesso indevido de um third party não homologado, por exemplo.
Como anda o processo de TPRM em sua organização? Você tem visibilidade e controle de todos os fornecedores e provedores de serviços que têm acesso a dados sensíveis da sua empresa ou até mesmo aqueles que acessam remotamente algum sistema via VPN? Todos estão seguindo as melhores práticas? Existe uma equipe eficaz avaliando a arquitetura no ambiente de cloud?
Em casa, tivemos outros controles mitigatórios com o risco do vírus, ou seja, passar um pano com um produto de limpeza e álcool gel apropriado para eliminar todo vírus em superfícies. Então, significa que uma boa solução de EDR com inteligência artificial e machine learning pode ajudar a detectar comportamentos hostis no ambiente de rede, colocar um malware ou uma botnet em ambiente de quarentena. Seja um pen testing usando framework como Mitre Att&ck ou técnicas de DAST e SAST. São iniciativas que ajudam na detecção de falhas no código fonte e erros de configuração na rede ou em nuvem.
Penso também que as agências de saúde fornecem materiais com informações sobre o vírus e como agir durante uma infeção. Com isso, como anda o processo de conscientização? Ainda mais agora com a grande maioria dos colaboradores trabalhando em condição de acesso remoto onde não temos o devido controle do ambiente? Podemos ver o aumento massivo de ataques de phishing e muitos usuários sendo impactados.
Em resumo, a minha percepção sobre esta situação no começo foi muito negativa, mas me levou a olhar com outros olhos durante o período de contenção ao vírus. Em outras palavras, controles mitigatórios e constante atenção foram os diferenciais, eu diria que o excesso dessas medidas foi fundamental para me proteger contra o vírus.
E o mais importante é que a minha família está bem, tanto minha esposa quanto as minhas filhas.
As perguntas que deixo para uma boa reflexão: Como anda a sua visão sobre as ameaças em seu ambiente? Você consegue passar para a alta direção como a empresa está segura e quais os riscos possíveis e inerentes ao seu negócio? Os controles implementados são suficientes e eficazes para mitigar um risco?
Enfim, os ataques não vão parar. Infelizmente, vimos um caso recente na Alemanha de uma paciente que faleceu devido um ataque de ransomware.
O que aprendi desta tempestade: é possível sobreviver a um ataque, na verdade, eles nos tornam mais fortes em imbatíveis.
Como ser humano, a maior batalha que vencemos foi quando éramos um espermatozoide e escalamos montanhas e montanhas para chegar à vida. Então, o que seria um vírus quando estamos fortes, com autoestima e a imunidade fortalecida?
Por hora, é assim que seu ambiente de cibersegurança precisa estar…
*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA e Senior Information Security Engineer para uma empresa financeira nos Estados Unidos.