O que os CISOs podem aprender com grandes violações: concentre-se na causa raíz

Views: 120
0 0
Read Time:4 Minute, 35 Second

Aborde as seis causas de violações para manter sua empresa mais segura.

Houve dezenas de mega-brechas na última década e mais de 9.000 violações relatadas. Sem surpresa, muitas violações não são relatadas, como mostrado por despejos de credenciais disponíveis na Dark Web, dos quais uma organização violada pode desconhecer completamente. O que está acontecendo de errado? Por que não conseguimos impedir essas violações?

Nos últimos anos, vimos uma infinidade de padrões de conformidade de segurança aumentar — PCI, ISO 2700x, NIST 800-53, HIPAA e outros — que exigem centenas de caixas de seleção para serem abordadas. No entanto, a maioria das organizações violadas estava em conformidade no momento em que a violação ocorreu. Embora a conformidade traga muitas vantagens para ajudar as organizações a ficarem mais seguras, não é suficiente para evitar a maioria das violações.

A principal razão pela qual esses incidentes ocorrem com tanta frequência é que, como indústria, não temos nos concentrado nas causas profundas das violações. A partir da minha análise de mega-brechas e milhares de outras violações relatadas, existem seis causas “técnicas” que devem ser abordadas, que são:

Phishing/Sequestro de Conta

O phishing foi usado em muitas mega-brechas, incluindo aquelas no Yahoo (divulgado em 2016) e Anthem (divulgado em 2015). Mesmo recentemente, no ano passado, a Verizon informou em seu “Data Breach Investigations Report” que o phishing ainda era responsável por 25% das violações.

Malware

O malware foi uma ferramenta-chave usada pelos atacantes na violação do Marriott, divulgada em 2018. A violação do Marriott ocorreu por causa de sua aquisição da Starwood Hotels, onde o malware foi usado para comprometer seu ambiente quatro anos antes da aquisição e não foi detectado por esse período de tempo.

Vulnerabilidades de Software

Vulnerabilidades de software de terceiros e terceiros, respectivamente, foram responsáveis pela violação “Ver Perfil Como…” do Facebook de 2018 e pela violação do Equifax de 2017. Na violação do Facebook, um conjunto sofisticado de três vulnerabilidades se uniu para permitir que os atacantes comprometessem dezenas de milhões de tokens de acesso para contas do Facebook. Na violação do Equifax, um servidor Apache Struts não corrigida foi explorado para permitir que atacantes executassem código de sua escolha no servidor vulnerável, e a vulnerabilidade foi usada para fazer um compromisso inicial. Embora a vulnerabilidade Apache Struts tenha sido amplamente divulgada, também houve uma injeção de SQL que foi aproveitada dentro do ambiente para exfiltrar dados confidenciais de um dos bancos de dados da Equifax.

Abuso ou Comprometimento de Terceiros

O compromisso de terceiros também foi uma causa raiz em muitos hacks e violações, incluindo o recente hack SolarWinds divulgado em dezembro de 2020, no qual a SolarWinds foi aproveitada como terceirizada para atingir muitos de seus clientes, incluindo nove agências governamentais e aproximadamente 100 empresas do setor privado. No entanto, o compromisso de terceiros está longe de ser novo e foi uma causa raiz das violações do Target e do JPMorgan Chase em 2013 e 2014, respectivamente, nas quais uma empresa de aquecimento e ar condicionado e uma empresa de gerenciamento de sites permitiram a infiltração inicial nas redes.

Dados não criptografados

Dados não criptografados têm sido uma causa raiz em milhares de violações em que dispositivos portáteis não criptografados são perdidos ou roubados, ou a perda física de mídia não criptografada ocorreu. Quando o nome de um consumidor e um identificador sensível sobre esse consumidor são perdidos ou roubados e esses dados não são criptografados, as leis de notificação de violação são acionadas e a comunicação a um procurador-geral do estado ocorre.

Erros inadvertidos do funcionário

Finalmente, erros inadvertidos dos funcionários (além de responder a e-mails de phishing, que prevalecem o suficiente para merecer sua própria categoria) também são uma causa raiz de muitas violações.

Como se pode abordar as causas básicas da violação? Embora uma resposta completa a essa pergunta esteja muito além do escopo deste artigo, existem algumas defesas padrão-ouro que podem ser empregadas.

Um bom primeiro passo é aproveitar chaves de segurança de hardware (como YubiKeys), que são eficazes na eliminação de phishing e aquisição de contas. Depois que o Google implantou chaves de segurança de hardware em 2017, não sofreu ataques de phishing bem-sucedidos até o momento, embora a empresa seja regularmente alvo de estados-nação. Defesas antimalware que implantam fortemente inteligência artificial têm sido extremamente eficazes na detecção de malware anteriormente desconhecido (“dia zero”).

Implementar um processo de gerenciamento de vulnerabilidades que usa vários scanners, tickets automatizados que priorizam vulnerabilidades que são ativamente exploradas em estado selvagem e verificação técnica via redigitalização quando a equipe afirma que as vulnerabilidades foram corrigidas protegerá solidamente uma organização contra vulnerabilidades de software conhecidas. Aegis é um exemplo de uma nova estrutura de código aberto que suporta uma abordagem robusta de gerenciamento de vulnerabilidades. O uso de ferramentas de observabilidade pode identificar vulnerabilidades anteriormente desconhecidas em novo código, aproveitando um modelo de desenvolvimento moderno no qual os testes de segurança não acontecem apenas em determinados estágios de desenvolvimento, mas o novo código é monitorado continuamente à medida que é desenvolvido, até seu lançamento em produção.

Tem sido dito que “a complexidade é inimiga da segurança”. Os padrões de conformidade são complexos e têm centenas de caixas de seleção para satisfazer, mas não estão ajudando a evitar mega-brechas. Precisamos simplificar se quisermos ter sucesso, concentrando-nos nas seis causas técnicas de violações e implantando contramedidas cientificamente eficazes que se concentrem nessas seis causas específicas.

FONTE: DARK READING

Previous post O que é governança de dados? Uma estrutura de melhores práticas para gerenciar ativos de dados
Next post Microsoft compartilha como hackers do SolarWinds escaparam da detecção

Deixe um comentário