Segurança em tecnologia Archives - Protiviti

Conheça as prioridades e perspectivas apontadas por CFOs e líderes financeiros de todo o mundo para o próximo ano.

Os resultados da pesquisa Global Finance Trends 2024 revelam um momento de transformação para os CFOs, cujas responsabilidades continuam a se expandir. As descobertas destacam um cenário de crescente importância da tecnologia e da automação, surgindo para apoiar o crescimento e o sucesso da organização. Equipes financeiras estão colaborando cada vez mais com outras áreas de negócio para enfrentar questões como cibersegurança, planejamento estratégico, otimização de custos e iniciativas de sustentabilidade.

A pesquisa, com mais de 950 líderes financeiros ao redor do mundo, mostra que CFOs estão priorizando a segurança de dados, o planejamento financeiro e o planejamento estratégico, avançando no uso de ferramentas de GenAI, e continuam a liderar o caminho em divulgações e relatórios ESG.

O que é Ownership Design e como ele pode evitar problemas comuns na TI?

Isso soa familiar? É sexta-feira, 16h, quando chega uma mensagem frenética do COO: “ninguém está conseguindo acessar o CRM. Por um acaso você começou uma atualização de fim de semana mais cedo ou algo parecido?”. Depois de realizar uma investigação (e ligar para casa para avisar que o planejamento do fim de semana se foi), você descobre que existe uma aplicação obsoleta em execução, que não possui mais suporte pelo fornecedor nem as atualizações recentes. Tempos atrás, o time de TI teve que passar por diversos obstáculos só para conseguir colocar essa aplicação em execução, pois era o que a área de negócios desejava.

Agora são 18h30, e todos os envolvidos estão reunidas em uma reunião no Teams. A área de negócios culpa o time de TI por não conseguir manter os sistemas operando. O time de TI culpa a área de negócios por insistir em utilizar um software obsoleto só porque “é o que usamos há décadas”. A chamada acaba. São 19h30 e, a despeito dos gritos e do apontamento de dedos, nenhum progresso foi feito. Você diz em voz alta: “ninguém quer tomar a questão para si. Onde está a responsabilidade?”. Isso soa familiar?

O que aconteceu?

Embora algo como a situação acima aconteça em diferentes tipos de organizações, de vários setores do mercado, ela tem uma causa raiz: Ownership Design. Compreendendo o conceito de Ownership Design, conseguimos ajudar a minimizar estes problemas e, por fim, alcançar a eficiência no ambiente geral de TI.

O que é Ownership Design?

Ownership Design, em tradução livre, seria o design e a implementação do famoso “sentimento de dono”). Ou seja, é, simplesmente, uma maneira de orientar com precisão o comportamento dos colaboradores, usando regras cuidadosamente projetadas, que definem como as pessoas assumem a responsabilidade das coisas.

Mas como? Aqui vai um exemplo real:

Todos nós gostamos de compartilhar nossas contas da Netflix – membros da família, vizinhos, colegas e até mesmo estranhos! Ainda que muitos usuários não percebam, compartilhar contas da Netflix pode ser um crime federal sob a Lei Fraude e Abuso de Computador (leis criminais a respeito de crimes cometidos com auxílio de computador nos Estados Unidos) e punível com até um ano de prisão. No entanto, o CEO da Netflix, Reed Hastings, transformou isso em uma oportunidade de marketing, dizendo: “adoramos que as pessoas compartilhem a Netflix”.

Isso pode soar contraintuitivo – uma empresa não deveria exigir que todos pagassem por seu próprio acesso? Ao permitir que as pessoas compartilhem suas contas, a Netflix espera que essas pessoas se tornem obcecadas com seus programas e eventualmente adquira sua própria assinatura. E essa estratégia de Ownership Design foi bem-sucedida.

Também conhecido como “roubo tolerado”, está é uma das muitas maneiras pelas quais o Ownership Design pode moldar o comportamento das pessoas.

Problemas comuns de Ownership Design

Aqui estão alguns dos problemas comuns de Ownership Design que podem ser encontrados em muitas organizações:

“Eu colho, você semeia”

A área de negócios quer uma aplicação, mas é o time de TI o responsável por implementá-la. Quando as coisas vão bem, o negócio se beneficia. Quando algo dá errado, é sempre culpa da TI. Então, o que está errado?

Se analisarmos esta questão pela ótica do Ownership Design, uma das causas raiz é o desalinhamento de interesses. Nessa relação, o interesse da área de negócios é uma aplicação melhor, o que exige mais esforços da TI. Enquanto isso, a TI opera com sua própria agenda crítica, e ao desviar esforços para um trabalho adicional, acaba por fornecer pouco ou nenhum benefício. Sendo assim, acaba gerando mais políticas e requisitos, como Acordos de Nível de Serviço (SLAs), que podem ser estabelecidos para forçar a TI a fornecer uma “melhor” qualidade de serviço. A realidade é que isso só funciona no papel.

Uma solução comum é o modelo chargeback (“cobrança retroativa”) . Isso permite que TI aloque seu orçamento para unidades de negócios específicas em vez de centralizá-lo em um único departamento, o que essencialmente torna as despesas rastreáveis, aumentando a transparência.

“Nuvem: um passe livre para a isenção de responsabilidade”

Mais e mais organizações estão migrando para a nuvem. Algumas delas adotam “cloud-first” (conceito de nuvem desde a concepção do projeto, o que pode trazer ganhos financeiros e eficiência operacional). A adoção da nuvem não apenas torna os limites da rede cada vez mais ambíguos, mas também torna o a definição de responsabilidades equivocada. Durante uma avaliação de segurança, a o departamento de TI em muitas organizações pode dizer: “Esta é uma plataforma em nuvem, não gerenciada por nós. Esse fornecedor de nuvem tem uma ótima reputação, então todos os usam.”. Dessa forma, a nuvem é usada quase como um passe livre para a isenção de responsabilidade.

E aqui está o problema: isso não é verdade. A história nos ensinou que uma má implementação pode minar uma grande tecnologia. Neste caso, entra a delegação de responsabilidades.

Para superar esse problema, uma organização deve garantir que os colaboradores entendam quais são suas responsabilidades. Muitos provedores de serviços de nuvem já possuem documentações que podem ser usadas como referência. Por exemplo, a AWS tem um modelo de atribuições compartilhadas que descreve como as responsabilidades são compartilhadas entre eles e os clientes.

“Construa uma comunidade, não silos”

A governança tradicional de TI nos diz para definir claramente as propriedades, as funções e as responsabilidades. Geralmente, isso acaba fazendo com que as pessoas gastem mais tempo para encontrar alguém para culpar, transformando a governança de TI em um jogo de apontar dedos. Agora, vamos parar e realizar uma análise da realidade: quantas dessas funções e responsabilidades foram implementadas com sucesso de maneira assídua?  

A governança excessivamente sofisticada apenas cria um fardo a ser imposto, gerando um ambiente de tensão em vez de criar um senso de comunidade. Somos todos humanos, e nossas práticas de negócios devem levar em conta isso. Um típico exemplo desta situação é a classificação da informação e rotulagem de dados. Muitas reuniões de governança de dados se transformam em jogos de apontar o dedo sobre quem deve aplicar rótulos e como esses rótulos devem ser aplicados. Em seguida, os usuários são culpados por não aplicarem corretamente os rótulos. Isso fere os sentimentos de todos!

Em vez de uma abordagem simples e direta, a governança de TI precisa funcionar mais como um balizador . Você pode aumentar ou diminuir a baliza, conforme necessário. Isso também é conhecido como “ambiguidade projetada”. Usando novamente a classificação da informação como um exemplo, na maioria das organizações, quão realista é para um usuário memorizar páginas de definições e categorizar adequadamente a sua sensibilidade toda vez que um documento é criado? Os fatores humanos devem ser levados em consideração – nós todos somo ocupados (e um pouco preguiçosos de vez em quando). Pode ser mais eficaz fornecer uma “regra prática” definida aos usuários para esta classificação, em vez de políticas excessivamente sofisticadas. Quando as tecnologias automatizadas estiverem prontas, uma opção é transferir a imposição desta responsabilidade para tecnologias automatizadas que possam entender o contexto de um documento em vez de simplesmente combinar padrões. Por exemplo, utilizar a IA para categorizar os dados com base nessas regras sofisticadas de uma maneira muito mais confiável. Afinal, a IA deve ser imune a algumas de nossas falhas humanas.

Use o Ownership Design como uma ferramenta

Os exemplos discutidos aqui são apenas a ponta do iceberg. Problemas de Ownership Design podem ser encontrados em toda governança de TI e, muitas vezes, podem ser as causas subjacentes de muitos problemas de governança de TI. Infelizmente, isso se deve à natureza humana, porque é inerente à nossa natureza perguntar: “o que eu ganho com isso?”.

Não se deixe enganar pelo termo Ownership Design. Não é uma abordagem simples. Em vez disso, deve ser usado como um balizador: você deve aumentar ou diminuir esta baliza, conforme necessário. O objetivo final nunca é ter uma designação clara de quem possui o quê, mas sim usá-lo como uma ferramenta para moldar o comportamento das pessoas. E quando usado corretamente, o Ownership Design pode ser uma ferramenta extremamente poderosa.

*Jacky GuoEric Mauser, Gerentes de Segurança e Privacidade da Protiviti INC.

Fonte: “Not My Problem” – The Oversight of Ownership Design – Technology Insights Blog (protiviti.com)

Danos à reputação, resgates pesados ​​e continuidade dos negócios são as principais preocupações com o ransomware. Mas o cerne da conversa é sobre a potencial perda de propriedade intelectual e informações de clientes e o espectro de negociações desagradáveis ​​com criminosos e outras partes que podem ou não ser patrocinadas por atores de estados-nação. O mercado ainda não sabe o número e a abrangência desses ataques, pois poucas empresas vitimadas por eles têm interesse em compartilhar suas experiências. No entanto, as estimativas dos custos totais de ransomware nos Estados Unidos chegam a US$ 20 bilhões em 2021. Várias coisas são claras: poucas empresas estão totalmente protegidas e nenhuma empresa se sente segura contra ransomware. E todas as empresas, independentemente do tamanho ou localização, são vulneráveis.

Os agentes de ameaças de ransomware de hoje se concentram na interrupção. Seu modelo é penetrar, extrair, criptografar e exigir resgate rapidamente, por exemplo, tudo em questão de minutos. As vítimas que se recusam a pagar extorsão devem se preparar para divulgações públicas de dados extraídos. Ou seja, os jogadores desonestos acabam controlando a empresa.

Ransomware: ataques cada vez mais sofisticados

À medida que os ataques e os próprios invasores se tornam cada vez mais sofisticados e as consequências continuam a aumentar, as empresas devem aprender e responder na mesma moeda. Para se adaptar com confiança a esse cenário de ameaças em evolução, eles devem combinar resiliência operacional, inteligência de ameaças cibernéticas e segurança cibernética. Mas isso não é fácil. Há muitas partes móveis a serem consideradas ao construir um sistema de defesa cibernética robusto, coerente e dinâmico que responda ao cenário de ataque com foco e velocidade.

Dada a complexidade e a dinâmica das exposições de ransomware, o que os membros do conselho podem fazer para ajudar suas organizações a enfrentar o desafio de analisar riscos e proteger ativos críticos? Seguem quatro sugestões:

Preparar o diretor de segurança da informação (CISO) para o sucesso no combate ao ransomware

Como os CISOs desempenham um papel essencial para a segurança de alguns dos ativos mais importantes da empresa, o conselho precisa fazer sua parte. É papel importante esclarecer as expectativas, educando-se sobre as questões, permitindo tempo suficiente de agenda para discussão e prestando atenção quando recursos e orçamentos adicionais são solicitados. Ao transmitir suas preocupações, os diretores auxiliam o CISO a focar os preparativos, prioridades e métricas para a diretoria. Assim, se o conselho atribuir um tempo limitado na agenda para a discussão cibernética, o conselho ou o presidente do comitê deve permitir que o CISO entregue a mensagem em resposta às expectativas declaradas e faça perguntas que exijam uma resposta mais detalhada offline. Idealmente, o CISO deve ser um parceiro estratégico no nível do conselho, com interfaces necessárias entre reuniões com diretores interessados e apoio ativo do presidente do conselho e do CEO

Organize o conselho para uma supervisão eficaz da segurança cibernética anti ransomware

Quando ocorre um ataque de ransomware, o conselho inteiro geralmente está envolvido até que o problema seja resolvido e a integridade do sistema seja restaurada. A manutenção dessa integridade no futuro é o foco principal do conselho ou de um comitê designado do conselho. Embora o CISO seja responsável pela resposta operacional e a gestão da empresa seja responsável por sua eficácia, os diretores devem esperar obter a confiança dos briefings do CISO de que o plano de resposta daqui para frente e quaisquer fornecedores terceirizados contratados para ajudar em sua implementação reflitam as lições aprendidas com ataques anteriores e avaliações contínuas do cenário de ameaças. 

Como a tecnologia é agora uma conversa estratégica, o conselho deve avaliar periodicamente se precisa de acesso a conhecimentos adicionais. Seja como membro ou consultor objetivo do conselho. As opções relevantes para estruturar as consultas do conselho dependem da gravidade do cenário de ameaças, do papel da tecnologia na execução da estratégia de negócios da empresa e da sensibilidade dos sistemas e dados que suportam o modelo de negócios.

ransomware

Faça as perguntas certas — E não negligencie terceiros ao fazer as perguntas certas

Muitos conselhos procuram entender como os ataques de ransomware ocorreram em outros lugares e se os cibercriminosos podem explorar esses mesmos métodos em suas organizações. Por isso, os diretores não devem subestimar a importância de fazer as perguntas certas à gestão sobre consciência situacional, estratégia e operações, ameaças internas, resposta a incidentes e tópicos relacionados. Sobre ransomware, os diretores devem se concentrar na avaliação de comprometimentos e na resposta e preparação a incidentes. Mas, além disso, o foco deve estar em uma visão de ponta a ponta da empresa. Um ataque de ransomware a terceiros que lidam com sistemas críticos e dados confidenciais pode interromper a operação, assim como um ataque direto à empresa.

Apoie a conversa com um painel de métricas apropriadas

Métricas relevantes podem incluir o número de vulnerabilidades do sistema, o tempo necessário para implementar patches, o número de violações, o tempo de permanência do invasor (o tempo necessário para detectar uma violação), o tempo necessário para responder a uma violação, o tempo necessário para remediar as descobertas da auditoria, a porcentagem de violações perpetradas por terceiros e o número de violações de protocolos de segurança. Ou seja, o tempo de permanência do invasor é particularmente crítico para um ataque de ransomware. Quanto mais tempo os invasores permanecerem indetectados em uma rede, maior a probabilidade de encontrarem sistemas e recursos que possam utilizar para resgate. Por isso, relatórios e métricas do CISO devem fazer parte das comunicações do conselho e ser integrados ao painel de gerenciamento de riscos corporativos (ERM).

Os invasores de ransomware de hoje geralmente são bem financiados, possuem experiência em negócios e são altamente qualificados em métodos de hackers. Além disso, precisamos dizer que eles jogam duro. Embora o conselho não seja responsável pelos detalhes operacionais do dia-a-dia, suas responsabilidades de dever de cuidado no espaço cibernético são significativas. Isso por conta da sensibilidade dos dados e o valor para os acionistas da propriedade intelectual, reputação e imagem da marca da empresa.

Fonte: Protiviti INC Blog. Ransomware: Analyzing Risk and Protecting Critical Assets | Protiviti – United States

No cenário atual de ameaças à segurança cibernética, com um volume cada vez maior de incidentes, é notável pensar que a gestão de vulnerabilidades proativa continua sendo um desafio para as empresas. As organizações estão adotando técnicas de gerenciamento de exposição a ameaças para gerenciar riscos de negócios decorrentes do desenvolvimento e aplicação de tecnologias como conectividade da Internet das Coisas (IoT), computação quântica e realidade aumentada. As práticas de gestão de vulnerabilidades representam o método mais comum para limitar proativamente a exposição a violações e explorações cibernéticas prejudiciais resultantes dessas adoções de tecnologia.

Um programa de gestão de vulnerabilidades bem projetado fornece transparência corporativa sobre vulnerabilidades, fraquezas e configurações incorretas conhecidas publicamente, que são priorizadas para correção com base no possível impacto nos negócios e na probabilidade de exploração bem-sucedida. Idealmente, a saída do programa é então repassada para a tecnologia operacional e equipes de segurança para aplicar patches de segurança a vulnerabilidades conhecidas, o que reduz diretamente o risco de segurança cibernética dos negócios.

As organizações muitas vezes lutam, no entanto, para integrar programas de gerenciamento de ameaças e vulnerabilidades às operações de segurança. Sem a integração adequada, há um risco significativamente maior de deixar vulnerabilidades críticas expostas a ataques cibernéticos, como roubo de dados ou ransomware.

A seguir estão alguns dos desafios comuns que impedem a integração adequada de programas de gestão de vulnerabilidades nas operações de segurança:

Falta de visibilidade total do ambiente na gestão de vulnerabilidades

Para que os programas de gerenciamento de vulnerabilidade reduzam efetivamente os riscos, as organizações devem ter visibilidade dos sistemas e aplicativos existentes em seu ambiente de tecnologia. Afinal, não é possível corrigir, remediar ou proteger algo que não é visível.

Falta de tecnologias de varredura apropriadas e configurações incorretas de varredura

Identificar vulnerabilidades críticas exploráveis ​​em tempo hábil é crucial para preencher as lacunas de segurança de forma eficaz e reduzir a superfície de ataque desprotegida. Comportamentos e ações que criam lacunas de segurança e causam problemas de visibilidade incluem não implantar ferramentas de varredura apropriadas em toda a empresa, não validar a cobertura de varredura em relação a um inventário de ativos definido e muitas vezes centralizado regularmente e/ou configurações incorretas de varredura (como executar varreduras não autenticadas) — qualquer um deles pode resultar em relatórios de vulnerabilidade imprecisos.

Metas conflitantes entre as equipes de TI e de segurança

Metas conflitantes geralmente criam atritos entre as equipes de TI e de segurança, dificultando a adequada gestão de vulnerabilidades e patches.

O sucesso da TI geralmente é medido pelo tempo de atividade da tecnologia, que é impactado negativamente quando sistemas ou aplicativos exigem correção programada, o que requer janelas de manutenção de aplicativos para aplicar patches ou alterações. Consequentemente, as equipes de segurança responsáveis ​​por proteger os sistemas das organizações e proteger os dados podem não receber o tempo e os recursos necessários para aplicar alterações ou patches para proteger tecnologias críticas para os negócios.

Muito para lidar

Redes grandes podem ter centenas de milhares – se não milhões – de vulnerabilidades. Muitas organizações lutam para visualizar, analisar e priorizar adequadamente as vulnerabilidades quando identificadas por ferramentas de gerenciamento de vulnerabilidades. Isso pode resultar na limitação do escopo e na prevenção de ações necessárias para abordar as correções de segurança mais críticas que permanecem sem correção enquanto as atualizações menos importantes são corrigidas.

Tempo de atraso entre as verificações da gestão de vulnerabilidades

Para a maioria das organizações, as verificações de vulnerabilidade são executadas fora do horário comercial principal, normalmente uma vez por semana. No entanto, há um atraso entre a identificação de uma vulnerabilidade positiva e a próxima verificação de vulnerabilidade que cria uma lacuna de visibilidade. No período de uma semana entre verificações regulares, a equipe de segurança não consegue verificar se um patch foi aplicado com sucesso. Portanto, deve presumir que o host continua vulnerável. Infelizmente, as vulnerabilidades críticas recém-descobertas geralmente são rapidamente armadas, e uma semana pode ser um tempo muito longo para que as lacunas de segurança ​​permaneçam sem solução. Essa lacuna de visibilidade geralmente deixa as equipes de segurança incertas sobre a validade de seus controles de segurança.

Para superar esses desafios comuns e obter o máximo valor de um programa de gerenciamento de ameaças e vulnerabilidades, as organizações devem considerar como incorporar o gerenciamento de vulnerabilidades em sua estratégia geral de operações de segurança. Comece seguindo estas práticas recomendadas:

Manter um inventário de ativos. 

Para qualquer organização avaliar e entender seus riscos, primeiro ela deve entender o cenário tecnológico atual. As empresas devem manter um inventário de ativos ou banco de dados de gerenciamento de configuração e compará-lo regularmente ao escopo do programa de gestão de vulnerabilidade. Quaisquer diferenças entre o inventário de ativos e o escopo de varredura devem ser resolvidas rapidamente para reduzir ou remover lacunas de visibilidade. Por exemplo, sistemas como hardware podem ser perdidos durante verificações baseadas em rede (em vez de baseadas em agente). Isso porque as verificações ocorrem fora do horário comercial e muitos laptops estão fora da rede nesse período. Isso é especialmente verdadeiro no ambiente de trabalho em casa (Home Office) que resultou na pandemia do COVID-19.

gestão de vulnerabilidades

Aproveite a inteligência de ameaças para priorizar as correções.

 As empresas devem pesquisar as ameaças e indicadores de comprometimento (IOCs) mais comuns em seu setor e correlacioná-los às vulnerabilidades correspondentes. As organizações devem começar concentrando-se nas vulnerabilidades que podem ser mais acessíveis a invasores externos. Normalmente, os sistemas voltados para o exterior e a zona desmilitarizada (DMZ) são os mais facilmente visados, enquanto os sistemas acessíveis apenas à rede interna podem exigir que um invasor ignore várias camadas de segurança primeiro.

As organizações podem então mapear vulnerabilidades conhecidas pelos frameworks de risco como MITRE ATT&CK e organizá-las em “cadeias” de ataque. Elas demonstram como os invasores podem aproveitar vários problemas de menor criticidade para obter acesso. Esses mapeamentos ajudam as empresas a determinar a verdadeira criticidade das vulnerabilidades. Além disso, a equipe de segurança pode usar threat hunting para determinar se vulnerabilidades críticas foram exploradas no ambiente antes de a vulnerabilidade ser identificada e corrigida.

Gestão de vulnerabilidades: aplique a automação.

 Adotar a automação de segurança pode ajudar as organizações a minimizar a duração das tarefas demoradas entre a identificação de vulnerabilidades, priorização, comunicação e correção. A automação pode ajudar a permitir etapas imediatas de redução de risco, como colocar em quarentena sistemas identificados como imediatamente exploráveis ​​da rede interna restante. Essas etapas podem fornecer às equipes de TI mais tempo para testar e implantar patches, reduzindo simultaneamente a possível exposição de vulnerabilidades exploráveis.

Como exemplo, considere o cenário em que os ataques de phishing que implantam ransomware são uma ameaça comum para o setor de uma organização. Nesse caso, a ameaça é um ransomware e as vulnerabilidades podem ser pontos fracos de configuração. Como, por exemplo, permitir documentos do Word habilitados para macro por meio de gateways de e-mail e um sistema não corrigido. Embora uma ferramenta de gerenciamento possa detectar a vulnerabilidade, ela pode se perder e ser ignorada na confusão dos relatórios. Com uma plataforma unificada de detecção de ameaças, uma vez que a vulnerabilidade seja detectada, uma resposta automática começará, evitando uma violação.

Complemente com simulações de violação e ataque.

 As plataformas de gerenciamento de vulnerabilidades descobrem vulnerabilidades conhecidas e explorações potenciais. Por outro lado, os recursos de simulação de violação e ataque destacam pontos fracos de configuração, lacunas de detecção e prevenção e problemas de arquitetura. As organizações devem garantir que um plano eficaz de resposta e recuperação seja avaliado adequadamente por meio de exercícios práticos. Isso deve ser testado periodicamente e ajustado à medida que o cenário de ameaças, pessoas, sistemas e processos mudam. Ao combinar o gerenciamento de ameaças e a gestão de vulnerabilidades, as organizações podem aumentar sua confiança na segurança e diminuir seu risco geral.

Comunique as métricas de sucesso ao conselho.

 Um programa de gerenciamento de vulnerabilidades bem projetado pode ajudar uma organização a visualizar como os riscos de segurança estão sendo tratados. Além disso, pode pintar uma imagem vívida do progresso ao longo do tempo. A apresentação de métricas de vulnerabilidade ao conselho e à liderança demonstrará melhoria contínua e ROI nos esforços de gerenciamento de vulnerabilidade. Ou, pelo contrário, destacará a necessidade de investimento adicional.

Integrando a plataforma de gerenciamento de vulnerabilidades a outra de detecção e resposta a ameaças, a organização pode acionar ações sem precisar de outra tecnologia. Essa abordagem integrada não apenas economiza tempo, mas também permite que a equipe tome outras ações de correção rapidamente, limitando a exposição da vulnerabilidade e reduzindo o risco.

Shinoy George, Diretor de Segurança e Privacidade da Protiviti INC.

Fonte: Traduzido de Protiviti INC Blog | How to Integrate Threat and Vulnerability Management into Security Operations – Technology Insights Blog (protiviti.com)

A gestão de vulnerabilidade é uma disciplina com a qual muitas organizações lutam devido a um fator simples: complexidade. Hoje, os ambientes tecnológicos mudam a uma velocidade cada vez maior, enquanto confiam em sistemas legados para dar suporte aos principais processos de negócios.

Em resposta a esse desafio de complexidade, os profissionais de segurança cibernética continuam a criar novos processos de gestão de vulnerabilidade para gerenciar o problema. Isso inclui verificação de vulnerabilidades, bancos de dados de gerenciamento de configuração (CMDB), IDs comuns de vulnerabilidades e exposição (CVE), políticas, patch by dates e uma variedade infinita de relatórios. Em suma, os profissionais de segurança cibernética tornaram um problema complicado ainda mais complicado. Nós – ou seja, os profissionais de cibersegurança – temos feito tudo errado. É importante que CIOs e CISOs reconheçam essa verdade à medida que exploramos métodos que podem ser usados para simplificar a solução de gestão de vulnerabilidades e criar uma chance maior de sucesso em nossas organizações.

Gestão de vulnerabilidade: o ótimo é inimigo do bom

Quando se trata de solução de problemas na gestão de vulnerabilidades, existem várias abordagens. Como tecnólogos, muitas vezes não discutimos detalhes insignificantes em nossa abordagem para gerenciar vulnerabilidades, por mais que sejamos obcecados pela perfeição em nossa busca por respostas. Com muita frequência, essa busca pela perfeição leva à perda de tempo. Descobrimos que a abordagem mais eficiente durante a resolução de problemas é uma mentalidade de “evolução acima da perfeição”. Essa perspectiva é mais comumente alcançada começando com o que sabemos ser verdade em qualquer situação. Seja aproveitando armazenamentos de dados corporativos, fazendo suposições fundamentadas com base em vulnerabilidades de segurança cibernética conhecidas e suas características, ou mais simplesmente gerenciando a quantidade de ambiguidade de um determinado processo, a evolução sempre deve ser a prioridade.

Crie um processo efetivo de correção de vulnerabilidades

Um desafio comum entre a TI e os negócios que geralmente surge nos programas de gestão de vulnerabilidades é criar um processo de correção bem-sucedido que seja realista para todas as partes interessadas. Por isso, a implementação de um processo de correção de vulnerabilidades bem-sucedido começa com a compreensão de como a TI funciona e trabalha dentro de sua estrutura de recursos atuais. Quando o negócio continua a impor expectativas irreais, nada é realizado. Em vez disso, entender e desenvolver um processo para o estado atual do programa de gestão de vulnerabilidades e, posteriormente, prever as expectativas para um estado futuro geralmente é a melhor prática. Comunicar o risco em termos de entendimento do negócio e alinhar as expectativas do negócio ao modo como a TI funciona é a chave para definir parâmetros bem-sucedidos para cronogramas de correção de vulnerabilidades.

Identifique o verdadeiro problema

gestão de vulnerabilidade

Os programas de gestão de vulnerabilidade geralmente adotam o mantra de “conserte e esqueça” sem examinar e explorar adequadamente a causa raiz do problema. Alguns podem se referir a isso como a abordagem “jogo da marretada”, que geralmente é adotada quando o objetivo de uma solução de gestão de vulnerabilidade é eliminar o acúmulo de patches ausentes. O problema com essa abordagem, se não for detectado no início, é que as vulnerabilidades conhecidas serão consistentemente remediadas (ou “corrigidas”) sem entender o contexto dos problemas sistemáticos, o que permite que a frequência desses problemas persista. 

Nossa solução para essa abordagem é simples: as organizações devem dedicar recursos para realizar análises de causa raiz para seus problemas mais críticos. Essa análise pode ser conduzida de várias maneiras, mas geralmente começa simplesmente perguntando “por quê.” Até que o tempo adequado seja investido para conduzir a análise da causa raiz no nível do programa, a verdadeira causa dos tipos de vulnerabilidades críticas mais persistentes permanecerá desconhecida.

Permanecer consistente na comunicação dos resultados do programa de gestão de vulnerabilidade

Como profissionais de segurança da informação, comunicar os resultados do programa de gestão de vulnerabilidades pode ser um processo estressante se feito sem o contexto e a direção apropriados. Por exemplo, comunicar os resultados aos responsáveis errados pode gerar confusão que resulta em processos de reporte menos eficientes. Felizmente, muitos desses problemas podem ser resolvidos com consistência e transparência. Assim, a comunicação dos resultados do programa de gestão de vulnerabilidades deve ser consistente para fornecer tendências e evolução ao longo do tempo. Os resultados do desempenho do programa também devem ser transparentes ao público-alvo para destacar as vitórias e deficiências do programa. Ou seja, a obtenção de feedback é importante para confirmar a compreensão de quando esses processos de reporte de gestão de vulnerabilidades estão sendo iniciados.

Adapte as métricas à gestão executiva

O fator mais importante ao determinar as métricas que serão usadas para diagnosticar a integridade de um programa de gestão de vulnerabilidade é a polarização. As métricas devem polarizar o público para fornecer conforto suficiente para permanecer sentado ou atenção suficiente para sair de suas cadeiras. Isso é mais comumente visto na prática, definindo limites para as métricas do programa que melhor respondem à pergunta “quão ruim é?”. Além disso, quando se trata de reportar à gerência executiva, as métricas precisam fazer sentido para o pessoal que não é de TI. A armadilha da complexidade também pode aparecer quando se trata de personalizar métricas.

Ao operar de forma eficaz, as métricas do programa devem destacar as áreas problemáticas maiores ou mais importantes dentro da organização. Por isso, as métricas devem ser usadas como a telemetria de um programa de gestão de vulnerabilidades. Assim, vincular as métricas do programa às metas organizacionais e também alterar as métricas quando as metas são alcançadas é extremamente importante. Os riscos continuarão a evoluir ao longo do tempo e nossas métricas devem se adaptar para permanecer alinhadas com essas mudanças. Além disso, as métricas de gestão de vulnerabilidades devem ser claras e diretas para ajudar a organização a entender sua postura de segurança atual.

E agora?

A pergunta que segue essa orientação simples e eficaz é muitas vezes: “e agora?”. A implementação das conclusões acima em um programa organizacional grande e complexo começa com a comunicação. Por isso, o primeiro passo é comunicar as partes interessadas sobre os desafios do programa e a abordagem para resolver conflitos e reduzir riscos. A mudança deve começar pequena, aproveitando os dados organizacionais e relatórios de gerenciamento de vulnerabilidade enriquecidos. Exemplos de curto prazo incluem o desenvolvimento e atualização de processos de gerenciamento que se alinham com a TI e combinam isso com o desenvolvimento de relatórios que respondem perguntas simples. Como profissionais de segurança, devemos sempre nos responsabilizar para que mudanças reais ocorram.

Jason Bowen, Diretor e Kylle Shockley, Gerente Sênior, ambos da área de Segurança e Privacidade da Protiviti INC. Traduzido de Protiviti INC Blog | Vulnerability Management: We’ve Been Doing It All Wrong – Technology Insights Blog (protiviti.com)

Por Renato Mirabili Junior*

A sociedade e a tecnologia avançam a passos largos. Na mesma velocidade, se faz necessário que organizações invistam em segurança da informação, apostando em profissionais capacitados, ferramentas inovadoras, políticas de segurança adequadas, treinamentos e tudo que torne o ambiente corporativo cada dia mais seguro e insuscetível a falhas. Nesse contexto, a implementação de um SOC (Security Operations Center, um Centro de Operações de Segurança) reúne estratégias importantes que servem de resposta a muitas dessas demandas. Graças ao valor da informação, hoje em dia, cada vez mais empresas investem em seu próprio centro de operações de segurança.

Com um SOC, softwares de coleta e análise de dados permitem monitorar em tempo real a infraestrutura e alertar sobre quaisquer eventos que ameacem o negócio, com monitoração preventiva de ataques, resposta rápida a incidentes, armazenamento de logs e gestão preventiva de fraudes, invasão ou qualquer ocorrência de vazamento de dados, perda de informações ou impacto à continuidade do negócio.

No mercado, diversas ferramentas estão disponíveis para esse fim. Uma das mais utilizadas é o Elasticsearch, um dos mais poderosos instrumentos de indexação e busca de dados. Mas afinal, o que vem a ser isso? O Elasticsearch faz parte do pacote conhecido como ELK Stack, que se trata de uma sigla para três projetos Open Source (Elasticsearch / Logstash / Kibana), adicionados ao projeto X-Pack, e que podem ser resumidos da seguinte forma:

Elasticsearch – É o mecanismo de busca e análise de dados, mas também pode ser utilizado como fonte de dados da aplicação, ou seja, ele provê o armazenamento de dados.

Logstash / Beats – São responsáveis pela ingestão de dados no Elasticsearch. O Filebeat, ou simplesmente Beats, é capaz de monitorar arquivos de Log, os quais são analisados e depois importados para o Elasticsearch. O Logstash é um pipeline de processamento de dados do lado do servidor que absorve dados de uma variedade de fontes, transforma-os e os envia para um local de destino onde serão depositados e analisados.

Kibana – É uma interface WEB a qual permite que os usuários visualizem de forma fácil com diagramas, mapas e gráficos, os dados do Elasticsearch, tudo em tempo real, podendo criar e salvar Dashboards que atendam da melhor forma possível e facilitem a visualização e compreensão pelo analista.

X-Pack – Apesar de ser uma ferramenta paga, possui diversos componentes gratuitos. É capaz, por exemplo, de fazer o monitoramento do cluster, emitir alertas e relatórios e análise de grafos.

Como funciona

No Elastic, todos os documentos são indexados. Isso significa que tudo é registrado e armazenado em um banco de dados. Quando realizamos uma busca, o Elastic efetuará a análise através do índice invertido.

Isso é possível porque os índices invertidos alimentam o mecanismo de busca, armazenando todo o conteúdo, sejam palavras, números, caracteres etc., que podem estar presentes em um determinado número de documentos, encontrando paridade entre o conteúdo armazenado e os mesmos. No índice invertido do Elastic, ele não armazena apenas a ocorrência das palavras, mas, também sua ordem. Sendo assim, quando um novo texto é lido, o Elastic já tem a resposta, obtendo os resultados rapidamente, classificando o Elastic em uma ferramenta de busca eficaz e com resultados praticamente em tempo real.

No Elastic também podemos utilizar a funcionalidade de Filter (Filtros), o qual podemos salvar dados de pesquisa para realizar buscas e consultas repetidas, garantindo uma entrega aprimorada e eficiente.

Como usar

Através do recebimento dos Logs, podemos, por meio de análise desses dados do Log, praticamente em tempo real, conduzir ações para combater/evitar eventos maliciosos ou suspeitos em determinado ambiente. Abaixo veremos alguns exemplos de casos de uso diários do Elastic, no campo da Segurança da Informação:

Esses são apenas alguns exemplos dentre uma gama enorme do que pode ser feito com essa ferramenta. É valido reforçar que, hoje, o Elastic é uma das ferramentas mais promissoras do mercado profissional e cumpre com excelência o que se propõe como uma solução contra ameaças e vulnerabilidades do cliente.

Kibana: saiba mais sobre seu uso em um Centro de Operações de Segurança

Uma das tarefas principais do Centro de Operações de Segurança é o monitoramento, que inclui toda e qualquer atividade de rede, servidores, bancos de dados, antivírus, enfim, quaisquer procedimentos que possamos identificar algum tipo de vulnerabilidade que possa dar “entrada” para eventos maliciosos. Uma das principais ferramentas para esse monitoramento é o Kibana, uma interface gráfica acessada via navegador WEB para visualização dos dados coletados pelo Elastic.

Com o Kibana podemos, basicamente, obter qualquer tipo de visualização com painéis e gráficos (pizza, barras, mapas, medidores, etc.) criando dashboards personalizados para termos uma visão geral desses dados.

Tipos de Visualizações

Através do menu “Visualize Library”, é possível acessar todos os modelos de visualizações disponíveis no KIbana. Já em “Create Visualization” temos a opção de criar utilizando estes modelos já existentes. Entenda algumas das possibilidades de visualização da ferramenta:

Visualização Métrica – Tudo o que ela faz é exibir um único número (contador) com base na agregação do Elasticsearch.

Barra Vertical – Mostra a quantidade de Logs recebidos em um gráfico de eixo XY, em um determinado intervalo de tempo.

Centro de Operações de Segurança - Visualização Elasticsearch.

Gráfico de Área – Mostra essencialmente o mesmo que o gráfico de Barras, exceto que a área abaixo da linha é destacada.

Centro de Operações de Segurança - Visualização Elasticsearch.

Gráfico de Linhas – O gráfico de linhas é muito parecido com os gráficos de barras e de área, sendo sua configuração praticamente a mesma. A sua vantagem é que poder criar várias informações dentro de um único gráfico, economizando tempo e deixando-o mais compacto que os demais.

Centro de Operações de Segurança - Visualização Elasticsearch.

Gráfico de Pizza ou Torta (Pie) – Este gráfico é totalmente diferente dos demais, pois contém um conjunto de dados específicos e mais adequados para este tipo de gráfico. Ele divide em “fatias” uma contagem total dividida em subcategorias.

Centro de Operações de Segurança - Visualização Elasticsearch.

Para termos uma ideia pratica de como utilizar esses modelos de visualizações, podemos ter um contador de falha de logons, utilizado a visualização métrica, por exemplo. Ou poderíamos ver em tempo praticamente real uma tendência de recebimento de logs e suas oscilações para cima ou para baixo, utilizando gráfico de Barras ou de Linhas ou, no caso de querermos dois ou mais dados comparativos, como, por exemplo, total de logs de Logons Realizados x Falhas de Logons, usaríamos a visualização de Linhas. E usando o gráfico de Pizza, poderíamos ter uma visualização de um total de Falhas de Logons dividido por Usuário ou por Host, por exemplo. Enfim, temos uma gama enorme de opções para podermos montar cada visualização e inseri-la posteriormente no dashboard.

Os dashboards são conjuntos de visualizações criadas geralmente exibindo dados relacionados e vindos de uma mesma fonte de dados. Com o Kibana, é possível criar versões personalizadas dessas visualizações da dados, que possam ser acessadas mais rapidamente e de maneira constante.

Centro de Operações de Segurança - Visualização Elasticsearch. de dashboard
Exemplo de dashboard configurado.

À medida que cresce a importância de garantir uma maior proteção de dados, confiabilidade e conformidade com órgãos reguladores, as empresas aumentam o investimento em segurança da informação e este é somente um exemplo de como isso pode ser feito através do monitoramento de uma central de SOC. Caso haja interesse em conhecer melhor esse serviço e as ferramentas apresentadas aqui, entre em contato com o time de especialistas da Protiviti no site.

*Renato Mirabili é Consultor de SOC na Protiviti Brasil.

O marketplace é uma espécie de shopping center virtual no qual empresas ou pessoas vendem seus produtos em uma plataforma centralizada que as conecta com potenciais consumidores. E, como todo negócio online ou físico, é passível de fraudes. Existem plataformas puras de marketplace, como Ebay e Mercado Livre, e plataformas híbridas, nas quais as empresas cedem espaço para as outras organizações venderem seus produtos.

Este segundo modelo foi idealizado e implantado pela Amazon em 2014. Seu sucesso foi tão grande que se espalhou pelo mundo como rastilho de pólvora. No Brasil, os gigantes do comércio eletrônico, como B2W, Magazine Luiza, Carrefour, ente outros, aplicam o modelo de marketplace em suas plataformas.

Porém, há riscos que estas empresas estão expostas ao permitir que sellers (nome dado às empresas que se cadastram no marketplace) vendam produtos em seu ambiente virtual. E isso pode trazer impactos, principalmente, à imagem e aos resultados financeiros do negócio. Vamos explorar alguns riscos a seguir. Confira!

Marketplace: sellers incapazes de atender a demanda de venda

Em geral, são empresas individuais ou de pequeno porte, que não têm capital de giro para sustentar altos estoques. E isso pode fazer com que eles não tenham capacidade de atender a alta demanda das vendas no marketplace.

Isto também acontece quando a empresa cai na armadilha de vender com preços baixíssimos, se iludindo com o volume de vendas, mas não se atentando à baixa margem e incapacidade de financiar a compra de novos produtos.

Para tratar este risco, é importante que a plataforma crie gatilhos de venda no início da vida do seller, delimitando o volume de venda. Isso permite testar a capacidade de atendimento do seller aos seus clientes.

Sellers fantasmas

Há casos de fraudadores que se apropriam de dados de empresas para cadastrá-las em marketplaces. Ou ainda, criam empresas para forjar vendas e nunca entregar os produtos. Este tipo de fraude tem vida curta, pois, o nível de reclamação dos clientes rapidamente sinalizará que algo está errado.

Porém, até lá, a imagem do marketplace poderá ficar arranhada. Além disso, essas fraudes podem acontecer em alto volume, pelo uso de robôs de cadastro. Com isso, é possível criar dezenas de sellers fantasmas ao mesmo tempo.

Uma das saídas para isso é travar o pagamento do seller e realizá-lo apenas após a confirmação da entrega do item. Outra solução é a implantação de inteligência artificial para análise de comportamento (user behavior analytics – UBA).

Essa é uma ferramenta que capta o comportamento do usuário e consegue identificar se há um ser humano por trás da máquina ou um robô realizando processos em massa. Ela também avalia a idoneidade do dispositivo de onde esse cadastro está sendo feito.

Venda de produtos irregulares (piratas, sem certificação)

Segundo um estudo da MarkMonitor, em parceria com a Vitreos World, aproximadamente um terço dos usuários da internet foram enganados e levados a comprar produtos falsificados. No Brasil, basta entrar no Reclame Aqui que a insatisfação com a surpresa de receber produtos falsificados comprados em marketplace é recorrente.

Este é um risco difícil, mas possível de mitigar. Algoritmos de aprendizado de máquina (Machine Learning) podem ser treinados para identificar variações de preço improváveis para um mesmo produto e, assim, apontar o risco da venda de itens falsificados.

Outro problema crítico é a venda de itens sem certificação de agências reguladoras. As principais infrações recaem sobre itens não homologados pela ANATEL (dispositivos eletrônicos), ANVISA (suplementos alimentares e vitaminas), INMETRO (brinquedos) e ANAC (drones).

Estar em conformidade com agências reguladoras e certificadoras é um grande desafio hoje para os marketplaces. É importante haver uma cláusula de aceite na qual o seller declare que seus itens estão em conformidade com regulações e leis locais.

Além disso, o marketplace pode também definir riscos para algumas categorias que podem passar por análise mais detalhada antes da aprovação para divulgação do item no site. Uma relação estreita  entre fabricantes e marketplace ajuda na proteção das marcas e, assim, evitam fraudes.

Cliente fantasma

Neste caso, os sellers podem forjar vendas fantasmas utilizando dados de cartão adquiridos, por exemplo, da deep web. Dessa forma, o marketplace criado é utilizado com a principal finalidade de “sacar” o dinheiro dos cartões de crédito roubados por meio de vendas que não existem.

Este ataque também pode ocorrer por meio de robôs que executam processos em massa. Logo, uma solução de UBA também pode ser aplicada para conter esse risco.

Como prevenir fraudes no marketplace

A criatividade e as amplas possibilidades de fraudes demandam uma abordagem multidisciplinar de prevenção. Ela deve abarcar um processo com múltiplos modelos para identificação e tratamento deste problema.

Abaixo, são apresentadas algumas soluções para prevenção de fraudes no marketplace. Confira!

Due Diligence e scoring de risco do seller

Esta diligência consiste na avaliação de dados cadastrais e dados financeiros do seller, que deve resultar em um scoring com base em regras pré-determinadas. Estas devem considerar os dados enviados per se, como, por exemplo: data de abertura, tamanho da empresa, CNAE, etc.

Também deve realizar análise externa das informações, como, por exemplo: checagem do CNPJ na Receita Federal, avaliação dos sócios da empresa etc.

O scoring de risco pode determinar, por exemplo, o volume de venda permitido pelo seller, que pode subir de acordo com o nível de serviço (entregas atendidas e avaliação de consumidores) que o mesmo terá na plataforma ao longo do tempo.

Monitoramento do cadastro de produtos

O cadastro dos produtos deve ser monitorado pela plataforma, garantindo que itens falsificados, não homologados ou proibidos por lei não sejam vendidos. Este processo pode ser feito por meio de algoritmos de deep learning que conseguem identificar o item da foto e cruzar com a descrição dada ao produto.

Além disso, é possível solicitar alguns campos que, se preenchidos, podem aumentar a confiabilidade do item (ex.: código universal, código EAN). Outra forma de monitorar o cadastro é aplicar um algoritmo de machine learning para acompanhar o preço do produto e cruzá-lo com o mesmo em outros sellers. Em caso de grandes divergências, o item pode ser bloqueado para averiguação.

User Behavior Biometrics/Analytics no marketplace

Com base na captura dos dados do usuário que está acessando a plataforma, é possível identificar tanto as características do dispositivo como o comportamento do usuário. Isto permite identificar, por exemplo, se há um humano ou um programa (robô) por trás das ações no marketplace.

Além disso, é possível detectar dispositivos com características suspeitas como, por exemplo: um celular recém habilitado, sem nenhum aplicativo instalado, conectado constantemente a um carregador — características incomuns e fora da média dos usuários.

Além dessas, existem outras soluções que são aplicáveis na identificação e tratamento de fraudes no marketplace e no comércio eletrônico, em geral. A aplicação delas de forma isolada ou complementar depende do nível de precisão desejado e da capacidade de investimento possível para a contenção desse risco. O lado positivo é que, com a popularização da inteligência artificial, há cada vez mais mecanismos para conter fraudes e riscos no marketplace.