Lessons Learned from Another Big Breach

Lessons Learned from Another Big Breach

Uma entrevista com Josh Shaul, VP, Produtos de Segurança na Web

Vamos começar com algumas informações sobre o problema das violações de dados do consumidor.

É um problema enorme. Vimos mais de um bilhão de registros roubados até agora este ano, o que não é sem precedentes. Nos grandes ataques que são notícia, por exemplo, em grandes varejistas, os hackers costumam roubar nomes de usuário e senhas. O objetivo final é ganhar dinheiro, na maioria das vezes, comprando de forma fraudulenta produtos que podem ser vendidos no mercado negro. E a possível fraude não se limita à empresa violada, ela se estende a outras empresas on-line.

Veja como isso acontece: Os hackers não roubam senhas reais. Eles têm versões criptográficas, ou com hash, delas, representadas por vários 1s e 0s. Eles não podem fazer o caminho inverso para determinar a senha real, mas os algoritmos de hash que as organizações usam para proteger suas senhas são bem conhecidos. Assim, eles podem adivinhar as senhas (e quais informações adicionais podem ter sido adicionadas à senha antes de extraí-la) e, em seguida, executá-las usando o mesmo algoritmo e, às vezes, recebem uma correspondência, o mesmo grupo de 1s e 0s.

Em seguida, aproveitam o fato de que a maioria de nós reutiliza nomes de usuário ou senhas, ou pequenas variações deles, em todas as contas. Os invasores começam com um grande número de nomes de usuário e senhas. Eles vão de um website para outro, com privacidade e distribuição, com o objetivo de validar as credenciais. Eles vão a um grande website varejista e encontram dezenas de contas que funcionam lá, depois a um site bancário e encontram as contas que funcionam lá. Em seguida, a um website de e-commerce, e assim por diante.

Essas credenciais validadas são valiosas. Os fraudadores reais, geralmente outras pessoas, compram as credenciais e acessam as contas para ganhar dinheiro. Nos casos mais prejudiciais para as pessoas, os fraudadores acessam não apenas contas de varejo, mas contas de banco on-line ou contas de e-mail pessoais. As contas de e-mail podem ser as chaves para o reino, pois, por exemplo, senhas on-line para várias contas geralmente podem ser redefinidas por e-mail.

Em resumo, esse é um grande problema porque os invasores e os fraudadores são inteligentes, insensíveis, organizados e automatizados. Grandes violações de dados são sua matéria-prima.

O que há de diferente na violação da Equifax?

Os dados roubados na violação da Equifax podem alimentar o processo que acabei de descrever, mas é apenas o início do problema. Muitas informações pessoais foram roubadas, não apenas nomes de usuário e senhas, mas nomes, endereços e datas de nascimento e, o mais importante, números de previdência social. Com esse nível de informação, os fraudadores podem diretamente tentar abrir novas contas. Abrir uma nova conta bancária, fazer um novo empréstimo, adquirir um novo serviço de adiantamento de salário, bem como novas contas de compra de bens e serviços. Existe uma possibilidade de uma onda de roubo de identidades como jamais vimos.

A maior violação análoga foi provavelmente a do Office of Personnel Management há alguns anos. Informações pessoais profundas de 21,5 milhões de funcionários e prestadores de serviços federais foram roubados. Curiosamente, não sabemos muito sobre a extensão do roubo de identidade que se seguiu. Você não vê estatísticas sobre isso porque é o tipo de coisa que as organizações comprometidas não são obrigadas a publicar. Mas muitos dos indivíduos afetados provavelmente se inscreveram em serviços de monitoramento de crédito, incluindo a Equifax, para reduzir seus riscos. Agora, muitos já passaram por um círculo completo e viram seus dados serem roubados novamente.

Quais são as implicações para as empresas?

Todas as organizações que atendem a consumidores on-line querem proteger esses clientes e evitar participar, ainda que inconscientemente, de transações fraudulentas. Essas transações têm custos diretos em termos de bens, serviços e dinheiro roubados, além de custos administrativos para reduzir os danos e restaurar as contas dos clientes. A exposição financeira é enorme.

Na sequência da violação da Equifax, as empresas passaram por um novo nível de preocupações de segurança especificamente relacionadas ao roubo de identidade. Como você protege sua empresa e seus clientes quando suas informações pessoais não são mais particulares? E quando os pontos de dados que você usa para validar as identidades dos clientes são conhecidos pelos criminosos?

Os fraudadores podem escrever um software que tenta abrir milhões de novas contas em milhares de empresas diferentes. Se apenas uma pequena porcentagem for bem-sucedida, eles ainda estão recebendo muito dinheiro. Eles também podem tentar abrir ou alterar contas da maneira antiga, ligando para o call center de uma empresa e fornecendo todas as informações corretas. Esse é um problema mais difícil de resolver e requer mais autenticação, mas também é uma proposta muito mais cara para os invasores. Ainda assim, onde o pagamento parece alto o suficiente, eles se darão ao trabalho de colocar pessoas que parecem autênticas no telefone. Quantas pessoas de suporte ao cliente estão atentas aos pequenos sinais de que podem estar falando com um fraudador, ou até mesmo foram solicitadas a pensar sobre isso?

CEOs e CIOs de organizações que fornecem serviços baseados na Internet, que podem tocar nas finanças das pessoas, realmente precisam pensar muito sobre como podem garantir que dados vazados não estejam sendo usados para transformar suas organizações em veículos para roubo de identidade por meio de empréstimos originários, fornecimento de benefícios ou reembolsos fiscais, ou fazer vendas para pessoas que não deveriam receber essas coisas.

O que as empresas devem fazer para se protegerem e para proteger os clientes?

Desde a violação da Equifax, toda empresa on-line voltada para o consumidor precisa ter mais cuidado com novas contas e trocas de conta e senha, mesmo aquelas iniciadas por pessoas pelo telefone. As etapas adicionais de autenticação podem estar em ordem, e os consumidores inteligentes as reconhecerão mais como precaução do que como inconveniência.

A maioria das empresas deve se aprimorar em reconhecer quando estão sendo atacadas por hackers que tentam adivinhar nomes de usuário e senhas. Mesmo em pequena escala, é possível perceber se souber o que está procurando. Devem ser melhores também em distinguir seres humanos de robôs. A falha de login é um erro de digitação ou um bot tentando adivinhar? A entidade está se inscrevendo para uma nova conta on-line, é uma pessoa real ou um bot com informações roubadas de alguém?

Se for um bot, está se comportando corretamente? Alguns bots que você quer no seu website. Por exemplo, os clientes usam a Mint ou a Yodlee como seus agregadores de informações financeiras e dão a esses serviços permissão para acessar suas contas. E se o bot não estiver se comportando adequadamente, você pode mostrar rapidamente a porta ou levá-lo a um labirinto onde fica confuso e sua equipe de segurança pode diagnosticar o que está acontecendo?

Mais basicamente, muitas empresas precisam de uma camada extra de segurança que envolva seus ambientes on-line. Esse wrapper não precisa saber quais são todos os seus ativos. É preciso ser cuidadoso ao observar quem está acessando o seu endereço e reconhecer as ameaças mais recentes.

Essa não é a parte da história mais comentada, mas é extremamente importante. A Equifax disse publicamente que encontrou uma vulnerabilidade em seus sistemas. Eles achavam que tinham corrigido todos os sistemas com a vulnerabilidade, mas perderam uma. Foi tudo o que aconteceu. Os invasores eventualmente a encontraram e a exploraram.

A lição é que, mesmo quando você está sendo diligente, identificando sistemas vulneráveis e corrigindo-os o mais rápido possível, você ainda pode deixar passar algo. Ainda há possibilidade de erro. Pode haver sistemas vulneráveis na sua rede que não estão no seu inventário, que você nem conhece. E a aplicação de patches não é instantânea, pode levar minutos ou levar dias para implantar o software. Os invasores estão alertas para as vulnerabilidades mais recentes e podem entrar enquanto você ainda está aplicando patches.

Em todos esses casos, uma segunda camada de segurança fornece garantia adicional de que, se você deixar passar algo, você ainda tem alguma proteção. A Equifax pensou que tinham resolvido o problema e estavam errados.

Quais outros tipos de organizações são alvos prováveis de ataques de roubo de dados de clientes?

Em primeiro lugar, nenhuma organização está imune a ataques cibernéticos, portanto, todos que fazem negócios on-line e armazenam dados de clientes estão vulneráveis. Os criminosos virtuais gostariam de ir onde há muitos dados potencialmente valiosos. Isso significa as outras agências de crédito, as principais empresas de cartão de crédito e, agora, empresas como a LifeLock, a empresa de proteção contra roubo de identidade que vem anunciando amplamente e adicionando clientes após recentes violações. A Equifax foi violada, mas espera-se que essas organizações tenham segurança de "nível militar" em vigor.

Os criminosos virtuais, como o proverbial ladrão de bancos, também gostariam de ir onde está o dinheiro, mas as principais instituições de serviços financeiros investem muito para manter essa segurança de nível militar. Estas instituições estão protegendo seus ativos, suas operações e os valiosos clientes corporativos e individuais. Os clientes de varejo comuns se beneficiam do nível de segurança em vigor.

As empresas mais vulneráveis são como grandes varejistas que têm muitos dados de consumidores, mas não as margens de lucro e financiamento, ou talvez ainda não a motivação, para impor a proteção que poderiam. Há uma incompatibilidade entre o valor dos dados a serem protegidos e a segurança que podem pagar. Essas organizações devem reavaliar suas posturas e estratégias de segurança à luz da violação da Equifax e a quantidade de dados sobre seus clientes que já estão comprometidos.

No lado do governo, a Receita Federal é provavelmente o maior alvo. Eles têm as informações de todos, e eles têm praticamente todas as informações que um fraudador pode pedir. Eles têm segurança realmente robusta, é claro, tanto para proteger os dados quanto para detectar roubo de identidade. Mas não são perfeitos. Agências que dispersam benefícios, como a Medicare, parecem ser melhores na proteção de dados do que na prevenção de fraudes, mas seu desafio é complicado pelo fato de que reivindicações fraudulentas tomam tantas formas.

Um setor em uma posição difícil é a saúde. As organizações provedoras e as trocas têm uma enorme quantidade de informações pessoais das pessoas sobre as informações clínicas em seus registros eletrônicos de saúde. Elas estão sob grande pressão da HIPAA para proteger os dados pessoais dos pacientes. Mas há também uma tensão fundamental entre as despesas clínicas e outras despesas. Os médicos e as organizações provedoras estão focados nos resultados dos pacientes. É assim que eles se conectam. Portanto, eles preferem gastar com tecnologia clínica em vez de com tecnologia da informação ou de segurança. Eu tive uma conversa interessante com o CIO de um importante centro médico, que me disse: "Minha maior preocupação é que alguém chegue ao meu hospital doente, saia saudável, mas está pior por ter vindo aqui por causa do que aconteceu com seus dados".

Você falou sobre crime virtual como se fosse uma empresa.

E é exatamente isso que é, é uma grande empresa com diferentes modelos de negócios. Alguns crimes virtuais, incluindo muitos ataques patrocinados pelo estado, são espionagem industrial. Os invasores querem roubar dados técnicos, segredos comerciais ou outras informações proprietárias de corporações e agências governamentais. Ataques muito diferentes visam interromper operações de negócios derrubando servidores, redes e websites. Muitas vezes, são trabalhos de "ativistas" ou de usuários descontentes.

O crime virtual que estamos discutindo hoje, que começa com o roubo de dados sobre um grande número de consumidores individuais, provavelmente tem a ver com ganhar dinheiro. O dano às operações comerciais e à reputação de empresas comprometidas é um subproduto. Esta versão do negócio de crime cibernético tem seus próprios mercados e cadeia de suprimentos:
  • Os hackers encontram e exploram vulnerabilidades em sistemas corporativos para roubar e vender grandes quantidades de dados sobre pessoas.
  • Os intermediários compram os dados por atacado e colocam as pessoas e o software para trabalhar testando e validando as credenciais do consumidor, ou arredondando os dados necessários para o roubo de identidade. Eles basicamente culminam e agregam valor aos dados.
  • Fraudadores especializados compram esses dados validados e os monetizam por meio de vários canais de roubo de varejo, fraude financeira ou benefícios governamentais e fraude fiscal.
A cadeia de suprimentos é apoiada por um ecossistema inteiro, incluindo desenvolvedores de software que criam as ferramentas do comércio e uma força de trabalho de hackers para contratar. Existem serviços para transformar dados roubados em dinheiro, transformar produtos roubados em dinheiro e ocultar atividades de invasão. E esse ecossistema tem uma moeda de escolha em bitcoin.

Observe também que o crime cibernético é um negócio 24 horas por dia, 7 dias por semana. Os hackers estão constantemente no trabalho, mas em dois tempos. Visam empresas específicas e tentam explorar vulnerabilidades recém-descobertas antes que possam ser corrigidas. Os hackers são pescadores que procuram peixes grandes. Mas eles também estão trabalhando constantemente em segundo plano, lançando uma grande rede e aguardando pacientemente por qualquer peixe que venha à superfície, incluindo vulnerabilidades antigas com correção incompleta.

Esse pode ser o ponto mais importante para CEOs, CIOs, CSOs e executivos em geral nas consequências da violação da Equifax: Conheça seu inimigo. Você não está lidando com hackers isolados, mas com criminosos virtuais bem organizados e com recursos. Eles estão no negócio de fraudar pessoas e as organizações que os atendem. E o negócio deles é um setor em crescimento. Não subestime a capacidade, a engenhosidade ou a imaginação deles, em torno de onde, quando e como roubar dados valiosos.

Conteúdo relacionado ao CIO