O Que Roubo a Banco e Prevenção de Ransomware tem Comum?

Imagine que você está se preparando para cometer um assalto a banco. Você se veste de preto e coloca sua máscara de Richard Nixon. Você se aproxima de uma área lateral, à noite, onde as câmeras de vigilância não têm um visual sobre uma janela. Você pega o seu cortador de vidro circular e cria uma entrada. Pisando dentro do branco, você acabou de quebrar a segurança. Glória e fortuna estão ao alcance de seus dedos.

Cofre

A realidade está prestes a lhe atingir como uma tonelada de tijolos. Bancos protegem seus ativos usando uma defesa em camadas e principalmente com privilégio mínimo. As camadas são, muitas vezes, cofres dentro de cofres. A área onde contadores sentam é mais segura do que o saguão e o cofre está em algum lugar atrás dos caixas. Funcionários com poucos privilégios só têm acesso às gavetas, arquivos e salas necessárias para o seu trabalho. Para provar a identidade, duas chaves de dois funcionários diferentes são necessárias para a abertura da porta do cofre.

Acessamos uma sala de conferência e agora é tempo para roubar. Há três garrafas que sobraram de água, uma lata de Coca-Cola e alguns blocos de anotações com logotipos sobre eles. Não sei se este é um grande avanço mas vamos continuar. Saímos desta sala e agora estamos no saguão. Há toneladas de canetas livres, guias de depósito e algumas cadeiras de escritório. Pegamos uma caneta e seguimos em frente, tentando saltar sobre a parede de vido dos caixas. Há mais cadeiras, blocos de notas, canetas e talões de depósito.

Passando pelos caixas é a porta do cofre – ricos devem ter ido lá pelo menos uma vez e convidados pelo gerente. O cofre não é tão fácil de abrir como nos filmes porque tem um bloqueio complexo. É hora de tomar uma decisão. Em primeiro lugar, você percebe que roubar um banco é super difícil e que os alarmes estão disparando. Assim você pode continuar tentando e, provavelmente ser pego, ou correr. Ao correr pode encontrar um alvo mais fácil. Provavelmente podemos roubar algo de mais valor do que três garrafas de água, uma lata de Coca-Cola e algumas canetas.

O que isto tem a ver com Ransomware?

Ransomware é uma violação, onde hackers invadem uma rede, encontram arquivos críticos para um negócio e criptografam. O hacker termina a violação vendendo à vítima uma chave de decodificação por uma quantia em dinheiro. Este é um mercado quente e há muitas ferramentas para prevenir esses ataques. Estas ferramentas são excelentes e eu sou um defensor para usá-las. Elas não vão parar 100% de todos os ataques, mas você deve começar com uma base sólida de segurança.

Ransomware

Dois controles de segurança fundamentais, o acesso de privilégio mínimo e autenticação multi-fator são o primeiro passo. Estes estão bem documentados na SANS CRC 20. Eles são referenciados em regulamentos como PCI, SOX, NIST, NERC … infelizmente esses controles são muitas vezes uma reflexão tardia e um ponto de falha dentro de auditorias de segurança.

No assalto fracassado ao banco, uma zona de defesa em camadas juntamente com acesso de mínimo privilégio, ajudaram a defender o banco. Em um cenário de segurança física isso faz sentido e nós vemos isto sendo utilizado todos os dias. Esses conceitos se aplicam quanto a construção de uma rede lógica segura para proteger de ataques como Ransomware.

Os hackers começam com o ponto mais fácil do ponto de entrada. Em vez de uma janela de vidro, eles têm como alvo um nome de usuário e senha. O relatório de investigação de violações de dados da Verizon 2016 afirma que 63% das violações envolviam o roubo ou descoberta de senhas fracas ou senhas padrão. Uma vez lá dentro o hacker tenta ganhar acesso ao principal cofre, que é um armazenamento de dados críticos de negócios.

As zonas de segurança do banco constituem em limitar o nível de acesso que uma pessoa tem entre as áreas. Um hacker acessa com a conta de usuário privilegiado para ter acesso a um servidor inteiro. Estas contas poderiam ser contas como administrador de rede, uma conta de VP ou conta de domínio local.
Muito parecido com o saguão dos bancos que não é aberto e não dá livre acesso ao cofre do banco, um usuário não deve ter pleno acesso a um servidor. Para resolver, devemos aplicar o acesso com privilégio mínimo. Dê apenas o nível de acesso necessário para a função de trabalho de um usuário. Se um hacker invadir, ele só tem um conjunto limitado de comandos para executar. É mais ou menos como acessar somente o saguão ou uma frente de caixa, ou seja, não há muita coisa de valor a ser roubada.

MFA2

Para garantir que tem acesso, é necessária uma autenticação multi-fator, isto prova a identidade da pessoa que está tentando acessar. Durante o assalto ao banco mencionamos o uso de duas chaves para entrar no cofre e isto dá uma maior possibilidade de provar a identidade de quem está tentando entrar. No mundo digital a autenticação multi-fator faz isso. Um exemplo é o envio de um texto ou de notificação para o telefone celular do proprietário da conta e que requer uma resposta antes de conceder o acesso. Este tipo de ação bloqueia o hacker de utilizar uma credencial fraca ou roubada. Sem a posse física do telefone celular, o acesso é negado.

Acesso de privilégio mínimo e autenticação de vários fatores dificultam a violação de uma rede ou de se fazer muita coisa caso a entrada seja feita. Nada vai impedir as tentativas dos hackers, assim como ladrões sempre vão tentar roubar bancos. Isso apenas fará com que a entrada seja mais complexa através do uso de controles básicos e fundamentais de segurança. Desistir e partir para outra se tornará uma alternativa melhor e mais fácil. Ferramentas avançadas de segurança ainda são necessárias, mas, os fundamentos sólidos para reduzir o risco e diminuir a probabilidade de futuros ataques, acesso de privilégio mínimo e autenticação de vários fatores devem ser os primeiros passos para construir ou reconstruir uma rede segura.

Saiba mais sobre a autenticação multi-fator em sua empresa aqui.