Tag ameaças cibernéticas

Risco cibernético será tema obrigatório na agenda de Conselhos de Administração em 2018

Os Conselhos de Administração não estão preparados para direcionar adequadamente as maiores companhias do Brasil sobre os riscos cibernéticos.

Esta é uma das conclusões da votação interativa da 62ª Mesa de Debates do ACI Institute. O ACI é um instituto da KPMG que tem o objetivo dedisseminar a importância da Governança Corporativa e do compliance. A 62ª Mesa de Debates contou com a participação de 123 executivos, entre conselheiros de administração, conselheiros fiscais e membros dos comitês de auditoria das principais empresas que atuam no Brasil.

Segundo os dados, o direcionamento foi considerado adequado por apenas 20% dos respondentes. Trinta e três por cento avaliaram o direcionamento como regular, 41% como não adequado e 6% não souberam opinar.

“Com base nos dados, 80% dos executivos não estão seguros quanto à qualidade do direcionamento oferecido pelos Conselhos de Administraçãosobre riscos cibernéticos. O índice é bastante elevado e preocupa, sobretudo diante da exposição crescente das empresas a ataques dessa natureza”, afirma o líder do ACI Institute e sócio da KPMG no Brasil, Sidney Ito.

Os executivos consultados também debateram, neste evento do ACI Institute, os principais tópicos que precisam estar na agenda doConselho Administração em 2018. Entre os temas de destaque estão disrupção tecnológica, inovação e resultados a longo prazo, tone at the top e cultura corporativa, ativismo e a relação com os investidores, diversidade e o tempo de mandato dos conselheiros.

Tags, , , , , , , , ,

Exposição de falhas dos gigantes da tecnologia continuará em 2018, avalia especialista

O ano de 2018 já começou a todo o vapor no que tange ao tema segurança cibernética. Vulnerabilidades foram descobertas em todos os processadores utilizados no planeta. Profissionais de segurança revelaram a existência de duas falhas gravíssimas de segurança, que afetam inúmeros processadores fabricados ou que embarcam tecnologias da Intel, AMD e ARM nos últimos 20 anos. As falhas foram identificadas como Meltdown e Spectre

“O ano mudou, mas o panorama continua o mesmo”, avalia Bruno Prado, especialista em segurança digital e CEO da UPX Technologies, empresa especializada no combate e prevenção a ciberataques. “O ano de 2017 foi marcado por grandes ataques em massa que afetaram o mundo inteiro e deixaram as empresas em alerta com ameaças como o WannaCry – ransomware que sequestrou os dados de organizações em todos os continentes”, relembra o executivo.

Em 2018, segundo estimativa da consultoria Gartner, o investimento global na segurança da informação deverá ser de US$ 93 bilhões, o que representa um aumento de 12% em relação ao ano passado. “Mesmo com as altas cifras, o setor se mostra vulnerável e coloca em risco os dados dos usuários, sejam eles empresariais ou não, por meio de falhas como a Meltdown e a Spectre”, relata Prado.

As duas falhas foram capazes de atingir os principais fabricantes de processadores, Intel, AMD e ARM, envolvendo sistemas operacionais da Microsoft, Apple e Google. O primeiro, Meltdown, é uma lacuna de segurança em hardware de chips Intel que explora a comunicação entre os núcleos de processamento para interceptar as informações que ali trafegam. Essa brecha não possibilita que ocorram alterações ou a exclusão dos dados, porém coloca em risco a integridade de itens tais como nomes de usuário, senha e informações bancárias.

O Spectre, por sua vez, é uma vulnerabilidade capaz de atacar diversos modelos e marcas de processadores. Pode ser executado por meio dos navegadores web com a execução de um código em Java, o que coloca em risco os usuários de todos os tipos de dispositivos que possuam acesso à rede mundial de computadores.

Além dessa falha identificada nos processadores, Prado faz alerta para outras ameaças. Uma delas, diz o especialista, é um botnet chamado Reaper, que tem se propagado rapidamente e já infecta diversas organizações por meio de dispositivos IoT (Internet das Coisas), computadores e roteadores desprotegidos. “A qualquer momento, poderá haver um ataque de negação de serviço (DDoS) em larga escala, provavelmente o maior já registrado, superando o Mirai, que tirou do ar diversos servidores em 2016”, alerta o especialista.

Assim como na maioria dos ataques, diz Prado os danos são provenientes de atrasos em atualizações. “Ao utilizar softwares desatualizados, os usuários se expõem aos riscos de brechas de segurança, que são aproveitadas pelos cibercriminosos como forma de abrir caminho para o roubo de informações”, alerta ele.

As empresas, por sua vez, são testadas em tempo integral por criminosos virtuais, que buscam por oportunidades de realizar malfeitos. “Para equilibrar a balança, é fundamental atuar em conjunto com um PenTest – método cuja finalidade é avaliar a segurança de um sistema de computador, tanto desktop quanto mobile, seus softwares, redes, sites, servidores, aplicativos e até hardwares, simulando um ataque malicioso para identificar possíveis vulnerabilidades nos sistemas”, afirma o especialista.

Desse modo, afirma Prado, os gestores ficam cientes de quais são os pontos frágeis que podem ser explorados e conseguem realizar um investimento mais preciso e garantir sua proteção contra toda a diversidade de ameaças presentes na rede, mitigando a exposição e, consequentemente, os riscos corporativos.

Mesmo que o tenha ano começado movimentado na segurança digital, o especialista em segurança digital, diz que há pontos positivos nesse cenário. “O início de um novo ciclo é o melhor momento para que haja a conscientização, planejamento e execução de ações em prol da proteção das informações”, diz Prado. “Com os riscos, exposições e recuperações de 2017, é essencial que os gestores aumentem o foco e a importância na defesa de suas instituições, afinal, os criminosos e as ameaças não esperam”, complementa.

Tags, , , , , , , , , ,

7 lições do WannaCry – Por Leonardo Carissimi

6d4efd25eb7570a9b56b85b4208b0018

Nestes últimos dias, uma nova ameaça cibernética ganhou notoriedade, o WannaCry. Trata-se de um tipo de código malicioso classificado como ransomware, daqueles que “sequestram” dados de computadores para exigir um dinheiro em troca de devolver o acesso ao seu dono. Ou seja, uma vez infectada a máquina, ele encripta os arquivos e mostra uma tela na qual exige um resgate em dinheiro, tipicamente na moeda eletrônica bitcoins que, assim como o dinheiro vivo, não deixa rastros quando se movimenta e permite circulação de valores entre criminosos.

Interessante é que o WannaCry explora uma vulnerabilidade do sistema operacional Windows conhecida há pelo menos dois meses e que permite execução remota de um código através de uma vulnerabilidade no serviço SMB (Service Message Block).

O que o episódio nos traz de lições?

Crescimento das ameaças cibernéticas: as ameaças crescem em termos de magnitude e agressividade. Com a crescente conectividade, cada nova ameaça tem o potencial de infectar mais equipamentos.

O cibercrime está crescendo: essa nova ameaça também nos recorda que o cibercrime está crescendo, pois cada vez mais as ameaças tem motivação financeira. Elas se tornam mais perigosas, porque as organizações criminosas que as orquestram têm cada vez mais recursos. Podem desenvolver “armas” sofisticadas e agir globalmente com elas.

Impacto real nos negócios: tornaram-se comuns nos últimos dias notícias de empresas que foram contaminadas e tiveram que sujeitar-se a pagar pelo resgate. Outras decidiram por desligar computadores. Nos dois casos, torna-se claro o impacto em termos de custo (seja pelo pagamento pelo resgate ou, pior, pela perda de produtividade).

Prevenção é fundamental e começa com pequenas coisas: a vulnerabilidade é conhecida há pelo menos dois meses, quando a Microsoft publicou um boletim recomendando atualização dos sistemas Windows para corrigi-las. Um trabalho de Gerenciamento de Patchs, complementado de Gerenciamento de Vulnerabilidades, teria evitado a dor de cabeça. Realizar cópias de segurança frequentemente é outra prática bastante corriqueira que ajuda em situações de ransomware. São conceitos simples, mas que precisam ser realizados de forma consistente, com processo, ferramentas e pessoal treinado.

Microssegmentar a rede: a utilização de ferramentas para microssegmentação reduz o estrago. Ao isolar sistemas por microssegmentos, a movimentação lateral realizada pelo malware é contida e ele não contamina uma grande quantidade de equipamentos na rede. Opte pela microssegmentação por software, focando inicialmente em sistemas mais críticos. Isso vai permitir adoção rápida, sem impacto na arquitetura da rede e com custo reduzido. Em médio e longo prazo a técnica vai aumentar a segurança e permitir a simplificação da rede ao reduzir complexidade de firewalls internos e segmentação via VLANs.

Monitoração de Comportamento de Malware: a cada momento surgirão novas ameaças, as quais serão desconhecidas por ferramentas tradicionais de segurança que trabalham com assinaturas e padrões de malware conhecidos. A utilização de ferramentas de correção de eventos é controle necessário, mas não suficiente. Preparar-se para o malware novo requer um SOC (Centro de Operações de Segurança) mais inteligente, que identifique comportamentos anômalos mesmo quando for um ataque novo com assinatura desconhecida. No caso do WannaCry, a comunicação pela porta do SMB, o comportamento de movimentar-se lateralmente dentro da rede, e o endereço de seu “mestre” que tenta contatar, são indícios típicos de algo estranho está acontecendo e que permitiram um SOC inteligente detectar a nova ameaça a tempo.

Resposta a incidentes: Uma vez detectada a nova ameaça, requer-se pronta resposta. Respostas automáticas ou manuais poderiam bloquear tráfego suspeito e eliminar da rede equipamentos contaminados. A utilização de uma Arquitetura de Segurança Adaptativa é recomendada para responder de modo dinâmico, mudando a arquitetura de subredes à medida que contaminações são identificadas. Um exemplo é colocar em quarentena os equipamentos contaminados e evitar que os mesmos contaminem outros.

Leonardo Carissimi, Diretor de Soluções de Segurança da Unisys na América Latina.

Tags, , , ,

63% das empresas brasileiras não possuem programas para prevenir ameaças cibernéticas

Mais de metade das empresas brasileiras não está preparada para lidar com ameaças cibernéticas, é o que indica a nova edição do Global Information Security Survey (GISS), estudo anual da EY (Ernst & Young). A pesquisa, realizada com 1755 executivos C-level das áreas de Segurança da Informação e TI em 67 países, indicou que 63% das organizações nacionais não possuem programas para prevenir ameaças cibernéticas, enquanto 43% não têm um programa para identificação de vulnerabilidades e 45% não dispõem de nenhum tipo de programa para detecção de brechas.

Para 36% dos entrevistados, a área de TI de suas empresas demora em média até 1h para iniciar a investigação de um possível ciber incidente, enquanto 15% disseram que essa resposta pode levar mais de um dia.

Restrições no orçamento foram apontadas por 80% dos entrevistados como principal obstáculo para o avanço da área de segurança da informação dentro da organização. Segundo a pesquisa, 65% dos entrevistados brasileiros afirmam que os gastos de suas empresas com segurança da informação somam menos de US$1 milhão.

“Questões ligadas à segurança da informação e vazamento de dados das empresas são uma preocupação constante das companhias. Em especial em um cenário como o atual, de crescimento de uso de internet móvel e de soluções digitais, que deixa as instituições mais expostas a ataques externos e falhas internas, é importante investir em robustez e agilidade dos sistemas para identificar e combater problemas”, diz Sérgio Kogan, sócio de Consultoria em Cibersegurança da EY.

Resultados globais

Globalmente, quase 70% dos respondentes disseram que seu orçamento para segurança da informação deveria aumentar até 50% para atender às necessidades de suas empresas;
Segundo o levantamento, as principais fontes de ciberataque citadas foram: crime organizado (59%), hackers (54%) e terroristas (35%). A pesquisa ainda apontou que empresas também se sentem vulneráveis a ataques causados por funcionários (44%), e sistemas desatualizados (34%).

Global Information Security Survey 2015 – Destaques por setor

Setor – Principais fontes de ciberataques – Prioridades na área de segurança da informação – % de empresas que não planejam mudar seu orçamento para segurança da informação nos próximos 12 meses

Bens de consumo

Funcionários: 61%

Crime organizado: 52%

Prestadores externos: 43% Continuidade dos negócios / recuperação de desastres: 59%

Prevenção no vazamento de dados / perda de dados:50%

Capacidades de resposta a incidentes: 40% 38%

Bancos e mercado de capitais

Ciberataques para roubar informações financeiras: 21%

Malwares: 20%

Fraudes: 19% Prevenção no vazamento de dados / perda de dados: 67%

Continuidade dos negócios / recuperação de desastres: 56%

Gestao de acesso de usuarios / identidades: 56% 33%

Energia

Segurança desatualizada: 20%
Funcionários: 20%
Malwares: 20% Continuidade dos negócios / recuperação de desastres: 52%

Prevenção no vazamento de dados / perda de dados: 44%

Operações de segurança, tais como antivírus e encriptação: 43% 33%

Mais da metade dos respondentes afirmou que suas empresas ainda não possuem uma área dedicada para a análise de tecnologias emergentes e seus impactos nos negócios. Phishing foi considerada a principal ameaça aos negócios por 44% dos entrevistados, enquanto 43% consideram os malwares o maior desafio para o setor.

Quase 60% dos entrevistados disseram que a contribuição e o valor que área de segurança da informação proporciona à sua organização está comprometida pela falta de talentos qualificados disponíveis no mercado.

Tags, , , , , , , ,