A Equifax anuncia a “aposentadoria” do CIO e do CSO após evento que expôx informações de mais de 143 Milhões de consumidores em vários países.
Estranhamente a Equifax decidiu por anunciar a saída do CIO e do CSO como sendo aposentadoria ao invés de simplesmente dizer que foram demitidos após o vazamento de informações ocorrido em julho.
O desligamento da CSO Susan Maudin envolve também a polêmica de que a CSO não era graduada em tecnologia ou segurança, mas sim em Musica. Segundo pesquisa do (ISC)2 19% dos profissionais de Segurança da Informação são de outras área que não Tecnologia, dentre elas: Comunicações, Finanças, Marketing, Direito, Recursos Humanos, Matemática, Ciências e Vendas.
“O fato da CSO não ser formada em Tecnologia ao meu ver não diz muito sobre sua experiência e os desafios a Susan tenha enfrentado na posição. Sabemos que muitos profissionais, mesmo formados e certificados na área, enfrentam problemas devido a falta de prioridade, recursos e orçamentos, que levam as empresas ao mesmo ponto em que a Susan passou na Equifax.” comenta Kleber Melo, sócio diretor da Mindsec. “não quero com isto retirar a responsabilidade da CSO sobre o ocorrido, mas devemos ponderar adequadamente o que levou ao problema de vazamento, pois estes casos nunca é devido ação, ou falta de ação, de uma única pessoa, existem muitas variáveis que devem ser ponderadas e analisadas.” acresta Kleber Melo.
Mais detalhes do vazamento
A Equifax divulgou na sexta-feira, 15/09/2017, mais detalhes sobre a violação, que acredita ter começado em 13 de maio e continuou sem controle durante 77 dias.
No sábado, 29 de julho, de acordo com a atualização, “a equipe de segurança da Equifax observou o tráfego de rede suspeita associado ao seu aplicativo na web do portal de disputas online dos EUA“, alertando o time para bloquear o tráfego suspeito e proceder com mais investigações. A Equifax diz que a equipe de segurança encontrou “atividade suspeita adicional” no dia seguinte ao ponto de ter levado o aplicativo da Web a ficar offline.
“A revisão interna do incidente na empresa continuou“, de acordo com Equifax. “Ao descobrir uma vulnerabilidade na estrutura de aplicativos da Web Apache Struts como o vetor de ataque inicial, o Equifax corrigiu o aplicativo da web afetado antes de trazê-lo novamente online“.
Em 2 de agosto, a Equifax contratou o grupo de resposta a incidentes do FireEye, Mandiant, para realizar uma revisão forense digital.
A Equifax reconheceu que a falha explorada em seu software de código aberto Apache Struts tinha sido corrigida pela Apache no início de março, momento em que o Apache emitiu alertas de segurança requerendo a todos os usuários a atualizarem imediatamente diante dos ataques iminentes. A empresa sugere que o portal em questão de alguma forma tenha sofrido a exploração desta bracha.
“A organização de segurança da Equifax estava ciente dessa vulnerabilidade naquela época e tomou esforços para identificar e corrigir todos os sistemas vulneráveis na infraestrutura de TI da empresa“, afirma Equifax . “a revisão dos fatos da empresa ainda está em andamento. A empresa lançará informações adicionais quando disponível“.
Assim como as ameaças de ransomwares ocorridas nos últimos meses, o problema de patching aparece novamente como vilão dos grandes incidentes, acredito ser recomendável uma avaliação ampla dos procedimentos de patching, monitoramento e gestão de incidentes, como forma de mitigar os riscos envolvidos.
por MindSec 19/09/2017
Deixe sua opinião!