O que aprendemos com o vazamento da TIVIT ?

O que aprendemos com o vazamento da TIVIT ? Esta semana você viu aqui no Blog Minuto da Segurança, que vazou dados e senhas de clientes da TIVIT, então qual o que podemos tirar desta situação?

Embora os dados pareçam ser documentação de processo internos da própria empresa, e a origem seja ainda desconhecido, o fato é que muitas informações de negociações, arquitetura, procedimentos e usuários e senhas privilegiadas foram expostas .

Neste momento não importa mais se o motivo foi por produto de uma ação ofensiva, publicados involuntariamente por equívoco ou se foram objeto de um completo descuido e mau conduta profissional, o fato é que os arquivos foram parar no Pastebin, AnonFile e BayFiles e entre as empresas afetadas estão bancos e outras empresas igualmente importantes do setor produtivo e energético nacional.

A leitura técnica parece ser simples: “Não houve controle adequado de guarda de chaves privilegiadas e controles de DLP“, no entanto poemos explorar isto um pouco mais.

As chaves privilegiadas contidas, ou armazenadas, nos arquivos assemelham-se a versão moderna do post-it colado no monitor ou embaixo do teclado. Este arquivo em si não é a causa do problema, a causa raiz esta mais embaixo: “porquê o analista deveria saber esta senha?“

No vazamento também vimos que documentos com desenhos de arquitetura e outros estruturais também forma vazados. Neste caso é um pouco mais complicado mas o controle não é através da guarda de de senha, mas através da limitação de acesso à informação, uso de criptografias nos equipamentos e na rede e no uso de sistemas de DLP, que possam identificar o vazamento.

Existem tecnologias que permitem criptografia full disk para equipamentos desktop e notebook, assim como a criptografia de contêiner ou de folders para diretórios da rede.

Estas tecnologias evitariam um acesso externo aos arquivos de forma legível e, a menos que o incidente envolva agentes internos com acesso legitimo à informação, teria sido inútil a exportação dos arquivos.

Além destas duas situações observamos também erros processuais e de conscientização de funcionários no manuseio adequado e seguro das informações. Manter anotações de procedimentais anotas em arquivos é como anotar tudo em um caderno e depois descartar na lata de lixo, achando que ninguém vai encontrá-lo.

Certamente, neste caso, um bom e persistente treinamento de segurança, enfatizando as melhores práticas de classificação e proteção da informação, aliado a treinamento técnicos e ferramental adequado, poderia ter mitigado este risco. 

De qualquer forma os comandos procedimentais vazados em nada comprometeria os sistemas e dados de clientes, se os dois primeiros controles tivessem sido aplicados.

Ainda poderíamos aqui explorar, considerando a possibilidade de uma invasão externa, os sistemas de monitoramento de rede, firewall, SIEM e outros, que deveriam ser capazes de detectar anomalias comportamentais nos acessos e exportação de dados.

Novamente os dois primeiros controle poderiam mitigar as falhas neste monitoramento ativo.

Em nada podemos afirmar no momento que tenha havido dolo ou imperícia das equipes da TIVIT, uma vez que as causas não estão determinadas, mas certamente um análise de risco, planejamento e investimento direcionado poderia ter mitigado e muito o problema ocorrido.

Banco Inter

Em maio, em situação similar de falha no controle de senhas privilegiadas e informações sensíveis, a Comissão de Proteção dos Dados Pessoais do Ministério Público do DF e Territórios (MPDFT) instaurou inquérito civil público para investigar o vazamento dos dados pessoais dos clientes da instituição.

Diferentemente da TIVIT, que não envolveu dados de clientes, no curso da investigação, o MPDFT constatou o comprometimento dos dados cadastrais de 19.961 correntistas do Banco Inter. Dessas, 13.207 continham dados bancários, como número da conta, senha, endereço, CPF e telefone. Outros 4.840 dados de clientes de outros bancos que fizeram transações com usuários do Inter também foram comprometidos. Também ficou confirmada a exposição dos certificados digitais, já revogados, e da chave privada do banco. 

Neste caso, embora o “objeto” roubado tenha sido informações de clientes e no caso TIVIT tenha sido informações internas de clientes corporativos, que podem ou não dar aceso a dados de pessoas físicas, mais uma vez o acesso à chaves e informações privilegiadas forma a chave para uma invasão bem sucedida.

O que nos chama a atenção é que o incidente TIVIT envolve empresas do setor financeiro, regulados pela resolução, já em vigor, do Banco Central do Brasil – Bacen – editada em 26 de abril de 2018,  resolução n.4658 , que “dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil“, 

Embora a resolução n.4658 preveja datas objetivo para que os bancos se adaptem, a medida já está em vigor e todas as medidas de segurança possíveis devem ser adotadas e todos os incidentes de segurança devem ser tratados e reportados ao Bacen de forma “tempestiva”.

Em especial a resolução determina que as instituições financeiras devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior. Embora a resolução diga que o Banco Central do Brasil possa impor restrições para a contratação de serviços em Cloud (terceirização de serviços de tecnologia, na ótica do Bacen) quando constatar irregularidades, a resolução não traz nenhuma menção sobre a proibição ou limitação de uso destes serviços, salvos considerações a respeito da capacidade do provedor e da proteção dos dados , que devem incluir entre outros a qualidade dos controles de acesso, segregação física e lógica dos dados que visem a proteção da confidencialidade, integridade e disponibilidade das informações, incluindo-se o controle sobre a produção de softwares seguros e seu deployment . 

Esta situação faz o link direto da TIVIT com a resolução do Banco Central,  vai obrigar a todos os clientes TIVIT do setor financeiro o reporte do incidente ao Banco Central e consequentemente uma reavaliação das estratégias e controles existentes. 

Security Risk Assessment

Planejar adequadamente o investimento é fundamental para a redução de risco cibernético da empresa ou em terceiros.

Embora tenhamos observado um contínuo crescimento dos ataques cibernéticos, muitas empresas continuam tratando a Segurança da Informação de forma desestruturada, sem prioridade e não baseada no risco de segurança.

Na minha leitura, embora seja certo a falta de investimento financeiro e de recursos na área, acredito que parte do problema é devido à falta de planejamento adequado da área. No escasso budget a prioridade acaba sendo a compra de softwares de proteção, atualização ou mesmo automatização de processos, porém estrategicamente deveríamos começar nosso investimento pelo Security Risk Assessment.

Pesquisa de Segurança da Informação de 2018 da PwC, que pesquisou mais de 9 mil executivos de negócios e tecnologia em todo o mundo, descobriu que mais de um quarto (28%) não sabe quantos ataques cibernéticos sofreram no total e um terço também não sabem como eles ocorreram. Enquanto alguns incidentes de segurança são o resultado de atacantes de alto nível usando técnicas avançadas para disfarçar suas atividades, a grande maioria dos casos são causados ​​por falhas de segurança comuns e podem ser facilmente evitadas com uma melhor governança e controle de processos.

Talvez o passo mais importante que uma organização possa tomar para melhorar sua segurança é realizar uma avaliação de risco de Segurança da Informação completa. Isso é crucial para entender onde as maiores vulnerabilidades dentro da organização estão, bem como quais potenciais ameaças externas podem estar enfrentando. Qualquer empresa tentando criar uma estratégia de Segurança da Informação sem este conhecimento simplesmente estará jogando dinheiro fora.

Esta abordagem certamente diminuirá os erros básicos no gerenciamento de segurança que permitem ataques e levam a violações acidentais.

Uma avaliação de risco abrangente deve levar em consideração os domínios da ISO 27001:

• Política de Segurança
• Organizando a Segurança da Informação
• Segurança em Recursos Humanos
• Gestão de Ativos
• Controle de Acessos
• Criptografia
• Segurança Física e do Ambiente
• Segurança nas Operações
• Segurança nas Comunicações
• Aquisição, Desenvolvimento e Manutenção de Sistemas
• Relacionamento na Cadeia de Suprimentos
• Gestão de Incidentes de Segurança da Informação
• Gestão da Continuidade de negócios
• Conformidade

Desta forma, avaliar somente os quesitos de TI ou não incluir uma avaliação dos serviços prestados por terceiros deixaria uma brecha importante (os cliente da TIVIT que o digam), pois sabemos que os atacantes utilizam-se de técnicas de Engenharia Social pra burlar os controles tecnológicos e muitos dos maiores incidentes que noticiamos aqui no Blog Minuto da Segurança tiveram como origem prestadores de serviços.

Com isso em mente, uma avaliação minuciosa não é uma tarefa pequena, e geralmente requer uma grande quantidade de planejamento e preparação para executar.

Devido a complexidade e o detalhamento requerido, as empresas precisam basear suas avaliações em torno de um framework de avaliação de risco, se possível incorporando elementos e características internas da empresa para que os resultados sejam adequados.

Uma opção para a avaliação de risco é uma combinação baseada na ISO 27001, combinada com Cobit ou NIST, 800-53 e o NIST Cybersecurity Framework (CSF)

Para saber mais fale com  MindSec . A MindSec atua com clientes na realização do Security Risk Assessment, na criação do Maturity Model e na criação do planejamento estratégico, consulte nosso representante  contato@mindsec.com.br

Controle de Senhas Privilegiadas

A senhas de alto privilégio devem ser guardadas e controladas através de um processo seguro, e as tecnologias existentes permitem até mesmo que o usuário não a conheça. A tecnologia empregada é chamado pelo Gartner de PAM – Privileged Access Management.

As principais capacidades esperadas para um gerenciador de contas privilegiadas, PAM, são:

• Gerenciamento e gravação de de sessão e contas privilegiadas
• Controle de Acesso pra contas compartilhadas
• Gerenciamento de sessão privilegiada
• Provisionamento de contas privilegiadas para aplicações
• Gerenciamento de senhas application-to-application
• Gerenciamento de senhas hard-coded
• Elevação de Privilégio
• Gerenciamento de delegação de acesso
• Workflow de aprovação
• Controle e restrição de acesso para usuários Master
• Indexação de gravação de vídeo de monitoração e capacidade de busca
• Gerenciamento de contas com utilização via terminal server
• Gerenciamento de contas emergenciais (break the glass)
• Alertas e integração com SIEM
• Consulta de credenciais para uso “offline”
• Autorização por email ou SMS
• Gerenciamento de chaves SSH (linus/Unix)
• Controle de comandos autorizados

Esta funcionalidades permitem que o usuário, seja ele do setor de suporte, desenvolvimento ou mesmo usuário final, possa utilizar uma conta privilegiada, como a ADMIN ou ROOT, através do software PAM, usando apenas a sua conta de rede, após a aprovação em um fluxo previamente definido e sem a necessidade de conhecer a senha do usuário privilegiado.

Neste caso, o PAM funciona como um proxy, atuando no meio do percurso “substituindo” o ID do usuário pela chave privilegiada, gravando, controlando toda a sessão e substituindo a senha após o uso se necessário.

Para saber mais sobre contas privilegiadas e software PAM leia O que Realmente Significa “Contas Privilegiadas” ? 

Proteção em Camadas

Diversas falhas noticiadas recentemente permitem o atacante bypassar o controle de login, tomar controle da máquina remotamente oe roubar informações sensíveis, como no caso da TIVIT,  por isto para proteger seu equipamento e os dados na rede é necessário olhar de forma mais holística, por isto a abordagem em camadas é a melhor opção.

Diversas falhas tem sido noticiadas nos últimos meses, como a a falha na função AMT dos processadores Intel que permite a um atacante ter acesso a uma conta Admin de alto privilégio e consequentemente bypassar os controles de login ainda na camada de hardware. Outros ataques, após conseguir acesso à máquina, instalam programas espiões que tomam o controle da máquina .

Os principais benefícios de uma abordagem em camadas são:

• Fácil Instalação – gerenciamento central
• Customizável a sua necessidade – flexível e escalável.
• Funcionalidades em multicamadas
• Criptografia de arquivos locais, cloud ou file server de forma transparente, sem intervenção do usuário
• Controle de dispositivos e redes externas, incluindo NAS server e conexões de rede
• Reporte centralizado e análise de dados forense
• Suporte e serviço local

Para mitigar e limitar ao máximo o poder de ações destes ataques existem soluções como a solução Drivelock que oferece uma proteção de dados “multilayer” que pode ser implementada em curto espaço de tempo, com administração centralizada e customizada de acordo com suas necessidades, sem parar o processo existente ou parar o trabalho dos colaboradores. A solução conta com diferentes módulos que combinados ou mesmo individualmente elevam o nível de proteção do equipamento dentro e fora da organização.

A solução combina proteção multicamadas com gerenciamento flexível de dados sensíveis, ressaltando-se os módulos de Criptografia, Application Controle e Device Control. Onde o software de criptografia em conjunto com controle de aplicação e de interface físicas, ajuda sua empresa a estar aderente aos requerimentos legais, sem impacto nos processos de negócios. A solução também tem uma excelente capacidade de reportes , forense e funções de antivírus, dando a você a máxima segurança de dados com o mínimo de “overhead” administrativo.

Encryption

Por meio de criptografia certificada você previne o roubo e perda  de dados. Não importa se os dados estão local na máquina, file server ou em Cloud. A função de criptografia atende a diversos requisitos e uso:

• Full Disk Encryption – atuando já na MBR – Master Boot Record, protege o equipamento contra os mais avançados ataques de roubo de informação e acesso não autorizado.
• File and Folder Encryption – protege arquivos em Cloud (dropbox, one drove, google drive e outros), Servers, Desktops, File Server, PC e Laptops de forma transparente para o usuário final
• External Devices Encryption – protege arquivos em mídias externas, criando contêineres protegidos ou criando arquivos com arquivos self-extract para envio à terceiros

Device Control

O módulo de Device Control provê configuração centralizada que permite controle de ajuste fino de todos os dispositivos externos, atuando de forma inteligente na liberação ou bloqueio do dispositivo. Isto é crucial para prevenir transferência de dados não autorizadas de e para mídias removíveis.

O Device Control também pode ser usado para bloquear acesso a NAS – Network Storage Server, muito comumente utilizados em redes domésticas e pequenos escritórios, e que usualmente não são identificados ou protegidos pelas soluções tradicionais de end-point protection.

Também é possível controlar o chamado “bridge de rede” , onde o computador se conecta a 2 redes simultaneamente, ethernet e wifi, que poderia ser a rede da empresa e uma hotspot de wifi proveniente de um celular, permitindo assim o vazamento de dados através do hotspot wifi.

Application Control

Com esforço mínimo você pode definir quais aplicações podem ser utilizadas por cada usuário. A função de Application control é uma grande aliada na proteção contra malwares, ransomwares e outros ataques onde o atacante ativa ou instala softwares maliciosos que permitem o controle remoto do equipamento. Esta função atua não somente com black list e white list  como as soluções convencionais, o Application Control da Drivelock atua com a identificação de assinatura do software, desta forma o administrador pode permitir que software assinados por empresas como a Microsoft, Adobe (entre outras) ou pela sua fábrica de software possam rodar na máquina mas nenhum outro será permitido.

Para saber mais sobre a proteção em camadas e criptografia transparente de rede leia: Como proteger dados sensíveis de ataques de hackers e webinar– Proteja sem depender do Usuário

Por: Kleber Melo - Sócio Diretor & Consultor da MindSec Segurança e Tecnologia da Informação.