Em maio, um ataque cibern\u00e9tico global espalhou o caos por organiza\u00e7\u00f5es p\u00fablicas e privadas em 150 pa\u00edses, incluindo o Brasil. Tratava-se do Wannacry, um ransomware, ou seja, um software malicioso capaz de bloquear o acesso a arquivos e sistemas, que s\u00f3 s\u00e3o liberados mediante o pagamento de um resgate. Em junho foi a vez do Petya praticar sequestros virtuais; em agosto, divulgou-se o retorno do ransomware Mamba. Ainda neste m\u00eas, outro crime digital ganhou as manchetes mundo afora: o roubo de conte\u00fado in\u00e9dito da HBO, incluindo epis\u00f3dios de \u201cGame of Thrones\u201d, s\u00e9rie de maior sucesso da companhia.<\/p>\n
\u00c9 natural que, diante dessa sequ\u00eancia de cibercrimes, corpora\u00e7\u00f5es de todo o mundo busquem formas de refor\u00e7ar sua seguran\u00e7a no ambiente virtual. Para isso, o primeiro passo consiste em identificar quais s\u00e3o, afinal, as principais fontes de risco.
\nEsse \u00e9 o tema de um relat\u00f3rio desenvolvido pela Aker N-Stalker, empresa com foco em seguran\u00e7a cibern\u00e9tica. O trabalho foi apresentado na Confer\u00eancia Internacional Gartner Securty & Risk, realizada este m\u00eas em S\u00e3o Paulo. Dos problemas identificados, selecionamos quatro que se referem a a\u00e7\u00f5es do dia a dia:<\/p>\n
1. Baixar programas sem a autoriza\u00e7\u00e3o do administrador do sistema<\/strong> 2. Usar, no meio corporativo, as mesmas senhas adotadas em sites externos<\/strong> 3. Em prol da agilidade, ignorar protocolos de engenharia segura<\/strong> 4. Contentar-se com firewall e antiv\u00edrus<\/strong> E o pentest?<\/strong> Diante disso, o monitoramento das falhas do sistema tamb\u00e9m se encaminha para a automa\u00e7\u00e3o. Segundo ele, embora os hackers continuem a ser necess\u00e1rios para an\u00e1lises espec\u00edficas, j\u00e1 \u00e9 poss\u00edvel automatizar a maior parte da busca por vulnerabilidades, o que resulta em um monitoramento mais \u00e1gil e preciso. \u201cAssim, fica vi\u00e1vel fazer um teste por semana, por exemplo, al\u00e9m de saber quais dos problemas precisam ser corrigidos primeiro\u201d, afirma Fragola.<\/p>\n","protected":false},"excerpt":{"rendered":" Roubo de epis\u00f3dios de \u201cGame of Thrones\u201d e ataque global do Wannacry chamam a aten\u00e7\u00e3o para fatores de risco<\/p>\n","protected":false},"author":2,"featured_media":43131,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":""},"categories":[102],"tags":[342,19292],"yoast_head":"\n
\nEsse conjunto de aplica\u00e7\u00f5es e dispositivos forma o que especialistas chamam de \u201czona de sombra de TI\u201d, uma \u00e1rea desconhecida que passa a integrar a rede corporativa, mas n\u00e3o consta do invent\u00e1rio de entidades do sistema. Pode ser a porta de entrada para malwares.<\/p>\n
\nA quest\u00e3o das senhas \u00e9 antiga e cada vez mais grave. Segundo o estudo, al\u00e9m de muitos funcion\u00e1rios utilizarem o mesmo c\u00f3digo de acesso em v\u00e1rias aplica\u00e7\u00f5es, s\u00e3o comuns os casos de colegas que compartilham senhas da empresa entre si (e at\u00e9 com terceirizados) e a cria\u00e7\u00e3o de senhas tempor\u00e1rias que n\u00e3o s\u00e3o desativadas ap\u00f3s o prazo previsto.<\/p>\n
\nCriadores de aplicativos costumam trabalhar com prazos muito curtos, para n\u00e3o perder janelas de oportunidade em um ambiente cada vez mais competitivo e din\u00e2mico. Isso pode comprometer a ado\u00e7\u00e3o de protocolos importantes, que deixam o resultado mais seguro, mas ao mesmo tempo tornam o processo mais lento e burocr\u00e1tico. Ainda \u00e9 preciso criar um modelo capaz de aliar cautela, rapidez e desenvolvimento colaborativo.<\/p>\n
\nA estrat\u00e9gia de seguran\u00e7a precisa ser bem mais abrangente que isso. Ela deve incluir, por exemplo, a varredura constante de vulnerabilidades e a defini\u00e7\u00e3o de padr\u00f5es de conduta claros para todos os funcion\u00e1rios. Al\u00e9m disso, vale a pena definir um plano de a\u00e7\u00e3o para minimizar os danos de uma poss\u00edvel invas\u00e3o do sistema.<\/p>\n
\nO termo se refere a uma bateria de testes que s\u00e3o realizados por um hacker contratado pela empresa, com o intuito de mapear e expor todas as falhas que poderiam levar ao acesso n\u00e3o autorizado de uma rede ou sistema. \u201cDepois do Wannacry, todo mundo quer contratar esse servi\u00e7o\u201d, conta Rodrigo Fragola, CEO da Aker N-Stalker. Mas ele observa a tend\u00eancia com ressalvas. Um dos problemas, segundo Fragola, \u00e9 que o ambiente digital de uma corpora\u00e7\u00e3o \u00e9 hoje muito mais complexo do que dez anos atr\u00e1s, quando os pentests come\u00e7aram a se disseminar. \u201cSe antes o cliente contava com 5 apps, hoje ele tem mais de cem, que passam por atualiza\u00e7\u00f5es constantes. Em um m\u00eas, surgem de 500 a 800 novas vulnerabilidades.\u201d Ou seja, o pentest pode ficar defasado logo ap\u00f3s ser conclu\u00eddo.<\/p>\n