A Vulnerabilidade dos Acessos

>>Sumrio
03 Desafio
Diante de um complexo cenrio de ameaas internas e externas, empresas esto lidando com uma espcie de terrorismo virtual, o que exige novas medidas de segurana

06 SOLUO
Com a crescente conscincia do valor da segurana, companhias comeam uma corrida para se equiparem com ferramentas de acesso seguro e manter a proteo do negcio

08 BENEFCIOS
Investimentos em tecnologia como a autenticao e verificao em vrios nveis podem mensurar o valor da Segurana da Informao quando chega o momento crtico

EXECUTIVE REPORT - EXPEDIENTE

DIREO E EDIO GERAL Graa Sermoud gsermoud@conteudoeditorial.com.br EDITOR ASSISTENTE Bruno do Amaral bamaral@conteudoeditorial.com.br REPORTAGEM Lia Machado lmachado@conteudoeditorial.com.br DIREO DE MARKETING Srgio Sermoud ssermoud@contedoeditorial.com.br COMERCIAL Daniela Iglesias diglesias@conteudoeditorial.com.br Dbora Garbosa dgarbosa@conteudoeditorial.com.br DESIGN Rafael Lisboa rlisboa@conteudoeditorial.com.br COORDENADORES DE EVENTOS Gabriela Salinas gsalinas@conteudoeditorial.com.br Marcos Carvalho mcarvalho@conteudoeditorial.com.br

O Executive Report A Vulnerabilidade dos Acessos tem o Patrocnio

2

A Vulnerabilidade dos Acessos

>>desafio

Diversificao de ameaas dita o novo comportamento da

A proteo do permetro tem se tornado um grande problema para a TI, mas o acesso pode ser seguro em meio ao turbilho de malwares

segurana

A Vulnerabilidade dos Acessos

er um sistema protegido um objetivo a ser trilhado pela maioria das empresas. Com a crescente conscincia do valor da segurana, as companhias comeam uma corrida para se equiparem com solues avanadas contra ataques externos, gerando grandes investimentos na rea de Tecnologia da Informao. O ponto : diante de um complexo cenrio de ameaas, isso basta para uma blindagem totalmente confivel? O modelo de negcios praticado hoje em dia pelas companhias raramente unilateral, contando com vrias empresas terceirizadas, parceiros e fornecedores com acesso ao banco de dados e ao sistema. Gerenciar tudo isso j complicado, mas com a presena de dispositivos mveis, garantindo a entrada na rede de vrias formas para um mesmo funcionrio, cuidar desse intricado ambiente se torna um grande desafio. Estamos tentando nos proteger, mas os bandidos esto sempre frente. Se temos uma soluo, eles procuram outra forma de invadir, afirma Stephan Kovak, professor de Redes de Computadores na USP. No sei se existe uma soluo s para isso. preciso dividir e conquistar, achando uma sada em cada arquitetura, conta o acadmico, tambm especialista em deteco de fraudes eletrnicas. Segundo Kovak, a preveno - com senhas, criptografias, restries de acesso, biometria e tokens - faz de tudo para evitar o momento do ataque ao mximo. Entretanto, essas medidas podem falhar e basta uma brecha em um nvel mais alto para comprometer toda a estrutura. Fechar tudo de uma vez, deixando o negcio completamente offline, por exemplo, no tambm uma soluo vivel ou sequer considervel atualmente. Se voc protege uma parte, o bandido no vai se concentrar nela, mas procurar outro ponto mais fraco, explica Kovak, chamando de preguiosos os cibercriminosos. As aes deles so sempre na busca pelo elo mais frgil da cadeia de segurana, diferentemente de hackers comuns que se interessam pelo desafio de se infiltrar no sistema de uma companhia. Isso normal - se h uma proteo muito grande no acesso aos bancos pela web, eles podem partir para invaso de um celular, diz o especialista. No impede de, eventualmente, voltarem a trabalhar na primeira tentativa de brecha, mas mostra como dispositivos mveis podem ser um vetor de contaminao no ambiente da empresa. Os sistemas que utilizamos hoje so muito complexos, mesmo nos smartphones. Qualquer software tem

Receita Usurio Cadastro

Seu Cadastro est errado Clique aqui para atualiz-lo

Hacker envia email malicioso Induz usurio a clicar no link

Computador infectado se junta a outros, formando a Botnet

A Vulnerabilidade dos Acessos

vulnerabilidade, mas nem sempre sabemos onde est, afirma, prevendo um futuro com ainda mais investidas nessas plataformas. Por esse motivo, as companhias esto sempre liberando atualizaes, todas extremamente teis e urgentes, pois corrigem as brechas pelas quais uma gama de malwares pode entrar. Invaso O modelo de tentativa de corrupo do permetro de, uma vez dentro, tentar se espalhar verticalmente e silenciosamente. Somente a informao interessa, o importante passar despercebido pelo mximo de tempo possvel. Mas a forma de infeco algo que, muitas vezes, depende apenas de cuidados bsicos com a segurana. Por incrvel que parea, a grande brecha ainda est nos e-mails, diz Stephan Kovak, citando a tcnica do phishing, uma espcie de golpe virtual no qual os hackers induzem o usurio a clicar em links disfarados de pginas autnticas. A surpresa do especialista est no fato desse tipo de ameaa ser uma das mais antigas da internet, embora talvez a mais eficiente. Contaminado, o computador d ao hacker a possibilidade de passar a interceptar informaes. Mesmo colocando endereos de pginas na web legtimos, ele pode ser redirecionado para sites maliciosos idnticos aos reais, nos quais todo tipo de dado absorvido - desde login e senha a nmero de carto ou cadastros pessoais. Mesmo se no for esse o propsito do atacante, a mquina infectada pode no s ter informaes capturadas por terceiros, mas tambm servir como espcies de zumbis nas chamadas botnets, redes de PCs comprometidos utilizadas para investidas em massa contra sites (ataque de negao de servio, conhecido pela sigla em ingls DoS). Controle Interno Alm de precisarem se defender de ameaas externas, as empresas ainda tm de lidar com ocorrncias provocadas pelos prprios funcionrios. De acordo com o professor da USP, em casos extremos, bandidos podem atuar fisicamente, ameaando parentes do responsvel pela segurana da companhia e o obrigando a abrir uma brecha no sistema. uma verso mais moderna de uma ttica de criminosos com gerentes de bancos, mas igualmente eficaz e perigosa. Pode acontecer tambm de a poltica da empresa no ser bem absorvida pelos funcionrios, deixando-os

desleixados com a segurana. Um exemplo muito comum o de compartilhamento de senhas e logins, caso corriqueiro mesmo em nveis mais altos. A importncia de manter a estao de trabalho inacessvel para colegas de trabalho constantemente ignorada. O fator humano um grande agente nessa gama de fatores e a conscincia de um ambiente saudvel ainda precisa de uma generosa dose de informao. O problema a dificuldade de se analisar, na prtica, casos nos quais a falta de segurana se mostra danosa e palpvel ao negcio e, por tabela, aos prprios trabalhadores. importante tentar passar as polticas de segurana no somente como medidas restritivas, mas como necessrias ao bom funcionamento da companhia. Nesse contexto, a educao em relao proteo e suas responsabilidades que demanda uma maior ateno. Alm disso, as empresas no costumam deixar pblica a dificuldade enfrentada ao serem vtimas de ataques, impedindo o compartilhamento da informao. Cada uma quer manter o sigilo, pois, se divulgarem, o bandido vai acabar sabendo tambm, diz o professor Stephan Kovak. H ainda possveis danos marca e a credibilidade com consumidores, clientes e parceiros. Acaba sendo uma espcie de terrorismo virtual com o qual cada negcio precisa lidar sozinho. 5

A Vulnerabilidade dos Acessos

Camadas de
o acesso legitimado ao site
mudana de foco no modo de lidar com a segurana em TI pode no ser muito otimista para as empresas, mas isso est longe de ser uma guerra perdida. Se por um lado preciso conviver com o fato de se estar sujeito a comprometimento na estrutura tecnolgica, por outro justamente o momento correto para procurar tomar decises mais objetivas e eficazes para manter a proteo do negcio. Afinal, se os bandidos procuram sempre o caminho mais fcil, a sada ento dificultar o mximo possvel o acesso. As polticas internas precisam ser bem alinhadas com o propsito de cada nvel de conexo, com diferentes restries e obrigaes de acordo com a necessidade. Essa ao mais fcil de adotar no prprio ambiente da empresa, mas com o uso de aparelhos mveis ou trabalho remoto, muito mais difcil de monitorar a sade dos equipamentos pessoais utilizados pelos funcionrios. Por conta disso, importante garantir meios adequados de autenticao com a utilizao de ferramentas como tokens (via hardware ou mesmo software, em celulares) e certificados digitais para a identificao correta do usurio. Mas e se um hacker, de alguma forma, tiver obtido informaes crticas como login e senha e estiver no comando do computador do usurio, como reconhecer que se trata de uma ao de um cibercriminoso e no de uma pessoa idnea? segurana na Conexo Alm dessas camadas de identificao tradicionais, 6

>>soluo

proteo
plugins podem ser acionados na prpria mquina a partir do site destinado. Eles realizam uma varredura no sistema, avaliando se o acesso possvel mesmo revelia do estado de contaminao das mquinas. Eles ainda avisam e bloqueiam no caso de um resultado positivo, embora no removam o malware como um antivrus. Isso fundamental para proteger o acesso, pois a ferramenta impede at mesmo uma tentativa de desvio de DNS - ou seja, quando o usurio coloca um link vlido, mas forado a ser redirecionado a uma pgina maliciosa de visual idntico com o intuito de roubar informaes silenciosamente. Com isso, a entrada no sistema legitimada e se torna possvel realizar operaes crticas livres de fraudes, sem a interceptao de hackers. Essa tecnologia de garantia de conexo pgina segura utiliza vrios nveis para permitir a entrada da mquina na rede (confira no box) baseada no reconhecimento. Caso seja identificada alguma ameaa, feita a localizao do usurio via IP. Esse rastreamento tambm pode ser feito com smartphones, utilizando o GPS do prprio aparelho, ou mesmo pela triangulao de antenas, no caso de celulares mais simples. Claro, tudo feito somente em caso de necessidade. A localizao do aparelho e do usurio confidencial, ento s utilizada no caso de desconfiana de fraude por parte da equipe de segurana. vrIos nveIs Para identificar a natureza do objeto suspeito, alm do escaneamento por ameaas, realizada uma anlise de comportamento do usurio. Por exemplo,

Ferramentas podem atuar em vrios nveis para identificar, localizar, bloquear fraudes e garantir

A Vulnerabilidade dos Acessos

1 3 5 4

- o mdulo de gesto de componentes gerencia qual a configurao dos identificadores de mquinas e recebe informaes do bloqueador de monitoramento. Como um sistema integrado, ele tambm avisa quando um problema de segurana existe de forma persistente no aparelho utilizado para acesso.

- o bloqueador de monItoramento no um antivrus, mas consegue olhar a mquina para saber se h algum software malicioso para a captura de informaes. O plugin bloqueia a ao do malware (mas no desinstala) e avisa ao usurio e aos profissionais de segurana. Ele usa vrias tcnicas de identificao de aplicativos baseadas em assinatura, hashing e comportamento. A ferramenta constantemente atualizada para dar conta de novos tipos de ameaas.

- realIzada a anlIse de comportamento antifraude de posse dos dados de identificao do usurio e da rotina de acessos anteriores. Com o perfil traado, comparada a conexo para analisar se suspeita ou no. Funciona de modo semelhante ao de operadoras de cartes de crdito, que perguntam ao cliente se ele est realmente realizando compras fora do padro - no exterior, por exemplo. - na ltIma etapa, um time de pesquisadores analisa as ameaas que esto atuando no cenrio, identifica se h redirecionamentos de DNS e reporta organizao. Caso seja confirmada uma tentativa de fraude, efetuado o bloqueio rapidamente.

- o IdentIfICador de mquina fornece a informao em termos de localizao, alm de dados estruturais como sistema operacional, processador, RAM e nmero serial de placa. Essa ferramenta funciona inclusive em ambientes virtualizados.

pode-se detectar se ele est fora da regio de onde geralmente acessa o site, ou se est executando aes estranhas ao padro (como uma transao particularmente alta ou para vrias contas de terceiros, no caso de instituies financeiras). Ainda assim, informada a presena da suspeita e, caso nenhuma ao seja tomada por parte do usurio, o sistema de deteco passa a avaliar essa omisso tambm como um desvio de comportamento padro.

um modo de levar reatividade para tentar dar a maior credibilidade possvel conexo. Outra forma de identificao feita pelo aparelho em si. O sistema operacional pode fornecer vrias informaes distintas para serem utilizadas no reconhecimento, como a verso do software (e respectiva atualizao), a quantidade de memria e o nmero serial da placa, entre outras formas. De posse de todos esses dados, possvel observar se realmente a mesma mquina. Esse modelo de proteo estabelece uma nova fronteira de segurana, pois parte da exceo para identificao de autenticidade de acesso. A preocupao est em avaliar o volume de dados, comparando com a criticidade e apontando onde os profissionais de segurana devem atuar. Dessa forma, possvel tornar a conexo protegida independente do terminal utilizado. 7

>>benefcios
Autenticao em vrios nveis permite proteo na comunicao entre mquinas e at mesmo economia com diminuio de fraudes

A Vulnerabilidade dos Acessos

Mal necessrio, no!

Investimento

A Vulnerabilidade dos Acessos

certo incmodo em contratar planos de seguro para carros, pois esperamos nunca precisar us-los. Isso no significa que se deve procurar qualquer operadora, pelo contrrio: para se sentir realmente tranquilo, necessrio investir em bons contratos. Essa mentalidade no muito diferente quando falamos em Segurana da Informao, pois s possvel mensurar o valor dela quando chega o momento crtico. Infelizmente para muitos, essa hora pode ser tarde demais. Como a informao crtica tem valor completamente palpvel, os esforos para a proteo devem se concentrar nesse ponto. Para o profissional de TI, poucas coisas so mais desejadas no ambiente de trabalho do que poder contar com uma soluo robusta para assegurar toda a infraestrutura da empresa, permitindo um fluxo de negcios adequado demanda do mercado. Com uma tecnologia como a de autenticao e verificao em vrios nveis, as possibilidades tambm melhoram muito para a companhia. Alm de todas as medidas de segurana comuns, possvel ter a certeza de ter o acesso legitimado e seguro independente de haver uma contaminao na mquina utilizada. opes Com essas vantagens, a ferramenta pode ser aplicada em diferentes tipos de negcio. Um exemplo clssico em instituies financeiras como bancos. Com o sistema de deteco antifraudes, possvel obter sensveis melhoras no atendimento ao cliente via internet, com o auxlio de tokens e certificados digitais. Trabalhando com tudo isso em conjunto, possvel ainda estabelecer rotinas para serem avaliadas na anlise de comportamento. Dessa forma, se o usurio cadastra uma mquina, a soluo fica com as informaes de sistema operacional, processador e verso de software. Se houver uma movimentao fora do normal na conta, proveniente de outro Estado, por exemplo, um alerta dado para checar se esse tipo de ao procede de fonte realmente segura. Mesmo em se tratando de acesso via mobile banking, os mesmos tipos de procedimento podem ser realizados, incluindo o rastreamento via GPS ou triangulao de antenas de telefonia mvel. uma atribuio particularmente til at pela falta de proteo em smartphones ou tablets, aparelhos ainda com pouca ateno blindagem contra ataques.

Grandes instituies podem se valer da soluo dessa forma, diminuindo a incidncia de invases e ataques a correntistas sem precisar lidar com um comportamento pr-ativo por parte deles na hora de cuidar da sade das prprias mquinas. Isso acaba gerando economia em encargos judiciais, pois a legislao tende a proteger o usurio em caso de uma contaminao ter maculado o acesso ao banco na web, mesmo que a infeco tenha sido causada por omisso da pessoa e no da empresa. J para o varejo, de forma semelhante a instituies financeiras, a soluo pode ajudar a proporcionar transaes mais seguras no e-commerce para todos os tipos de situaes de sade de computadores. Alm disso, possvel estabelecer uma proteo contra roubo de informaes crticas, como carto de crdito ou dados bancrios. Isso evita tambm prejuzos econmicos, estratgicos e de imagem da empresa. Informaes sensveIs Nos Estados Unidos existe o Ato de Responsabilidade e Portabilidade do Plano de Sade (HIPAA, na sigla em ingls), sancionado em 1996 pelo ento presidente Bill Clinton. Essa lei protege, entre outras coisas, as informaes obtidas em exames mdicos, inclusive a identificao do paciente, garantindo a confidencialidade. O Brasil vai pelo mesmo caminho

SITuAES CARACTERSTICAS
fornece servios transacionais pela internet acesso web ou por VPN realiza transaes crticas (Risco X Volume X Frequncia) Movimentaes financeiras, compras online, aprovaes crticas, manipulao de informaes sigilosas; o usurio final pode utilizar vrios equipamentos para realizar transaes, como computador (prprio ou no), smartphone e tablets, ou mesmo em lan-houses o acesso s credenciais do usurio por um fraudador pode causar prejuzos financeiros, estratgicos ou imagem
9

A Vulnerabilidade dos Acessos

EmprEsas ou instituiEs dE pEsquisa podEm sE valEr

tambm dessa proteo para acessar elementos sensveis

valer tambm dessa proteo para acessar elementos sensveis de acordo com o nvel pr-estabelecido na gesto da companhia. Um executivo com determinado poder de deciso pode enxergar vrias reas do banco de dados, enquanto um funcionrio de cho de fbrica s consegue o acesso ao sistema e s informaes necessrias para o prprio trabalho. Mesmo com VPN, tneis de segurana para estabelecer uma conexo direta entre dois pontos, a soluo pode ajudar na hora de identificar ameaas e proteger o acesso. Ela funciona ainda em ambientes virtualizados, identificando a mquina e rastreando a localizao. uma grande versatilidade para qualquer empresa que disponibilize transaes para seus usurios (clientes internos e externos) pela internet.

CLIENTES POTENCIAIS
na busca por esses direitos na rea de sade e preciso estar preparado. Dessa forma, a ferramenta de proteo de acesso em mltiplos nveis pode ser aplicada tambm em laboratrios. Os sistemas dessas empresas necessitam de um nvel de segurana muito alto, como quando lidam com anlise gentica, por exemplo. Com a autenticao possvel permitir at mesmo a conexo remota para consultas. versatIlIdade Cdigos 2D criptografados podem tambm ajudar a autenticar documentos, como diagnsticos de laboratrios. Tambm chamados de QR Codes (veja figura acima), eles so como um cdigo de barras de produtos de supermercado, mas trazendo mais informaes. O usurio aponta a cmera do smartphone para o grfico e o l por meio de um aplicativo (tambm vinculado ao aparelho da mesma forma que o certificado digital em computadores), garantindo se o exame mdico, por exemplo, autntico ou denunciando se foi forjado em um ataque do tipo man-in-the-middle, no qual as informaes so interceptadas por terceiros. Empresas ou instituies de pesquisa podem se 10

Empresas que disponibilizem transaes para seus usurios (clientes internos e externos) pela internet: Bancos Corretoras de aes Empresas de e-commerce B2C e B2B Laboratrios de anlises genticas Empresas de rastreamento Indstria petroqumica Indstria blica Leiles e Concorrncias Empresas provedoras de software como servio para outras organizaes rgos governamentais que oferecem portais de servios Redes sociais pblicas ou privadas