3 de setembro de 2018 by integrasul

3 razões pelas quais as empresas não avaliam o escopo de uma violação de dados

Primeiro vem o anúncio embaraçoso de uma violação. Então, alguns dias ou semanas depois, outro – alguns milhões de registros roubados na primeira vez, vazaram. Em seguida, outro anúncio. A cada nova revelação, a organização hackeada perde credibilidade e enfrenta maior responsabilidade.

“As empresas costumam fazer uma declaração logo após a violação”, diz Jon Connet, diretor sênior de estratégia corporativa da ForeScout. “É o drip-drip-drip que matou muitas delas. Fazem declarações iniciais com base nas primeiras descobertas forenses, pesando os prós e contras de ficar à frente da história e minimizar o impacto, antes de ter um controle firme sobre o que aconteceu “.

A humilhação pública não é o único custo de não saber o escopo de uma violação. Mesmo que a violação não seja divulgada porque, digamos, os únicos dados perdidos foram propriedade intelectual, não saber o que os invasores têm em suas mãos pode ser extremamente prejudicial, financeiramente.

Se uma empresa não souber quais sistemas foram invadidos, os invasores ainda poderão estar no ambiente, extraindo dados ou se preparando para lançar mais ataques.

Dado o tempo que as brechas vêm atingindo as manchetes, é surpreendente que as empresas ainda estejam tendo problemas com elas.

“Se você focar apenas após a violação, você estará sempre vulnerável”, diz Adrian Asher, CISO do London Stock Exchange Group. A hora de se preocupar com a segurança é muito antes que a brecha aconteça. “Se você não investir nos controles e nas pessoas antes que uma violação ocorra, então estará mal preparado”, diz ele.

De acordo com Asher e outros especialistas, as empresas precisam ter inventários de ativos, registrá-los e executar exercícios de simulação. “Estas são algumas das capacidades que permitiriam que você estivesse confiante da extensão e impacto de qualquer violação”, diz ele.

Abaixo estão três razões comuns pelas quais as empresas lutam para avaliar o escopo das violações, juntamente com conselhos para estarem melhor preparadas.

1. Não saber onde estão seus dados, quem os usa e como são usados
Tudo começa por saber onde estão os dados, diz Asher, incluindo inventários on-premise e na nuvem. As empresas também precisam saber quem está acessando esses dados, como estão sendo usados ​​e com que finalidade. “Esses requisitos simples são, no entanto, extremamente complexos para uma organização com muitos anos de ambientes legados e complicados que cresceram organicamente”, diz ele.

Descobrir quais dados estão localizados onde é um processo de negócios difícil, confirma Mike Hanley, vice-presidente de segurança da Duo Security, Inc. “É preciso complementar isso com uma boa compreensão dos processos e ativos comerciais que você está tentando proteger”, adiciona. “Se você não entende como a empresa está usando seus dados, você pode ter pontos cegos sobre como os processos de negócios levam à duplicação de dados em outros lugares”.

Os dados também podem estar com fornecedores terceirizados, em plataformas de compartilhamento de arquivos e armazenados em buckets da Amazon. Todas essas situações são fontes potenciais de violações de dados e exigem abordagens diferentes para monitoramento e análise forense.

Você ainda é responsável, mesmo se os dados forem vazados por outra pessoa, diz Eric Blatte, presidente e co-fundador da RiskRecon, Inc. No final do dia, você é responsável por gerenciar esse risco de terceiros.

“Você não pode simplesmente enfiar a cabeça no chão ou os dedos nos ouvidos”, diz ele. “Você precisa ter um catálogo completo de onde seus dados residem, não apenas com quem você tem um contrato, mas para quem os provedores terceirizam.”

O ano passado foi um ano marcante para as perdas de dados do Amazon S3, com Accenture, Dow Jones, Verizon e Uber expondo acidentalmente registros sensíveis, e a tendência continuou este ano com a FedEx, a Honda e o Condado de Los Angeles.

Fazer um inventário de dados não é atraente e não gera receita, e não faz muito para impedir que uma violação aconteça. É o tipo de estratégia de combate que pode ser adiada indefinidamente.

Mesmo que uma empresa entenda a necessidade, ela pode não agir. “Talvez haja algo mais que você queira fazer primeiro”, diz Itzik Kotler, CTO e co-fundador da SafeBreach, Inc. “Há prioridades diferentes. Cada empresa tem uma história diferente. Quando há regulamentação, é fácil, obriga você a fazer alguma coisa. Mas se elas não existem, então se torna uma questão em aberto “.

2. Falta de logs para realizar a análise forense adequada
Muitas empresas não têm os registros corretos para saber onde uma violação ocorreu e quais dados foram perdidos. Existem várias razões para isso, diz Thomas Etheridge, vice-presidente de serviços da CrowdStrike, Inc.

Em parte, devido a não saber quais logs são necessários, diz ele. Há também a razão financeira, claro. “É preciso dinheiro para as empresas armazenarem e manterem registros”, diz ele. “Ter o orçamento e o investimento é muito importante”.

Por fim, a empresa precisa configurar os logs corretamente e saber o que fazer com as informações. É aí que a prática ajuda, diz Etheridge. Passar por uma violação simulada pode ajudar uma empresa a identificar lacunas na cobertura. Como especialistas forenses qualificados são difíceis de encontrar, algumas empresas também mantêm uma equipe forense externa, acrescentou ele.

Outro problema com os logs é saber quanto coleta. A resposta é, não apenas quando há algo incomum acontecendo, mas quando tudo parece estar dando certo.  “Tomemos como exemplo um ataque do tipo SQL injection. A maioria dos dados nunca é registrada. Não está registrada no firewall ou no servidor do aplicativo. Cabe ao próprio aplicativo registrá-lo, mas, do ponto de vista do aplicativo, nada realmente dá errado. Assim, o ataque real pode nunca ser registrado em qualquer lugar”, diz Jeff Williams, CTO e co-fundador da Contrast Security.

Além dos vários ataques no estilo SQL injection, outros ataques que podem ocorrer de forma invisível são falhas de autenticação. “Se alguém não autorizado vê sua senha e faz login em sua conta, o sistema não sabe que há um ataque lá”, diz Williams. “Se alguém encontrar uma maneira de exceder seu privilégio e tomar alguma ação para a qual não tenha sido autorizado, isso normalmente não será registrado.” Os problemas de criptografia também quase nunca são registrados, acrescenta.

“Às vezes você não vê quase nada”, concorda Bob Anderson, diretor do The Chertoff Group. Recentemente, ele foi chamado como especialista em várias ações judiciais coletivas, chegando a centenas de milhões ou bilhões de dólares. Essas ações não são notícia, diz ele, porque os acordos são mantidos em sigilo.

“Eu não acho que a maioria das empresas entende o quanto isso vai custar”, diz ele. “Mesmo que você ganhe, vai gastar dezenas de milhões de dólares se defendendo.” Se uma empresa não possui um bom madeiramento, acrescenta Anderson, pode ser obrigada a arcar com sanções adicionais e pesadas, monetárias, nesses processos judiciais.

Além dos ataques que não são registrados nos sistemas, nos quais são usadas vulnerabilidades zero day, ou onde os invasores apagam deliberadamente seus rastros, um problema comum é que as empresas têm sistemas de registro em funcionamento, mas nunca os ativam.

3. Não identificar a violação de maneira oportuna
Quanto mais tempo uma empresa leva para identificar uma violação, mais danos os invasores podem causar e mais difícil se torna avaliar esse dano. “Eu costumava trabalhar para uma grande empresa química, e quando você tinha uma brecha, essa era a primeira pergunta que você tinha que responder: qual é o escopo dessa invasão?” diz Tim Bandos, vice-presidente de segurança cibernética da Digital Guardian. “Identificar todos os pontos finais envolvidos é fundamental, porque o vilão pode deixar back doors e outras ferramentas instaladas.”

Bandos diz que esteve envolvido em uma situação em que mais de cem dispositivos foram tocados por uma única violação. Quanto mais tempo os invasores permanecerem, mais informações confidenciais poderão ser capturadas, mais malwares podem ser instalados e mais difícil será desinfetar todos os sistemas.

“Uma empresa, uma vez violada, não pode ter certeza de que o incidente está encerrado e que não haverá surpresas à frente”, diz Elad Shapira, chefe de pesquisa da empresa de segurança Panorays, de Israel. “Se, digamos, seu servidor for violado e você restaurar de volta ao normal, a violação provavelmente acontecerá novamente se você não encontrar e mitigar a causa raiz. ”

Houve vários incidentes de alto perfil em que os invasores publicaram dados roubados e depois divulgaram mais dados em ocasiões subsequentes, diz Shapira. Como no caso do ataque Anonymous no HGGary e as várias vezes que o Shadow Brokers Hacking Group divulgou documentos da CIA. “No caso de uma infecção por ransomware, você não pode dizer que, depois de pagar, não será alvo de novo, ou sofrerá mais danos”, acrescenta.

De acordo com o último Relatório de Investigações de Violações de Dados da Verizon , 68% das violações levaram meses ou mais para serem descobertas. De fato, muitas empresas nem descobrem uma violação até que sejam notificadas por terceiros, diz Etheridge. Por exemplo, registros de clientes podem aparecer na Dark Web ou números de cartões de crédito roubados começarem a ser usados ​​para transações fraudulentas.

Um plano de resposta a incidentes bem ensaiado é fundamental, e as empresas devem considerar o uso de especialistas externos para ajudar a testar o plano e fazer a perícia quando ocorrer uma violação. “Mesmo as empresas Fortune 500 precisam contar com ajuda externa”, diz Mark Weatherford, vice-presidente sênior e estrategista-chefe de segurança cibernética da vArmour, além de membro do conselho do National Cybersecurity Center.

Essas relações devem estar em vigor muito antes de uma violação ocorrer, diz Weatherford. “O pior momento para começar a procurar na lista telefônica por alguém para ajudá-lo é durante um incidente.”

GDPR, LGPD e outros requisitos de relatórios
Sob o novo Regulamento Geral de Proteção de Dados da Europa (o GDPR), que entrou em vigor em maio passado, empresas com usuários da União Européia têm 72 horas após a violação para relatar o escopo da violação. Não há penalidade regulatória específica para não descobrir a violação, em primeiro lugar, sob as leis de notificação de violação GDPR oudos Estados Unidos, mas se a ignorância foi intencional ou deliberada, em seguida, ações judiciais coletivas podem acontecer.

O GDPR e os novos regulamentos de privacidade de dados na Califórnia são uma oportunidade para as empresas repensarem suas estratégias de gerenciamento de dados e criarem sistemas a partir do zero para rastrear a localização dos dados e monitorar o acesso a eles. As regulamentações também enfocarão a atenção da alta gerência e trarão o financiamento necessário.

O mesmo acontece com a Lei Geral de Proteção de Dados (a LGPD) recém sancionada pelo presidente Temer. Embora só entre em vigor a partir de março de 2020 (18 meses após a sanção), a LGPD estabelece  que caso uma empresa  seja vítima de algum incidente de segurança, como um vazamento de dados, seja ele acidental ou criminoso, ela será obrigada a notificar todos os clientes e poderá receber sanções como multas de até 2% do faturamento ou até R$ 50 milhões por infração.

É exatamente pelo fato de que nem sempre o vazamento pode ser evitado que, mais do que nunca, é tão importante e necessário estar compliant, demonstrando que as medidas para antever e minimizar os riscos foram tomadas, e GDPR ou LGPD são, em verdade, oportunidades para as organizações criarem, por meio de programas próprios e específicos, uma cultura de respeito à privacidade e proteção de dados pessoais.

Em uma época de grandes vazamentos de informações e escândalos quanto ao uso indevido de dados, se adequar antecipadamente à regras claras, transparentes e harmônicas pode restaurar ou aumentar a confiança do consumidor nas empresas e no mercado. Portanto, empresas precisam se adequar as regras de hoje e compreender que se antever à futura regulamentação é um investimento e uma vantagem competitiva.

O custo das violações
Os custos ocultos em violações de dados – como perda de negócios, impacto negativo na reputação e tempo gasto dos funcionários na recuperação – são difíceis e caros de gerenciar. A conclusão é de estudo da IBM Security realizado pelo Instituto Ponemon. De acordo com o levantamento, feito com 500 empresas em 15 países, incluindo o Brasil, mostrou que o custo médio de uma violação de dados global é de US$ 3,86 milhões, aumento de 6,4% em relação ao relatório de 2017.

Com relação às megaviolações, que variam de 1 milhão a 50 milhões de registros perdidos, os custos variam entre US$ 40 milhões e US$ 350 milhões, respectivamente. O levantamento indicou que nos últimos cinco anos, a quantidade de megaviolações quase dobrou – de apenas nove megaviolações em 2013, para 16 em 2017. Com base na análise de 11 empresas que experimentaram uma megaviolação nos últimos dois anos, o relatório deste ano usa modelagem estatística para projetar o custo de violações que variam de 1 milhão a 50 milhões de registros comprometidos.

O estudo também comparou o custo das violações de dados em diferentes setores e regiões, descobrindo que as violações de dados são mais caras nos EUA e no Oriente Médio, e menos custosas no Brasil e na Índia.
Empresas dos EUA tiveram o maior custo médio de uma violação em US$ 7,91 milhões, seguido pelo Oriente Médio em US$ 5,31 milhões. O menor custo total de uma violação foi de US$ 1,24 milhão no Brasil, seguido por US$ 1,77 milhão na Índia.

Pelo 8º ano consecutivo, as organizações de saúde tiveram os maiores custos associados a violações de dados – custando US $ 408 por registro perdido ou roubado – quase três vezes mais do que a média entre setores (US$ 148).

Impactos das violações de dados
Nos últimos 13 anos, o Instituto Ponemon examinou o custo associado a violações de dados de menos de 100 mil registros, descobrindo que os custos aumentaram de forma constante ao longo do estudo. O custo médio de uma violação de dados foi de US$ 3,86 milhões no estudo de 2018, em comparação com US$ 3,50 milhões em 2014 – representando um aumento líquido de quase 10% nos últimos 5 anos do estudo.

O estudo também examina fatores que aumentam ou diminuem o custo da violação, descobrindo que os custos são fortemente impactados pela quantidade de tempo gasto contendo uma violação de dados, bem como investimentos em tecnologias que aceleram o tempo de resposta.

• O tempo médio para identificar uma violação de dados no estudo foi de 197 dias, e o tempo médio para conter uma violação de dados, uma vez identificado, foi de 69 dias.
• As empresas que continham uma violação em menos de 30 dias economizaram mais de US$ 1 milhão em comparação às que levaram mais de 30 dias (US$ 3,09 milhões contra US$ 4,25 milhões da média total).

A quantidade de registros perdidos ou roubados também afeta o custo de uma violação, custando US$ 148 por registro perdido ou roubado, em média. O estudo examinou vários fatores que aumentam ou diminuem esse custo:

• Ter uma equipe de resposta a incidentes foi o principal fator de economia de custos, reduzindo o custo em US$ 14 por registro comprometido.
• O uso de uma plataforma de inteligência artificial para segurança cibernética reduziu o custo em US$ 8 por registro perdido ou roubado.

Inteligência artificial
Este ano, pela primeira vez, o relatório examinou o efeito de ferramentas de automação de segurança que usam inteligência artificial, aprendizado de máquina, análise e orquestração para aumentar ou substituir a intervenção humana na identificação e contenção de uma violação. Saiba mais: Automação e orquestração são importantes aliadas da segurança cibernética

A análise constatou que as organizações que implantaram extensivamente tecnologias de segurança automatizadas economizaram mais de US$ 1,5 milhão no custo total de uma violação (US$ 2,88 milhões, em comparação com US$ 4,43 milhões para aqueles que não implantaram a automação de segurança).

Fonte: http://www.cio.com.br

Deixe uma resposta

Your email address will not be published / Required fields are marked *