O que o ataque à rede elétrica russa pode ensinar a todos os profissionais de TI

Até agora você já ouviu falar que uma investigação conjunta do Federal Bureau of Investigation (FBI) e do Departamento de Segurança Interna dos EUA levou a um relatório de que operadores russos invadiram empresas que fazem parte da rede elétrica nos EUA. Os ataques são descritos em detalhes em um relatório da Equipe de Prontidão de Emergência em Computadores dos EUA (US-CERT), que descreve como os invasores conseguiram penetrar nas instalações de energia e o que fizeram com as informações roubadas.

O que não estava nos relatos da mídia era um fato que deveria causar preocupação a um profissional de TI, trabalhando para uma empresa de pequeno e médio porte (SMB) ou uma organização maior. Esse fato: o caminho que os invasores exploraram passou por parceiros menores do objetivo final. Eles iniciaram seu ataque penetrando nas defesas desses parceiros menores, porque provavelmente tinham defesas mais fracas, e então usaram informações e recursos recolhidos de lá para atacar as próximas instalações na linha.

Anatomia de um ataque de phishing inteligente

Um meio primário de obter acesso ao parceiro menor era encontrar informações públicas que, quando reunidas com outras informações, proporcionariam o nível de detalhe necessário para a próxima etapa. Por exemplo, um invasor pode examinar o site de uma empresa que faz negócios com o objetivo final e lá pode encontrar o endereço de e-mail de um executivo sênior na empresa do parceiro ou no objetivo final. Em seguida, o invasor pode examinar outras informações dos sites da empresa para ver qual é o relacionamento, quais serviços estão sendo fornecidos por quem e algo sobre a estrutura de cada empresa.

Armado com essas informações, o invasor pode começar a enviar e-mails de phishing altamente convincentes do que parece ser um endereço de e-mail legítimo; aqueles com detalhes criados suficientes que podem derrotar todos os filtros de phishing instalados no firewall ou no nível de proteção gerenciado pelos terminais. Os e-mails de phishing seriam projetados para coletar credenciais de login para a pessoa visada e, se alguma delas for bem-sucedida, os invasores ignoram instantaneamente quaisquer medidas de gerenciamento de identidade que possam estar em vigor e estar dentro da rede de destino.

Com as revelações sobre a coleta de informações do usuário no Facebook, a natureza da ameaça se expande. Em uma brecha conduzida sob o pretexto de pesquisa acadêmica a partir de 2014, um pesquisador russo obteve acesso a cerca de 50 milhões de perfis de usuários de membros americanos do Facebook. Esses perfis foram entregues à Cambridge Analytica. Investigações subseqüentes revelaram que esses dados foram coletados sem a permissão desses usuários do Facebook e, em seguida, utilizados indevidamente.

Auditoria de comunicações externas

Isso levanta a questão de quais informações as empresas cautelosas devem disponibilizar em seus sites. Pior, essa consulta provavelmente precisa se estender às presenças de mídia social da organização, canais de marketing de terceiros como o Youtube e até perfis de mídia social de funcionários de alto perfil.

"Acho que eles precisam ser cautelosos com o que está nos sites de suas empresas", disse Leo Taddeo, diretor de segurança da informação (CISO) da Cyxtera e ex-agente especial responsável pela divisão cibernética do escritório de campo do FBI em Nova York. "Existe um grande potencial para divulgar informações inadvertidamente".

Taddeo disse que um bom exemplo é em anúncios de emprego onde você pode revelar quais ferramentas você está usando para o desenvolvimento ou mesmo quais especialidades de segurança você está procurando. "Existem várias maneiras pelas quais as empresas podem se expor. Há uma grande área de superfície. Não apenas o site e não apenas as comunicações deliberadas", disse ele.

"A mídia social é um risco", explicou Taddeo, apontando que um funcionário que publica nas mídias sociais pode revelar muita coisa inadvertidamente. Ele ressaltou que os funcionários que dizem que não estão satisfeitos com o trabalho podem revelar um alvo para a exploração. "Os funcionários que falam detalhadamente sobre seu trabalho ou suas realizações são um risco. A mineração de mídia social é muito produtiva para os adversários".

Taddeo alertou que sites de mídia profissional, como o LinkedIn, também são um risco para quem não tem cuidado. Ele disse que os adversários criam contas falsas nesses sites que disfarçam quem realmente são e depois usam as informações de seus contatos. "Tudo o que eles publicam em sites de mídia social pode comprometer o empregador", disse ele.

Dado o fato de que os maus atores que estão mirando você podem estar atrás de seus dados, ou podem estar atrás de uma organização com a qual você trabalha, a questão não é apenas como você se protege, mas como também protege seu parceiro de negócios? Isso é complicado pelo fato de você não saber se os invasores podem estar atrás dos seus dados ou apenas vê-lo como um trampolim e talvez um local de preparação para o próximo ataque.

Como se Proteger

De qualquer forma, existem algumas etapas que você pode executar. A melhor maneira de abordar isso é na forma de uma auditoria de informações. Enumere todos os canais que sua empresa está usando para comunicações externas, certamente marketing, mas também RH, PR e cadeia de suprimentos, entre outros. Em seguida, crie uma equipe de auditoria que contenha partes interessadas de todos os canais afetados e comece a analisar o que existe lá fora de forma sistemática e atenta às informações que podem ser úteis para os ladrões de dados. Primeiro, comece com o site da sua empresa:

Examine o site da empresa em busca de algo que possa fornecer detalhes sobre o trabalho que você faz ou as ferramentas que você usa. Por exemplo, uma tela de computador que aparece em uma foto pode conter informações importantes. Verifique fotos de equipamentos de produção ou infraestrutura de rede, que podem fornecer pistas úteis para os invasores.

Veja a lista de funcionários. Você tem endereços de e-mail para sua equipe sênior listados? Esses endereços não apenas fornecem ao invasor um possível endereço de login, mas também uma maneira de falsificar e-mails enviados a outros funcionários. Considere substituir aqueles com um link para um formulário ou use um endereço de email diferente para consumo público versus uso interno.

O seu site diz quem são seus clientes ou parceiros? Isso pode fornecer ao invasor outra maneira de atacar sua organização se eles estiverem tendo problemas para superar sua segurança.

Verifique suas ofertas de emprego. Quanto eles revelam sobre as ferramentas, idiomas ou outros aspectos da sua empresa? Considere trabalhar com uma empresa de recrutamento para se separar dessas informações.

Observe sua presença nas mídias sociais, tendo em mente que seus adversários definitivamente tentarão extrair informações através deste canal. Veja também quanta informação sobre sua empresa é revelada nas postagens por sua equipe sênior. Você não pode controlar tudo sobre as atividades de seus funcionários nas mídias sociais, mas pode ficar de olho nisso.

Considere sua arquitetura de rede. A Taddeo recomenda uma abordagem conforme a necessidade, na qual o acesso do administrador é concedido apenas quando necessário e apenas para o sistema que precisa de atenção. Ele sugere o uso de um perímetro definido por software (SDP), desenvolvido originalmente pelo Departamento de Defesa dos EUA. "Por fim, os direitos de acesso de cada usuário são alterados dinamicamente com base na identidade, dispositivo, rede e sensibilidade do aplicativo", disse ele. "Eles são orientados por políticas facilmente configuráveis. Ao alinhar o acesso à rede pelo acesso a aplicativos, os usuários permanecem totalmente produtivos enquanto a área da superfície de ataque é drasticamente reduzida".

• Agora considere seus serviços em nuvem da mesma maneira. Geralmente, é uma configuração padrão tornar administradores executivos de empresas seniores em serviços em nuvem corporativos de terceiros, como as contas do Google Analytics ou Salesforce da sua empresa, por exemplo. Se eles não precisarem desse nível de acesso, considere deixá-los no status de usuário e deixar níveis de acesso administrativo para a equipe de TI cujos logins de e-mail seriam mais difíceis de encontrar.

Por fim, Taddeo disse que procurava vulnerabilidades criadas pela shadow IT. A menos que você o procure, você pode ter seu trabalho duro de segurança ignorado porque alguém instalou um roteador sem fio em seu escritório para que eles pudessem usar o iPad pessoal no trabalho com mais facilidade. Serviços de nuvem desconhecidos de terceiros também se enquadram nessa categoria. Nas grandes organizações, não é incomum que os chefes de departamento simplesmente inscrevam seus departamentos em serviços convenientes de nuvem para contornar o que consideram "burocracia" de TI.

Isso pode incluir serviços essenciais de TI, como usar o Dropbox Business como armazenamento de rede ou usar um serviço de automação de marketing diferente, porque a inscrição na ferramenta oficial corporativa é muito lenta e requer o preenchimento de muitos formulários. Serviços de software como esses podem expor grandes quantidades de dados confidenciais sem que a TI esteja ciente deles. Saiba quais aplicativos estão sendo usados ​​em sua organização, por quem e se você está firmemente no controle de quem tem acesso.

Trabalhos de auditoria como esse são entediantes e às vezes demorados, mas podem render grandes dividendos a longo prazo. Até que seus adversários venham atrás de você, você não sabe o que tem e que pode valer a pena roubar. Portanto, você precisa abordar a segurança de uma maneira flexível, mantendo um olho no que importa; e a única maneira de fazer isso é ser bem informado sobre o que está sendo executado na sua rede.