[ECOIT]-Capa-de-blogpost---vazamento-de-dados-min

Vazamento de Dados: como se prevenir

Certamente, você já ouviu falar sobre vazamento de dados e sobre alguns casos conhecidos publicamente, não é verdade?

 

Mas você sabe como pode se proteger contra um ataque antes mesmo dele acontecer?

 

O vazamento de informações pode ser antecipado com atitudes rotineiras relacionadas ao gerenciamento de segurança da sua empresa.

Esse gerenciamento deve estar atrelado ao conhecimento de quais são os maiores riscos que sua empresa pode enfrentar. Antes de tudo, você deve entender melhor do que se trata um vazamento de dados.

Após a leitura, você saberá exatamente o que é vazamento de dados, quando e como ocorrem, além de saber quais medidas podem ser tomadas a fim facilitar a prevenção da segurança de dados da empresa.

O que é vazamento de dados?

Temos como vazamento de dados um cenário no qual informações sobre você, ou sua empresa, são disponibilizadas na web por um invasor (hacker), que obteve acesso não autorizado aos dados antes não públicos.

Outra possibilidade ocorre quando uma informação é encontrada por analistas de segurança, indicando que outras pessoas (criminosos), possivelmente, tiveram acesso a esses mesmos dados antes da resolução de um ataque sofrido.

Em resumo, um vazamento pode também ser um roubo sistemático de informações que ocorreu através de um ataque.

 

Quando esses dados são colocados à venda no submundo da web (deep web), o ataque deixa de se tornar um simples vazamento. E casos como esses são diferentes, pois não é comum que as informações fiquem disponíveis publicamente.

As informações obtidas ilicitamente são, normalmente, usadas pelos infratores para atingirem um objetivo próprio, de modo exclusivo. Mais a frente falaremos dos possíveis objetivos da prática de vazamento de dados.

Como as informações são obtidas?

Muitos erros podem ser cometidos pelas empresas e, como consequência, causarem a exposição de dados na rede.

Arquivos podem estar em locais sem autenticação adequada (senha para acesso). Um banco de dados pode estar exposto, o que pode acontecer tanto por alguma configuração inadequada quanto devido a um erro em uma página web.

O acesso às informações pode ser obtido pelo criminoso ao atacar e invadir um servidor, tomando para si os dados privilegiados.

É muito comum ver vazamentos devido a falhas de “injeção SQL” (linguagem usada para envio de comandos a bancos de dados).

Essa falha permite que o infrator envie seus próprios comandos ao banco de dados e aproveite disso para retirar as informações desejadas.

O roubo das informações pode ser gradativo visando atingir sua meta ou levar todos os dados.

Onde ocorre o vazamento de dados?

A maioria dos vazamentos são chamados de “pastes” (originado do verbo “colar” em inglês, paste) por serem colocados em sites criados como ferramentas de auxílio voltadas essencialmente para sites de programação.

São sites não maliciosos que permitem aos participantes realizarem o processo de “CTRL-C / CTRL-V” de um código de programação, solicitando ajuda. Por isso, a terminologia utilizada.

Logo, essas páginas permitem o compartilhamento de uma grande quantidade de dados em formato de texto.

São comumente anônimos, o que torna mais fácil seu uso para vazamentos menores ou, até mesmo, partes de um vazamento de dados maior. Além de possíveis detalhes que levem às informações restantes.

Qual o objetivo dos vazamentos?

Existem vazamentos de dados realizados como forma de ativismo ou protesto.

Alguns exemplos são: o caso do site Ashley Madison em que a empresa foi acusada de enganar seus usuários; e o caso do Hacking Team, composto por ativistas que não concordam com o modelo da empresa em oferecer “serviços de invasão” a governos.

Vazamentos do tipo “propaganda” tratam-se de conjuntos compostos por um número maior de informações, as quais estão sob a posse do invasor e são ofertadas para venda.

Conjuntos desse tipo podem ser eventualmente expostos integralmente por algum comprador. Enquanto parte dos vazamentos ocorridos não possuem motivo específico e são realizados com o simples intuito de danificar a reputação das marcas envolvidas.

De quem é a responsabilidade pelos vazamentos?

Quando o problema do vazamento de dados é identificado, pode ocorrer de não se ter conhecimento de que os dados sob ameaça foram realmente acessados ou não por alguma pessoa.

Diante dessa situação, é importante ressaltar que a responsabilidade de proteção de seus sistemas fica a cargo das empresas.

Porém, existem casos em que pessoas com acesso a informações privilegiadas, por um motivo qualquer a elas relacionado, desejam se vingar da marca no futuro.

A empresa, ainda assim, pode se proteger de alguns ataques de vazamento de dados ao usar criptografia e limitar o acesso para aqueles que não necessitam privilégios sobre determinados conhecimentos.

No geral, os vazamentos públicos acontecem devido a descuidos na segurança e por invasões de origem externa.

Como saber se meus dados foram vazados?

Algumas plataformas podem te auxiliar na verificação de vazamento de dados. Contudo, o funcionamento delas é específico para casos em que as informações acabaram por cair integralmente na web.

O auxílio dessas ferramentas é muito bom, principalmente, para marcas cujos vazamentos não são noticiados.

A existência de uma consultoria em parceria com sua empresa é essencial. Seja, essa parceria, para acompanhar possíveis vazamentos de suas informações ou para trabalhar formas de prevenção para que você não se torne uma vítima.

Medidas preventivas

Algumas regras e medidas de prevenção para situações de vazamento de dados precisam ser estabelecidas.

A proteção contra esses ataques é difícil, mas algumas simples ações podem fazer grande diferença.

A troca de senhas com certa periodicidade, e o uso de padrões diferentes e exclusivos para cada circunstância são exemplos de atitudes básicas que diminuem o risco de comprometimento das suas informações.

A prática de backups (cloud ou físicos) é fundamental para que seus dados estejam sempre salvos e atualizados em caso de emergência.

Registro e Monitoramento

A maioria dos casos de vazamento de dados fica registrada nos logs do servidor. Mesmo assim, muitas dessas ocorrências acabam por serem descobertas apenas externamente.

Os logs geram uma falsa sensação de segurança devido a uma errônea interpretação da equipe de TI sobre as funções de registro e de monitoramento oferecidas pelos arquivos, normalmente, em formato texto.

Esse registro, o qual não recebe a devida atenção, pode estar recheado de falhas de criptografias. E isso, consequentemente, gera oportunidades que facilitam o roubo de dados, através da alteração do sistema e até mesmo do software.

A verificação dos logs pode ser feita manualmente em empresas menores. Em organizações maiores, a verificação manual é impraticável, deixando em aberto apenas duas opções: leitura sistemática ou aquisição de software para realizar esse trabalho minucioso.

As empresas acabam por não se atentar a essa fragilidade, gerando maior dificuldade para os profissionais de TI no processo de descoberta do problema.

A fim de melhorar essa situação, programas de verificação de logs devem ser adquiridos e usados, de maneira otimizada, na realização da auditoria do servidor.

Treinamentos e tutorias oferecidos pela consultoria da sua empresa não devem ser deixados de lado, assim como os softwares adquiridos como solução para seus problemas.

Ambiente de Rede

O enfraquecimento da segurança surge com a crescente expansão do ambiente de rede da sua empresa.

Os softwares atuais acompanham configurações padrão a serem verificadas com a finalidade de eliminar exposições desnecessárias. Os softwares SQL são um exemplo.

Eles fornecem automaticamente ao usuário poderes de administrador da base de dados.

A limitação do acesso à internet auxilia na incrementação de segurança, pois existem serviços que necessitam de conexão apenas no momento de atualização de arquivos.

Ou seja, nem sempre existe a obrigatoriedade do acesso ininterrupto à web.

Redes sem criptografia, comumente usadas em empresas de pequeno e de médio porte, são as mais vulneráveis. Enquanto grandes organizações se protegem usando WEP (criptografia de segurança de baixa potência).

Logo, existe uma urgência em instaurar uma criptografia de alta potência.

A criação de perfis diferentes de acesso auxilia diretamente no controle do acesso à informação, evitando o vazamento de dados por questões diversas, como já dissemos.

Por fim, o monitoramento da sua rede é vital para estar constantemente atento às ameaças emergentes. Dessa forma, você evita a fragilidade da segurança de seus dados sigilosos.

Treinamento e Educação

A importância do treinamento e da educação de seus colaboradores é extrema, não devendo ser jamais ignorada. São atitudes primordiais que diminuem o risco de sofrer com um vazamento de dados.

O usuário deve ser constantemente educado para compreender que tipo de comportamento é inseguro e nocivo ao ambiente corporativo do qual faz parte.

Estatísticas, dados e comprovações são essenciais e muito eficientes para tornar as pessoas mais cautelosas.

E, voltamos à questão referente ao monitoramento. O usuário deve estar ciente do fato de que ser observado funciona como uma medida preventiva contra qualquer possível atitude de má fé por parte de um membro da equipe.

Por fim, reforce aos indivíduos da sua organização que senhas fracas são inaceitáveis no que se refere à segurança da informação.

Direitos de Acesso

Rotinas para verificação de acesso privilegiado de usuários a determinados dados são cruciais para seu negócio. Entretanto, não será essa a grande solução que funcionará como um antídoto contra o vazamento de dados.

Seja um vazamento devido ao sequestro dos direitos de acesso de algum dos seus colaboradores, ou um integrante da organização que decide se voltar contra você e sua empresa.

Há uma miopia presente na avaliação das informações de segurança das empresas e de seus departamentos de TI. De modo que detalhes importantes para sua luta contra o vazamento de informações não sejam vistos.

A restrição de dados e acesso delimitado ao nível de credenciamento impedem uma desnecessária circulação de informações, evitando, assim, brechas na segurança do seu sistema.

Destacamos, então, o quão importante é que você configure um sistema de segurança de alto nível, de modo a garantir que você seja o responsável pela validação e liberação de acesso aos colaboradores.

Você pode fazer isso de modo manual ou ter o suporte de uma equipe de consultores auxiliando o trabalho exigido por todas as medidas preventivas ao vazamento de dados mencionadas aqui.

O que fazer após um vazamento de dados?

Você não precisa ficar em pânico por causa de um vazamento de dados, por mais sensíveis que sejam as informações em perigo.

Existem algumas medidas que você pode tomar após o acontecimento de um vazamento. Mas, tenha em mente que, as etapas a serem seguidas dependem de quais informações foram expostas.

Logo abaixo listamos 5 pontos principais para que você tenha conhecimento de como realizar um plano de recuperação.

Primeiro ponto: Determinar os danos

O primeiro passo a ser tomado é: descobrir o que os hackers conseguiram com o ataque.

Após a descoberta das informações que vazaram, você deve comunicar a todos os envolvidos (colaboradores e clientes) sobre o ocorrido e sobre quais dados foram expostos.

Essa é a primeira etapa de criação de um plano de recuperação realmente efetivo.

Segundo ponto: Os dados podem ser usados?

Muitas vezes as informações obtidas pelos criminosos são inutilizáveis devido a práticas de segurança que incluem termos como hash, salt e criptografia.

Porém, pode acontecer de os dados estarem na forma de cleartext (texto padrão). Logo, nenhuma criptografia foi usada, e a leitura e manipulação das informações se tornam muito mais fáceis para o criminoso.

Os dados com hash (normalmente usado para bases de dados de senhas), por sua vez, são informações originalmente alteradas de modo que não seja possível decodificá-las de para o formato de texto padrão.

No entanto, alguns dos métodos de hash podem ser revertidos. O que é descoberto apenas com uma profunda investigação.

Para segunda linha de defesa, sua empresa pode adicionar o salt – dados aleatórios – para dificultar o processo de decodificação.  

A criptografia, por sua vez, é um processo de duas vias em que apenas a pessoa com a “chave” (senha ou arquivo com senha) consegue decodificar os dados.

Mesmo diante de um vazamento de dados criptografados ou com hashes e salt, você pode aconselhar seus funcionários e clientes a alterarem as senhas como uma medida adicional.

Terceiro ponto: Mudar a senha

A troca de senhas evita que novos acessos sejam feitos e outras informações se tornem públicas.

O uso de senhas exclusivas, para os diferentes serviços e ocasiões, não impede um vazamento de dados, mas auxilia, no caso de um ataque, para que não haja risco desse vazamento comprometer outras contas.

Em um caso de vazamento de dados, sua organização deve estar educada e treinada para ser proativa.

Mudar a senha é vital.

Quarto ponto: Adotar medidas de segurança

Se você não usa um gerenciador de senhas, esse é o momento ideal para isso. Tratam-se de programas capazes de criar códigos novos e difíceis de serem descobertos.

Além de salvarem esses códigos para cada uma das suas contas on-line, os gerenciadores de senha protegem suas senhas com criptografia e as disponibilizam em todos os seus dispositivos.

Tendo em mente que apenas senhas não são mais o suficiente para impedir um vazamento de dados, habilitar a autenticação de dois fatores nos serviços em que essa opção estiver disponível é uma ótima ideia que você pode colocar em prática.

Esse método de segurança faz com que seu serviço web exija um código secundário de seis dígitos antes de liberar seu acesso a sua conta, mesmo com o uso da senha correta.

Lembre-se de criar um e-mail dedicado exclusivamente para a recuperação de senhas. O ideal é que ele não esteja conectado com a sua identidade, para que os hackers não assumam o controle da sua vida on-line.

Certifique-se de que a sua conta de e-mail para recuperação esteja protegida com uma senha forte e autenticação de dois fatores, assim como as demais contas.

Quinto ponto: Contatar a sua operadora de cartão

O cancelamento de cartões de crédito e verificação de contas existentes em nome da empresa é um passo a ser seguido para impedir que maiores danos aconteçam.

Quando há um vazamento de grandes proporções, seu banco pode já estar informado. Porém, é uma boa ideia contatá-lo da mesma forma informando que você foi atingido.

Não espere para tomar essa atitude. Notificar o seu banco ou operadora de cartão garante que nenhuma cobrança fraudulenta seja feita a você. A empresa provavelmente cancelará seu cartão para emitir um novo.

O vazamento de dados é uma situação desagradável a qualquer um. Sendo um acontecimento cada dia mais presente na rotina de grandes e pequenas empresas.

Logo, a questão com a qual você deve se preocupar é quando você poderá ser atingido e não mais se existe a possibilidade.

Seja otimista e lembre-se que sua proatividade pode te ajudar a evitar possíveis dores de cabeça no combate diário à prevenção de vazamento de dados. Para se informar ainda mais sobre como você pode se prevenir diante da ameaça de ataques e vazamento de dados, confira nosso infográfico com as melhores práticas de backup.


Compartilhe com um amigo!