Em geral as empresas direcionam seus investimentos da área de segurança em soluções tecnológicas para proteger o perímetro. Isso é normal, já que os gestores são bombardeados no dia a dia com informações sobre ataques direcionados, exploits, ameaças zero-day e o aumento do número de códigos maliciosos. O fato é, mesmo com toda a proteção que o perímetro pode ter, não estaremos protegidos pelo ataques que se iniciam internamente.

Hoje, temos de nos voltar para a questão humana. Mais do que nunca os hackers estão utilizando engenharia social para atacar o componente mais valioso das empresas: os seres humanos. A partir disso, os criminosos infiltram-se nos sistemas e tomam o controle total, de dentro para fora.

O que observamos atualmente é um aumento considerável do investimento em produtos. Existe uma ideia geral de que a melhor solução disponível no mercado irá sanar os problemas de segurança da empresa. Em contrapartida, o investimento em capacitação e treinamento dos funcionários, além dos trabalhadores da própria área de segurança, continua o mesmo – pouco, ou nenhum.

Há um tempo atrás, a WHMCS, uma empresa online de pagamentos nos Estados Unidos, foi atacada por um hacker que possuía credenciais reais de acesso, fingindo ser alguém de dentro. O que aconteceu foi que o administrador de rede era bem ativo nas mídias sociais. A partir do profile público e informações disponíveis para qualquer um no Google, o criminoso foi capaz de responder às questões de segurança do administrador. Depois de um rápido telefonema e um reset de password, 1,1 Gb de dados de cartões de crédito foram baixados e posteriormente apagados dos servidores.

Nós observamos isso diariamente em nosso trabalho. Em uma simples ligação para algum setor da empresa, um funcionário pode fornecer ao nosso time dados suficientes para a execução de um ataque. Ao se apresentar como alguém da própria empresa, ou, ao executar ações ilegais sendo algum funcionário da empresa, geralmente não existe suspeita. Esse é o perigo das ameaças internas, a relação de confiança entre os funcionários já está estabelecida, dificilmente alguém vai desconfiar de um comportamento suspeito.

Falta treinamento adequado nas políticas de segurança

Podemos fazer uma analogia entre segurança da informação e segurança do trabalho. As campanhas de segurança do trabalho são sempre constantes, em uma construção civil por exemplo, os trabalhadores precisam ser lembrados diariamente das normas de segurança, somente assim a maior parte dos acidentes podem ser evitados. A segurança da informação deve seguir o mesmo caminho, o risco envolvido não é algo passageiro, é algo diário, presente no cotidiano dos funcionários. Deve haver investimento em treinamento de pessoal e em campanhas constantes que recordem as boas práticas de segurança.

A única forma de uma empresa ter sucesso na segurança e impedir que os criminosos explorem a engenharia social é progredir para além do pensamento de que o TI é o único responsável por todas as questões de Segurança da Informação. Educar o usuário em conjunto com soluções técnicas ajudam a diminuir as consequências das ameaças internas.

Você pode começar se perguntando as seguintes questões:

  • As políticas estão funcionais?
  • Os setores jurídicos e de gestão dão suporte para as práticas do TI?
  • Os programas de segurança incentivam os funcionários, ao invés de deixá-los com medo?
  • Conduzimos auditorias regularmente?

Enquanto esse tipo de atuação pode parecer irreal a princípio, nós já observamos empresas que reduziram a quantidade de incidentes relacionados a malware, e reduziram consideravelmente o número de incidentes internos com simples mudanças de processo e educação dos usuários. As empresas são tão vulneráveis quanto o elo mais fraco, as pessoas. E enquanto esse fato for verdade, os atacantes vão continuar utilizando a engenharia social de forma pesada e realizando ataques internamente.

weakest link