A fórmula mais importante quando falamos em segurança da informação é: risco = impacto*probabilidade (risco em segurança da informação é igual ao impacto vezes a sua probabilidade) e seu principal objetivo é mitigar e diminuir a probabilidade de que um ataque ou ciberameaças sejam bem-sucedidos de tal forma que o risco seja erradicado do ambiente. E caso um ataque seja bem sucedido, que o impacto seja mínimo.
Por isso, é fundamental conhecer os 7 principais tipos de vulnerabilidades:
Físicas
Instalação predial, controle de acesso, data center, etc. Tudo que envolve controle de acesso às instalações do ambiente corporativo.
Naturais
Desastres como incêndios, quedas de energia, etc. Para tudo o que pode tirar o seu ambiente de produção do funcionamento adequado, a pergunta que deve ser feita é: existe um plano de contingência?
Humanas
Falta de treinamento e alinhamento com as políticas de segurança da empresa, vandalismo e até mesmo sabotagem. Um colaborador descontente pode, sim, ser uma ameaça.
Hardware
Depreciação do ativo, má instalação, etc. Tudo o que envolve um ativo ou item de configuração que pode causar um ponto de vulnerabilidade ao ambiente, causando a indisponibilidade do acesso ao ambiente de produtividade da empresa e impactando diretamente no andamento das atividades.
Software
Este também é um dos principais pontos de vulnerabilidade dentro das empresas. Um software ou sistema operacional desatualizado pode causar grande impacto aos negócios. Citando um exemplo simples, o recente ataque global de ransomware, que atingiu mais de 100 países, ocorreu por falta de atualização de pacotes de segurança no sistema operacional de computadores e ambientes de redes. As perguntas que precisam ser feitas aqui são: os softwares utilizados na empresa estão homologados? Foram desenvolvidos através de padrões de qualidade adequados?
Mídias digitais
Pendrives e hds externos são ótimos exemplos. A utilização de qualquer dispositivo externo não autorizado por vários motivos podem comprometer a confidencialidade, integridade e disponibilidade dos sistemas, que são os pilares que sustentam a segurança da informação. Por motivos óbvios, a utilização destes dispositivos requer atenção para se evitar o vazamento de informações confidenciais, bem como danos ao computador, dependendo da qualidade do dispositivo e do seu conteúdo (arquivos infectados com vírus).
Comunicação
O meio de comunicação adotado pela empresa também pode ser um tipo de vulnerabilidade já que a utilização de softwares não homologados - como Skype, WhatsApp, MSN, aplicativos de mensagens instantâneas alternativos - podem comprometer a segurança na comunicação, acarretando seríssimos problemas relacionados à vazamento de informações sensíveis e até mesmo fraudes.
Uma vez que já nos apropriamos das principais vulnerabilidades corporativas, quais seriam os principais tipos de ataques que as explorariam?
DOS: negação de serviço, uma falha recorrente e explorada por hackers. Em diversos artigos em nosso blog explicamos sobre este ataque, que tira o acesso do usuário a um determinado serviço.
SQL Injection: injeção de código malicioso em aplicações que utilizam banco de dados SQL.
Privilege Escalation: através de códigos maliciosos é possível aumentar privilégios de acesso, como administradores de um determinado computador ou até mesmo do ambiente de redes, podendo executar softwares maliciosos e coletar informações sensíveis da empresa.
Dumpster Diving: a forma incorreta no descarte de informações corporativas é uma vulnerabilidade que requer muita atenção. Assim como deve acontecer com documentos físicos, o mesmo cuidado deve ser adotado nos meios digitais. Por exemplo: no caso do descarte de um computador que parou de funcionar, é importante saber que existem formas de recuperação das informações contidas no hd deste computador; ou mesmo o descarte de e-mails deve ser tratado de forma especial.
E quais os softwares utilizados para a monitoração de vulnerabilidades e gestão do ambiente dessas redes? Aqui estão alguns exemplos:
Nessus: realiza um scan de vulnerabilidades no range da corporação e apresenta uma relação com as vulnerabilidades mais conhecidas e relatadas pelas diversas empresas de segurança da informação.
Nmap: realiza o mapeamento do range de IPs utilizados bem como portas e serviços (sistemas operacionais) que são utilizados na infraestrutura da empresa. A implementação de um Firewall é extremamente importante para o controle do tráfego dos pacotes (informações que trafegam no ambiente), assim como o controle das portas permitidas para que este tráfego ocorra.
Resumindo, a gestão de vulnerabilidades é o “calcanhar de Aquiles” das empresas e merece atenção redobrada por parte das equipes de segurança. No caso de não haver recursos suficientes para essa administração, uma solução recomendável é a terceirização do serviço (integral ou parcial) com MSSPs.