Ainda outra manchete de violação de segurança pode parecer que os negócios são normais, mas o mais recente incidente de segurança cibernética da Uber é um pedido para que os líderes de TI considerem as vulnerabilidades de suas próprias organizações.
Em 19 de setembro , a Uber, empresa de compartilhamento de viagens, sofreu outra violação de segurança de alto perfil. Um hacker, agora considerado afiliado ao grupo de hackers Lapsus$ , provavelmente comprou credenciais da dark web. Eles usaram essas credenciais para executar um ataque de fadiga de autenticação multifator (MFA). O invasor tentou repetidamente fazer login usando as credenciais, solicitando que um contratado da Uber respondesse a uma solicitação de autenticação de dois fatores. Eventualmente, o contratado respondeu a quem eles achavam que era uma pessoa de TI da Uber, e o hacker conseguiu obter acesso elevado a várias ferramentas dentro da rede da Uber.
O mesmo hacker também é supostamente responsável por uma violação na Rockstar Games . Os detalhes de como o invasor obteve acesso aos sistemas da Rockstar Games são menos claros, mas esses ataques parecem ser trabalho de engenharia social.
Violações de segurança de alto perfil como essa podem fazer com que outras equipes de liderança suspirem de alívio. Pelo menos não era a companhia deles. Mas as violações da Uber e da Rockstar Games, por mais inevitáveis e comuns que possam parecer hoje em dia, também trazem lições valiosas para os líderes de TI que desejam evitar o mesmo destino. Aqui estão quatro a considerar:
1. A autenticação multifator precisa de outra aparência
Mais da metade das empresas está usando a MFA, de acordo com o Relatório de Defesa de Ameaças Cibernéticas de 2022 do CyberEdge Group. Embora possa ser uma ferramenta de segurança poderosa, não é infalível, como claramente ilustrado pela violação do Uber. Avaliar e aprimorar os recursos de MFA e o gerenciamento de acesso pode ser um passo para ficar à frente dos invasores e de seus métodos em evolução.
“Existem abordagens mais seguras para autenticação multifator. Eles podem ter um custo adicional … em termos de a empresa [perder] parte de sua flexibilidade operacional ou sobrecarregar os funcionários ”, Bob Kolasky, vice-presidente sênior da empresa de gerenciamento de risco da cadeia de suprimentos Exiger e ex-diretor assistente de segurança cibernética e infraestrutura Security Agency (CISA), diz InformationWeek.
2. A engenharia social veio para ficar
Alguns ataques são bem-sucedidos porque os hackers conseguem explorar as vulnerabilidades de segurança da rede e do sistema operacional, mas, nesse caso, o invasor conseguiu aproveitar a engenharia social. Dado o nível de sucesso que esses tipos de ataques têm, é improvável que eles parem tão cedo.
As pessoas podem ser treinadas para identificar tentativas de engenharia social, mas o erro humano não vai desaparecer. “Não é culpa do funcionário que foi vítima; isso pode acontecer com qualquer um, incluindo profissionais de segurança veteranos”, afirma Kurt Alaybeyoglu, diretor sênior de serviços de segurança cibernética da empresa de consultoria em gestão de negócios Strive Consulting. “É por isso que os profissionais de segurança defendem abordagens de defesa em profundidade à segurança há duas décadas.”
Rahul Mahna, diretor administrativo da empresa de consultoria EisnerAmper, vê o erro humano como a próxima fronteira da segurança cibernética. “Acreditamos que 'proteger o humano' será a vanguarda dos esforços de segurança cibernética no futuro”, diz ele. “Uma forma aprimorada de proteger o humano é garantir que ele esteja usando uma chave baseada em hardware, como um pendrive.”
3. Conheça os riscos da sua organização
“A Uber teve sorte de ter escapado de sérias consequências operacionais, financeiras e possivelmente regulatórias – continua a ser visto”, diz Alaybeyoglu . Isso não significa necessariamente que a Uber evitou um processo de limpeza caro, sem mencionar os danos à sua marca.
Os líderes de TI de outras empresas podem aproveitar a oportunidade para avaliar os riscos de suas organizações. Onde estão as vulnerabilidades? O que uma violação pode custar à empresa? “Crie um roteiro para implementar os componentes de mitigação ausentes e as métricas que você usará para determinar o quão bem eles estão funcionando”, recomenda Alaybeyoglu.
Embora a segurança cibernética seja em grande parte o domínio da liderança de TI, ela não pode viver em um silo. “Lembre-se de que a segurança cibernética é um risco comercial”, adverte Kolasky.
4. A segurança cibernética precisa de adesão de nível executivo
Os líderes de TI podem soar o alarme sobre os riscos de segurança cibernética, mas as empresas permanecerão vulneráveis a ataques como o que o Uber sofreu até que a segurança cibernética seja priorizada no C-suite.
“Sem a adesão dos executivos e uma mudança de perspectiva da segurança como um centro de custos para um facilitador de negócios, será impossível treinar as pessoas, construir os processos e usar a tecnologia para capacitar os negócios e minimizar os danos quando os atacantes vêm batendo”, diz Alaybeyoglu.
Esperamos que tenha curtido este artigo!
Nós da PHS Brasil, nos colocamos a sua disposição e ficaremos felizes em entender sua necessidade e responder suas dúvidas.
Você pode acompanhar todas as nossas novidades nas redes sociais, como em nossa página no LinkedIn, Youtube, Facebook ou Instagram, onde publicamos e geramos conteúdo de valor para você e sua empresa diariamente.
Envie-nos um e-mail neste endereço: comercial@phsbrasil.com.br ou fale conosco pelo telefone: 11 3945-1934 (whats).
Olá, deixe seu comentário para 4 lições aprendidas com a última violação da Uber