É provável que você, que é um empresário antenado e acompanha as notícias diariamente, tenha ouvido falar sobre o ataque em massa feito por hackers ao redor do mundo e dos impactos destes ataques em grandes companhias.
Mas o que não está na mídia é que as atividades maliciosas continuam bastante ativas e a chance de sua empresa ser atacada ainda existe, possivelmente não pelo Wannacry, mas algum similar ou por outra das diversas técnicas utilizadas por hackers.
Com tudo isso acontecendo, é comum que você se questione sobre a segurança dos softwares e serviços que tem utilizado, inclusive o de recorrência. Por isso, escrevemos este post para esclarecer algumas dúvidas importantes para quem usa ou quer usar um serviço de recorrência seguro.
O primeiro ponto importante que devemos ressaltar é que ataques estão baseados em algum tipo de fragilidade no sistema. No caso do ataque em massa, foi utilizada uma falha de segurança corrigida pela Microsoft em março e o ataque foi realizado em maio. Ou seja, dois meses depois algumas empresas (que usam o software) ainda estavam vulneráveis por não terem corrigido a falha a tempo.
Agora que entendemos um dos pontos importantes de um ataque, que é o sistema vulnerável, vamos entender o que é vulnerabilidade, como evitá-la e descrever como nós, da Vindi, fazemos para proteger seus dados e oferecer um serviço seguro.
O que é vulnerabilidade?
Em segurança da informação, o termo vulnerabilidade é usado para especificar uma falha ou fraqueza de um sistema. Essa ‘falha’ reduz a garantia de segurança da informação desse sistema.
Isso porque ele fica suscetível aos ataques de hackers que, ao saberem do problema, podem explorar o sistema e invadi-lo. Claro que para isso eles precisam ter uma ferramenta ou técnica aplicável que permita aos invasores violar o sistema.
Se eles invadirem, seus dados e informações deixam de estar seguros e os impactos disso são diversos – sempre impactando negativamente as empresas, como temos visto nos noticiários.
Como evitar?
Aqui na Vindi, nós buscamos por vulnerabilidades em nossos servidores em ciclos semanais, fazendo uso de ferramentas especializadas e com profissionais qualificados para entender os resultados obtidos e atuar de maneira rápida na correção de todas as falhas de segurança encontradas. Ou seja, a janela de exposição da Vindi tem uma média de sete dias.
Se você não é da área de segurança da informação, o parágrafo acima provavelmente deve te fazer achar que sete dias é muito tempo para ficar exposto a uma vulnerabilidade. Mas ao terminar de ler este post verá que sete dias é extremamente curto e que é necessário muita maturidade em segurança e tecnologia para conseguir um tempo de correção agressivo como esse de sete dias.
Então, o que acontece nestes 7 dias?
Entre o primeiro e o segundo dia do ciclo, as ferramentas são acionadas para encontrar novas vulnerabilidades. Essa tarefa consome aproximadamente dois dias para percorrer todos os servidores e aplicações da Vindi.
No terceiro dia, o time segurança avalia, classifica, remove os falsos positivos e direciona as vulnerabilidades para o tratamento.
Do quarto até o sétimo dia, os times homologam as correções, verificam possíveis instabilidades, abrem uma solicitação de mudança para o ambiente de produção e aplicam as correções no ambiente produtivo. No próximo dia as ferramentas irão buscar por vulnerabilidades novamente.
Como eu disse anteriormente, o hacker precisa desenvolver uma ferramenta para explorar, sete dias não são suficientes para que ele faça isso, então o ambiente está seguro. Com essa curta explicação acredito que é possível perceber que um ciclo de sete dias é bastante agressivo quando falamos em gestão de vulnerabilidades.
Apenas para servir de referência – como já atuei em diversas organizações e fui convidado para atuar de maneira consultiva e realizar testes de invasão em grandes empresas e em alguns dos grandes bancos – posso afirmar que o ciclo médio de exposição da maior parte das empresas é superior a 30 dias.
Então, se sua recorrência está na Vindi fique tranquilo, pois tomamos todos os cuidados possíveis para manter seus dados seguros contra ataques de hackers. Mas se seus dados não estão, este post serve de atenção para conversar com seus fornecedores e avaliar se o serviço que você usa (ou quer usar) oferece a atenção necessária ao tema.