Os ataques à infraestrutura digital estão no topo da lista de preocupações dos CISOs em todos os setores. Gigantes do varejo como a M&S, fabricantes de automóveis como a Jaguar Land Rover, hospitais e até creches. Os relatos de incidentes cibernéticos graves parecem estar a chegar com uma regularidade desconfortável, tendo aumentado 50% no ano passado.
Fala-se muito sobre os riscos que as empresas enfrentam, geralmente malware alimentado por IA, zero-days e as mais recentes técnicas de ataque, as ameaças que elas estão constantemente tentando enfrentar. Mas a verdade mais incómoda é que os atacantes também exploram o que as organizações não fazem.
CEO e fundador da marca Flexxon X-PHY.
Muitos ambientes funcionam com milhares de contas cujas senhas nunca expiram e contas de usuários “fantasmas” inativas que ainda estão habilitadas – um caso clássico de configurar e esquecer para sempre. Paralelamente, existe um ponto cego físico: pen drives, unidades externas e cartões microSD cheios de dados confidenciais.
Eles podem ser raramente usados, mas são perfeitamente legíveis e facilmente abusados pelas pessoas erradas.
O velho ditado “A ociosidade enferruja a mente” não se aplica necessariamente aos dados; O novo armazenamento seguro foi projetado para ser reforçado quando inativo, transformando a inatividade de uma vulnerabilidade em parte de sua defesa.
Como a preguiça se transforma em quebrantamento
Os cibercriminosos raramente realizam um movimento único e dramático. Eles funcionam em fases, e um ponto de entrada ocioso torna o primeiro quase sem esforço.
Pode começar com um acesso que ainda não deveria ser válido: uma conta de contratante que nunca foi revogada, uma conta de serviço herdada com uma credencial não expirada ou uma exceção administrativa “temporária” que durou mais que o projeto para o qual foi criada. A partir daí, os invasores podem agir como um usuário normal faria, e é por isso que é tão difícil identificá-los no início.
O mesmo padrão aparece com o armazenamento físico. As empresas são notoriamente ruins em copiar arquivos confidenciais em dispositivos (laptops, unidades externas, pen drives, cartões microSD) sem considerar as implicações de segurança.
Pense em um USB não criptografado deixado em um trem, em um disco rígido em uma bolsa roubada, em um cartão de memória em um drone que ainda não pode ser recuperado ou em um disco rígido portátil que foi movido da mesa para a gaveta ao longo dos anos. O hardware desaparece, os trabalhadores seguem em frente e, ainda assim, os dados ainda estão lá, legíveis por qualquer pessoa que os encontre.
O resultado final pode ser um vazamento silencioso de dados que surge meses depois ou uma extorsão total.
Usabilidade e segurança (e como se armar)
A maioria das organizações não permanece vulnerável porque não se importa. Eles chegam lá porque o atrito é caro. As credenciais não mudam porque uma vez que a rotina causou tempo de inatividade. O acesso permanece aberto porque ninguém quer check-ins e bloqueadores constantes.
Os arquivos são copiados para cartões USB e SD, pois a maneira mais rápida de mover dados geralmente vence.
Sim, essas opções tornam as operações mais fáceis, mas também facilitam o caminho para os invasores. Processos simples dos quais suas equipes dependem todos os dias e qualquer dispositivo seguro que contenha dados confidenciais são o que os invasores usam para acessar e obter acesso a sistemas de alto valor.
Outro problema é que os esforços de segurança seguem o que é visível. Os dados em trânsito são mais fáceis de padronizar e mostrar o progresso: criptografar a conexão, fortalecer o acesso remoto, monitorar sessões.
A má governança são dados inativos: não apenas em unidades compartilhadas, depósitos de nuvem e armazenamento de rede antigo, mas também no hardware que as pessoas usam para movimentar os dados. Laptops, pen drives e cartões SD ficam fora da rede de segurança da rede: são movidos entre sites, perdidos e possivelmente nem mesmo criptografados.
Esta proliferação torna-se um perigo óbvio: demasiados locais para armazenar dados sensíveis, demasiados caminhos de acesso, poucas regras consistentes para mantê-los seguros.
A resposta não é tornar o uso dos sistemas difícil. É projetar padrões que não dependam de manutenção manual constante e do uso de hardware inteligente.
O que as empresas podem fazer agora
O primeiro passo é simples: quais dispositivos ainda estão habilitados e quais dispositivos ninguém possui ativamente antes que um agente mal-intencionado o faça.
Procure contas que não foram autenticadas há meses, mas ainda estão habilitadas, contas de serviço cujas senhas nunca expirarão e contas de serviço que ainda têm permissões amplas porque alterá-las uma vez causou tempo de inatividade.
Faça o mesmo com a infraestrutura: analise os sistemas legados que não são utilizados, mas ainda estão conectados à identidade, rede ou armazenamento e isole, remova ou proteja-os adequadamente com autenticação atualizada, permissões e criptografia mais rígidas.
Em seguida, diminua o raio da explosão. Separe funções críticas de fluxo de trabalho e limite o que contas de administrador padrão e endpoints podem ver, e muito menos acessar. Além disso, trate os dados ociosos como uma decisão do ciclo de vida. Se não estiver em uso, arquive com segurança com controles de acesso rígidos ou aposente-se.
Deixar dados confidenciais “em um compartilhamento em algum lugar” significa que os arquivos esquecidos se tornam caros de qualquer maneira.
E, finalmente, não negligencie a camada física de resiliência. O armazenamento off-line e removível deve fazer parte do seu plano de resiliência e deve resistir a roubo, adulteração, calor, umidade e manuseio incorreto, e ainda ter segurança quando estiver off-line.
Essa é a diferença entre armazenamento seguro reforçado e padrão: ele foi projetado para ser bloqueado enquanto ocioso, de modo que “off-line” não seja “desprotegido”.
Recursos como criptografia de hardware integrada, autenticação de ponto de acesso e proteção contra adulteração garantem que a cópia de recuperação permaneça segura e disponível sob pressão, mesmo quando o restante do ambiente não for confiável.
Por exemplo, se um invasor obtiver credenciais administrativas e depois obter acesso a um dispositivo ou mídia de backup, a criptografia e a autenticação no tempo de acesso poderão impedir que o sistema se torne um comprometimento total.
Os crimes cibernéticos prosperam quando as organizações os ignoram. A solução é tratar a preguiça como parte da sua estratégia de defesa e não como uma porta esquecida.
Apresentamos o melhor navegador privado.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
