Uma resposta para clientes e fornecedores, além de um planejamento para impedir a recorrência da brecha, são exemplos de ações a serem tomadas

A rede de hotéis Marriott International sofreu um golpe de segurança entre janeiro e fevereiro deste ano, quando as credenciais de login de dois funcionários, em um hotel de franquia, foram usados para acessar dados pessoais, contatos e informações de contas de fidelidade e preferências de hóspedes de 5,2 milhões de hóspedes.

Em 2018, a organização já havia sofrido uma falha de cibersegurança, quando centenas de milhões de informações sobre clientes também foram roubados, rendendo uma grande multa à empresa do ICO (Information Commissioner’s Office).

Ao descobrir a violação, a Marriott imediatamente desativou as credenciais comprometidas, iniciou uma investigação interna e tomou as medidas legais cabíveis, além de implementar monitoramento aprimorado.  Em reportagem à ComputerWeekly, o Diretor de Segurança da Cybereason, Sam Curry, disse que, hoje, a preocupação é “como a Marriott garante que isso nunca aconteça novamente?”.

Ataque menos agressivo, porém mais relevante

Stuart Reed, Vice-Presidente de cyber da Nominet, disse à reportagem que as novas quebras de cibersegurança da Marriot levantam a questão “do que deve ser feito depois que uma empresa sofrer um incidente”. A primeira experiência destacou vulnerabilidades no sistema de segurança da organização e também mostrou a importância de investir na área.

Segundo a matéria, com base nas informações atualmente disponíveis, o segundo ataque foi substancialmente menos grave que o anterior. Para Samantha Humphries, Estrategista de Segurança da Exabeam, as medidas adotadas pela empresa em sua divulgação eram responsáveis e apropriadas.

“Se há algo positivo a dizer sobre essa notificação de violação, é que a equipe de segurança do Marriott parece ter minimizado o tempo de permanência do atacante em pouco mais de um mês”, disse Humphries ao site.

Reed ressaltou que as medidas tomadas pela organização depois de um evento como esse são cruciais para a reputação da marca.

“Em nossa pesquisa, descobrimos que dois terços dos atingidos por uma violação nos últimos 12 meses não estavam muito confiantes de que sua organização pudesse se defender novamente contra o mesmo tipo de ataque. O recente incidente de segurança do Marriott indica potencialmente que essa falta de confiança é justificada”, disse.

Resposta apropriada

“Se há algo positivo a dizer sobre essa notificação de violação, é que a equipe de segurança da Marriott parece ter minimizado o tempo de permanência do atacante em pouco mais de um mês”, disse Humphries ao ComputerWeekly. Houve uma redução drástica de quase meio bilhão de vítimas do primeiro para o segundo ataque, ela lembra.

Ainda de acordo com a especialista, uma pesquisa divulgada em 2019 pela Forrester mostrou que quase metade das violações de dados é causada por alguma ameaça interna. “É o caso de quando isso vai acontecer para a maioria das equipes de segurança; portanto, o foco deve estar na minimização do tempo de permanência dos invasores – de meses a minutos”, disse ela.

O Diretor de Tecnologia de Campo da Varonis, Brian Vecci, ressaltou que a Marriot merece o mérito pela melhoria, pois foi capaz de relatar quais informações foram obtidas e quais clientes foram afetados. “Uma violação nunca é uma boa notícia, mas é um sinal positivo de que eles foram capazes de acompanhar seus dados e informar sobre eles – transparência é o nome do jogo”, explicou.

Ainda segundo a reportagem, Ed Macnair, CEO da Censornet, disse que o caso da Marriott servirá como uma lição para todos os outros sobre como uma técnica de ataque simples pode ter impactos abrangentes e duradouros. “Embora os dados financeiros não tenham sido roubados, as informações pessoais que os criminosos obtiveram são incrivelmente valiosas e podem ser usadas para fins maliciosos”, disse Macnair.

Para Bob Rudis, Cientista Chefe de Dados da Rapid7, o incidente ressalta a importância de manter a vigilância, sobretudo com a pandemia do coronavírus. “As interrupções atuais nos padrões de trabalho tradicionais também aumentam a probabilidade de ataques mais frequentes e inteligentes que ocorrem todos os dias.

Mesmo que sua equipe esteja mais dispersa do que o normal, não é hora de reter um treinamento regular de conscientização. Também é fundamental que você continue observando comportamentos anômalos de sistemas e contas para reduzir o tempo que os atacantes têm para atingir seus objetivos se conseguirem violar suas defesas”, disse à reportagem.

O diretor de Ameaça Estratégica da Darktrace, Marcus Fowler, segue o mesmo alerta, devido à vulnerabilidade exposta durante a crise. “Os atacantes não esperam para atacar até que os negócios se estabeleçam, ou até que as equipes de segurança e TI concluam a transição para o trabalho remoto”, disse ele. Fowler, lamenta que os riscos de comprometimento do e-mail comercial aumentam com o trabalho remoto.

Planejamento

Para Tim Mackey, principal estrategista de segurança do Synopsys CyRC (Centro de Pesquisa em Segurança Cibernética), o infortúnio da Marriott destaca a importância de se preparar previamente um modelo detalhado de ameaças nas operações comerciais e implementar os controles de monitoramento certos para garantir que os problemas possam ser detectados corretamente, segundo a reportagem.

“Nesse caso, o vetor de ataque era por credenciais de funcionários comprometidas. Essas credenciais forneceram acesso a serviços de clientes em propriedades individuais sob a marca Marriott. Como os funcionários geralmente têm acesso a dados confidenciais do cliente, é particularmente difícil criar alertas apropriados para detectar o uso indevido de credenciais”, comentou Mackey.

Controle

Mackey sugere que alguns controles a serem observados: hora do dia (ou seja, o funcionário está com frequência), escopo de acesso (ou seja, os dados acessados fora de sua função normal) e volume de dados (ou seja, o acesso consistente com a maneira como um funcionário acessaria dados para atender aos requisitos do cliente).

“A implementação de tais controles exige que as organizações examinem não apenas a segurança do aplicativo e como ele é implantado, mas os padrões de uso pretendidos que incorporam dados de fatores humanos”, disse ele à publicação.

Carl Wearn, chefe de crime eletrônico da Mimecast, destacou a importância de os CISOs e as equipes de segurança conhecerem o ambiente organizacional de TI por dentro e por fora. “Isso permitirá que eles identifiquem quaisquer vulnerabilidades de maneira rápida e fácil e emitam uma atualização de patch quando necessário. Também é aconselhável que a organização realize testes com caneta para que eles possam identificar rapidamente quaisquer sinalizadores”, sugeriu.

Ele ressalta também a importância de todos os funcionários serem treinados e também estarem cientes dos princípios básicos de segurança de dados, como as regras da GDPR, lei europeia de proteção de dados.

Nesse sentido, Debbie Gordon, CEO da Cloud Range Cyber, disse ao ComputerWeekly a importância das simulações técnicas e de comunicação, juntamente com operações de segurança para ajudá-los a pensar criticamente para detectar, responder e remediar ataques cibernéticos.

“Esses exercícios medem sua preparação e tempo de resposta, o que reduz o tempo de permanência e minimiza os riscos para qualquer organização. As habilidades dos hackers estão em constante evolução; mas as empresas podem superar a lacuna de habilidades cibernéticas implementando treinamento avançado em simulação antes que as ameaças se desenvolvam completamente e que ocorram violações”, disse ao site.

Em termos de abordagens tecnológicas, Macnair disse que, com base no que sabemos sobre a última violação do Marriott, a autenticação de dois fatores ou multifatorial (MFA) da Marriott era provavelmente a melhor opção.

“Embora os ataques de controle de contas possam ser devastadores, existe uma maneira simples de se proteger contra eles. O método mais eficaz é usar a autenticação de dois ou vários fatores. MFA significa que as contas são protegidas com mais do que apenas uma senha, por exemplo, interrompendo logins de locais estranhos ou sem uma senha única”, falou. Para ele, o MFA é “essencial para administradores ou titulares de contas privilegiadas que possam acessar dados confidenciais ou aumentar privilégios”.

Fonte: CIO