Invasões via Terceiros

De acordo com as informações mais recentes, a invasão aos pontos de venda da cadeia de lojas Target em novembro passado envolveu credenciais roubadas de um prestador de serviços da empresa. E sua empresa, como lida com o acesso de terceiros aos sistemas?

A invasão, que resultou no roubo de dados de mais de 40 milhões de consumidores, teria sido possível porque o atacante obteve acesso a uma conta de rede utilizada pela empresa que faz manutenção nos sistema de refrigeração das lojas da Target. Exemplos em menor escala são facilmente encontrados em diversas organizações, e já acompanhamos incidentes similares em empresas nacionais, com o uso de credenciais de prestadores de serviço em ataques contra a rede do cliente.

Como controlar adequadamente o acesso de terceiros? Muitas vezes, por praticidade, a organização cria uma credencial genérica para ser compartilhada pelos técnicos e prestadores de serviço da empresa contratada. Isto por si só já é uma prática questionável por dificultar a atribuição. E a organização tem dificuldade em saber como senhas de acesso serão armazenadas no prestador de serviços.

O gerenciamento centralizado de credenciais de acesso, aliado à utilização de mecanismos de autenticação por dois fatores, pode ajudar a reduzir os riscos associados às contas de terceiros, aplicando políticas mais rígidas de troca periódica de senha (inclusive a cada uso da credencial), evitando o uso da senha fora de sistemas autorizados e melhorando a capacidade de auditar a sua utilização.