A TI sabe cuidar das senhas privilegiadas. E o resto da empresa?

por

Vamos supor que, com tudo o que já se tem falado sobre proteção de credenciais privilegiadas, a essa altura a área de TI já tenha adotado medidas para protegê-las. Mas e aquelas credenciais sensíveis usadas pelo resto da empresa?

Por: André Mazeron
Diretor Executivo da Leverage Segurança da Informação

No dia em que escrevo este post, um perfil do Twitter usado pela Capgemini Australia foi sequestrado por fraudadores. É uma conta verificada (aquelas com o checkmark ao lado do nome), o que deveria funcionar como selo de “autenticidade” daquela conta. O nome do perfil foi renomeado para Elon Musk e está sendo usada em um scam em nome dele para roubar bitcoins de incautos.

Os scammers publicaram o tweet abaixo, que inclusive foi impulsionado, portanto aparecendo para quem não era seguidor da Capgemini, dizendo que o Elon Musk resolvou doar 10.000 Bitcoins (cerca de 63 milhões de dólares) para quem participar do sorteio. Nas letras miúdas, para concorrer a esta fortuna, você precisa antes doar ao menos 0,5 BTC para o endereço que aparece no site da promoção.

 

Twitter bitcoin scam usando nome do Elon Musk

 

As senhas privilegiadas esquecidas

A TI está normalmente tão focada na proteção de suas próprias credenciais privilegiadas, como senhas de sistema e serviço, que às vezes se esquece que outras áreas também possuem contas compartilhadas cujo vazamento pode causar estragos. Quanto mais relevante a marca, ou se está sujeita a fiscalizações maiores, tais como empresas de capital aberto negociadas em bolsa, maior o impacto que um uso indevido de suas redes sociais possa fazer. Imagine uma empresa global publicando uma notifica falsa sobre uma aquisição, venda ou até mesmo a morte do CEO.

Mas como isto pode acontecer? A conta pode ter sido sequestrada via phishing ou então via senha fraca. Em qualquer hipótese, a empresa não tomou os devidos cuidados na proteção do acesso. O Twitter não tem os melhores recursos para proteção da conta, mas já permite a associação de um número de telefone celular para recuperação da conta em caso de fraude. Outras redes sociais permitem integração com ferramentas de autenticação de 2 fatores como neste exemplo do Facebook.

Mesmo no caso de uso de senhas simples (com as quais ainda iremos conviver por muito tempo), ainda assim é possível tomar medidas para melhor proteger estas credenciais. Por exemplo:

  • Usar senhas extremamente longas para estas contas que inviabilizem a sua descoberta via bruteforce
  • Treinar os usuários contra phishing para detectarem tentativas de golpe para roubo dessas senhas
  • Usar cofre de senhas que permita o autopreenchimento das senhas quando o responsável precisar se autenticar no site, evitando assim que ele mantenha um registro paralelo dessas senhas ou mesmo que sequer precisem conhecer qual a senha em uso.
  • Habilitar autenticação multifator no serviço (se possível) ou pelo menos no próprio acesso ao cofre de senhas, se o serviço não suportar.

Sim, usuários de outras áreas como marketing, financeiro, RH e outras também devem salvar as credenciais compartilhadas no cofre de senhas e ter acesso a esta ferramenta no seu dia-a-dia, permitindo assim maior controle e auditoria sobre seu uso. Com o tempo eles verão que é mais prático, simples e mais seguro, ajudando a disseminar a cultura de proteção das senhas privilegiadas para o resto da organização.

Colocando em prática

Aproveite para conhecer alguns recursos úteis para ajudá-lo nesta implementação:

  • Secret Server – Cofre de senhas e gerenciamento de acesso privilegiado para organizações de todos os tamanhos
  • Security Awareness – Treinamentos presenciais, online e phishing assessment para preparar seus usuários para lidarem com as ameaças da internet

 

Categoria : Artigos
Tags : , , , , ,