Tuesday, March 28, 2017

Por que as grandes empresas fracassam na cibersegurança: um questionário com Troy Hunt


As violações de dados estão se tornando mais frequentes e onerosas para as organizações, e a fraca segurança cibernética juntamente com os profissionais não qualificados são muitas vezes o resultado de um processo mal gerenciado. Então, o que as empresas podem fazer para corrigir o problema?

Parece que toda semana há notícias de outra violação/vazamentos de dados. Quer se trate de uma instituição financeira, agência governamental ou uma corporação internacional, as violações de dados são freqüentes e generalizada. Somente em 2016, o custo total médio consolidado de uma violação de dados cresceu de US $ 3,8 milhões para US $ 4 milhões, de acordo com o Estudo de Custo de Dados de Violação de Ponemon de 2016.
Biografia do entrevistador
Troy Hunt é um especialista em violação de dados e práticas de segurança. Ele é Diretor Regional da Microsoft, Microsoft MVP (Most Valuable Professional) para Desenvolvedor Security e palestrante internacional em segurança na Web. Ele também dirige o site Have I been pwned? Um serviço gratuito que agrega falhas de dados e ajuda as pessoas a descobrir se sua conta foi comprometida em uma violação.
Troy revela suas idéias sobre as causas das violações de dados e como as empresas podem melhorar sua segurança cibernética.

Quais são os tipos mais comuns de violação de dados que você vê?
O ataque mais comum ainda é uma injeção de linguagem de consulta estruturada (SQL). Injeções SQL  é uma característica muito forte em violações de sistemas, porque quando há uma vulnerabilidade de injeção de SQL, ele fornece ao atacante um acesso a todo o banco de dados.

Quais indústrias e empresas são mais susceptíveis a violações de dados?
Todos eles. As pessoas gostam de refinar os dados, mas a realidade é que qualquer empresa que está conectada está em risco. Assim que você colocar algo novo on-line, assim que você configurar um novo site, assim que você conecte uma nova webcam externa, ele fica sistematizada por processos automatizados. Em termos de suscetibilidade, se você estiver on-line, você é um alvo.

Quais são as melhores maneiras de as empresas evitarem ataques cibernéticos?
Há uma série de maneiras diferentes de olhar para ele. Eu acho que a coisa mais fundamental que faz uma grande diferença para a segurança é a formação de profissionais de tecnologia.
Se você é um negócio e você tem pessoas trabalhando para você que estão construindo esses sistemas, certificando-se de que eles estão devidamente treinados e equipados é realmente importante. Violações de dados são muitas vezes relacionadas com o fato de que as pessoas construíram algo com erros.
Um exemplo perfeito é um laboratório indiano de patologia que tinha 43.000 relatórios de patologia sobre indivíduos vazados publicamente. A pessoa que construiu o sistema de segurança do laboratório estava totalmente desprovida de equipamento. Vemos isso o tempo todo com injeção SQL também. Toda vez que vemos a injeção de SQL explorada, muitas vezes com grandes empresas internacionais, é porque alguém se enganou em relação ao código.

Por que é comum que as grandes empresas tenham esses tipos de erros?
Há uma série de fatores. Um deles é que as empresas estão sempre muito conscientes dos custos, por isso eles estão sempre tentando fazer as coisas em um orçamento em termos de custo de desenvolvimento.
O que isso geralmente significa é que eles estão recebendo pessoas sub-qualificadas. Realmente não custa nada mais para construir código que é resiliente para injeção SQL. Os desenvolvedores de construção tem que saber como ele funciona. Por exemplo, se você está offshoring para as taxas mais baratas possíveis em outro país, você provavelmente vai começar pessoas inexperientes de proeza de segurança muito mínima.
Eu acho que parte disso também é não há suficiente reconhecimento de que este é um risco sério. As empresas geralmente não tendem a levá-lo a sério até depois de terem tido um incidente ruim. Você não pode perder isso. É toda a notícia todos os dias sobre diferentes incidentes de segurança, mas até que ele realmente acontece com uma organização, o centavo apenas não parece cair.

Quanto a higiene cibernética dos usuários finais tem a ver com questões de segurança?
Tem muito a ver com muitas das questões. Não tem nada a ver com injeção de SQL porque isso é a ver com a maneira como o sistema é construído. No entanto, tem muito a ver com coisas como ataques de phishing. Estamos falando quando o indivíduo está abrindo correio suspeito. Eles estão sendo vítimas de um e-mail bem elaborado que está pedindo-lhes para inserir suas credenciais.
Em termos de higiene cibernética pessoal, vemos um monte de credenciais-stuffing ataques onde o sistema está comprometido, nomes de usuário e senhas são tomadas, e os atacantes vão usar os mesmos nomes de usuário e senhas em outras contas porque as pessoas têm reutilizado suas senhas. Essa é provavelmente a única coisa maior que precisamos corrigir a partir de uma perspectiva de consumidor - boas práticas de senha. No final do dia, ainda temos um monte de problemas digitais para resolver.
https://careersincybersecurity.com/big-businesses-fail-cybersecurity-qa-troy-hunt/ 

Key stretching - explicação

Você pode fazer uma chave fraca se tornar mais forte ao executar múltiplos processos para a mesma chave. Por exemplo, você pode ter uma se...