A torre de Jenga da segurança da informação

Será que a segurança da informação corporativa está a um ou dois passos de desmoronar? No fim do ano passado, o Google passou a tentar uma abordagem que exigisse menos senhas para acessar o Gmail. A prática envolvia o envio de um e-mail de aprovação para o smartphone registrado no endereço de e-mail. Uma vez aceita a solicitação, o usuário então poderia acessar seu Gmail sem senhas.

Em outubro de 2015, o Yahoo começou a testar um serviço semelhante, chamado de on-demand passwords. O sistema consistia no envio de uma combinação aleatória de quatro letras para um outro dispositivo quando o usuário tentasse acessar o serviço. O Yahoo então exigia que o usuário usasse esse código para conseguir acessar seu e-mail novamente pelo browser.

Expedição pelo phishing

Ampliar os mecanismos de autenticação parece ser uma boa ideia, mas essa abordagem pode levar a ataques de phishing ainda mais sofisticados. Em geral, esses esquemas são suscetíveis a ataques de intermediários.

Os ciber criminosos, pegando carona nesses serviços, podem enviar e-mails falsos aos usuários pedindo informações. Como os usuários do Yahoo e do Google vão se acostumar com esse tipo de comunicado e terão o hábito de aceitar e responder essas verificações, poderão muito bem dar sua senha a um hacker acidentalmente.

Ainda que outras empresas de serviço online tentem seus próprios métodos e as organizações aos poucos comecem a implementar técnicas de múltiplos fatores, há um grande espaço para preocupações.

Dark web

Todas as informações roubadas por hackers vão parar na dark web. Por meio desse espaço, ciber quadrilhas obtém muitas informações com as quais podem trabalhar em seu futuro ataque de phishing.

Pronto para desmoronar

Assim como uma torre de Jenga, a segurança da informação pode simplesmente desmoronar se alguém remover uma peça de sua fundação. Tudo pode ir por terra, inclusive os blocos mais sofisticados do topo.

No caso da segurança da informação, no topo estão as defesas de perímetro e a criptografia de dados. No meio estão os dados mal protegidos, enquanto, mais abaixo, estão as políticas de autenticação pobres, as senhas fracas e o monitoramento de dados ineficiente.

Um funcionário terá de pensar como um hacker e se guiará pelos dados roubados e outras informações de vulnerabilidade compradas no mercado negro para saber quais blocos da fundação remover para seguir para a próxima camada de dados mal protegidos.

Com Varonis