trabalho-Gestao_riscos

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ
MBA EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
Almir Botega de Camargo
Trabalho da disciplina 
Gestão de Riscos Ameaças e Vulnerabilidades
 Tutor: Prof. Luiz Roberto Martins Bastos
Campinas-SP
2018
Estudo de Caso :
GESTÃO DE RISCOS AMEAÇAS E VULNERABILIDADES
 Autópsia de uma violação de dados: o case-alvo 
REFERÊNCIA: 
 ses1, 2 preparados por Line DUBÉ, IJCSM International Journal of case studies in management HEC 130, Volume 14, Problema 1, Março 2016;
RESUMO: 
O estudo de caso trata da empresa Target, segunda maior varejista nos Estados Unidos, que anunciou uma violação envolvendo o roubo de dados de mais de 40 milhões de cartões de crédito e débito utilizados para fazer compras em suas lojas dos EUA entre 27 de novembro e 18 de dezembro. Além disso os criminosos roubaram, endereços residenciais e endereços de e-mail de até 70 milhões de clientes adicionais. 
A percepção dessa violação ocorreu através das agências responsáveis de regulamentar e cumprir a lei. O Departamento de Justiça dos EUA notificaram a administração da Target com a suspeita de de um grande número de transações de possíveis fraudes com cartão de crédito e débito. Com essa notificação a empresa realizou a contratação de uma empresa de TI forense para investigar melhor a violação. A confirmação teve os piores receios, os criminosos virtuais estavam pirateando os sistemas da Target e roubando dados de 40 milhões de cartões de débito e de crédito usados em seus estabelecimentos dos EUA desde 27 de novembro. A empresa não hesitou em erradicar todo o software usado pelos cibercriminosos, mas as notícias se espalharam e os repórteres começaram a fazer perguntas. 
Com uma crescente pressão a Target anunciou a violação e roubo dos dados. Ainda piorando a situação esse problema aconteceu na época onde os volumes de vendas e movimentos são altíssimos, como a Black Friday e pré-natal. 
As emissões de cartões realizados por instituições financeiras reagiram rapidamente ao anúncio da Target. Com a emissão de novos cartões com o intuito de minimizar perdas, no entanto, por causa do grande número de cartões afetados e número massivo e custos, foi um momento muito ruim para deixar os consumidores incapazes de pagar as compras.
 
A Target lançou então uma importante operação de relações públicas. Assegurando aos seus clientes que a vulnerabilidade tecnológica responsável pela violação fora encontrada e destruída. O Departamento de Justiça e o Serviço Secreto dos EUA fizeram o mesmo. 
Especialistas concordaram que o ataque foi realizado por criminosos que usaram uma estratégia bem conhecida e que são, de fato, ferramentas tecnológicas bastante convencionais. Eles conseguiram penetrar na rede de pontos de venda da Target (caixas registradoras) e instalaram malwares nos terminais. O software malicioso, conhecido como raspador de memória, faz uma cópia dos dados no ponto em que eles são mais vulneráveis - ou seja, no instante em que o servidor que processa a transação e tem que armazenar os dados brutos (não criptografados) em sua memória de acesso rápida por alguns milissegundos. Além disso, o malware geralmente é projetado para excluir todos os vestígios deixados para trás, dificultando a avaliação do alcance do dano sem uma investigação criminal forense. Na grande parte das vezes que esse tipo de invasão ocorre, as empresas não sabem o que ocorreu e de onde foi que originou. Estudos mostram que leva uma média de 229 dias para que essa violação seja detectada pela empresa vitimada.
Para garantir que tudo estivesse operacional e funcionando corretamente. Poucos dias depois, eles instalaram o malware em todos os terminais da Target (aproximadamente 1.800 dispositivos), que então começaram a fazer uma cópia do número de todos os cartões utilizados. Os dados foram então copiados em três servidores fora da Target, provavelmente sem o conhecimento de seus proprietários; declaradamente, havia um servidor em Miami, um no Brasil e outro nos Estados Unidos.
Os investigadores descobriram uma cópia dos dados descartada em um desses servidores que tinha sido usado como armazenamento temporário. 
A Target era realmente bem protegida contra esse tipo de ataque, o qual é bastante comum. Chegou a ser considerada líder em segurança digital no setor tendo um alto investimento em sua infraestrutura de TI, possuindo diversas camadas de proteção incluindo segmentação, firewalls, software de detecção de malware, software de detecção de intrusão, ferramentas de prevenção e planos para evitar a perda de dados. Além disso regularmente eram executadas auditorias por consultores externos e especialistas internos para garantir a segurança entretanto, nenhuma dessas medidas impediu os cibercriminosos de encontrar e explorar vulnerabilidades na infraestrutura de TI da Target. Um dos fornecedores da empresa HVAC Fazio Mechanical Services, com sede na Pensilvânia, obteve acesso remoto à rede da Target para cobrança eletrônica, envio de contratos e gerenciamento de projetos. A investigação indica que cibercriminosos obtiveram o login e senha desta empresa enviando um simples e-mail de phishing no qual um funcionário da Fazio respondeu e passou as informações que eram necessárias.
Mesmo com esse acesso não autorizado, a Target estava, ao menos em tese, protegida contra esses ataques. Alguns meses antes, realizou um investimento de certa de US$ 1,6 milhões para implementar um sistema anti-malware chamado FireEye (os clientes incluíam a indústria de defesa, a CIA, o Pentágono e a Bombardier Aerospace), o FireEye é um sistema robusto de monitoramento avançado para infraestrutura de TI. Houveram alertas emitidos sobre o problema de invasão, porém se os especialistas da Target tivessem feito um trabalho melhor ao avaliar os alertas recebidos, o ataque contra a infraestrutura da Target poderia ter sido frustrado. Por se tratar de um sistema novo os especialistas desativaram este recurso ainda não confiavam completamente nele. 
Os roubos de dados em larga escala, como o ataque contra a Target, geralmente são o trabalho de uma equipe organizada de criminosos, operando de localidades distintas cujos os membros têm habilidades sofisticadas e complementares 
Os dados roubados da Target foram então rapidamente comprados em uma loja online e mais popular para dados roubados (rescator.so). Eles geralmente compram cartões de presente com prazo de validade mais longo. Eventualmente, o sistema de segurança do banco ou o consumidor detectam transações suspeitas e o cartão é rapidamente cancelado. Em seguida, os bandidos iniciam o processo novamente com um novo cartão.
A Target teve uma terrível reputação para a imagem após o anúncio da violação de dados - o maior da história na época. Houveram críticas contra sua falta de atuação nos alertas e demais proteções ignoradas, por sua demora em tornar a violação pública e pela incapacidade de seu departamento de atendimento ao cliente responder aos clientes.
Os especialistas especularam que quando tudo tiver acabado, o custo total da violação ultrapassará US$ 500 milhões e pode até chegar à marca de US$ 1 bilhão. O montante inclui reembolso a bancos para a reemissão de cartões, todas as atividades relacionadas a comunicação e gerenciamento de clientes, multas por não conformidade com o padrão PCI DSS.
Já o impacto financeiro a longo prazo fica difícil de ser previsto por já estar com mais de 140 ações judiciais, cada uma buscando milhões de dólares em danos, além do efeito sobre a linha de fundo da Target, a violação também teve um enorme impacto internamente. Em 5 de março de 2014, a Target anunciou a "renúncia" de seu Diretor de Informação (CIO), quem ocupara o cargo desde 2008, além da revisão da sua segurança da informação e conformidade entre estrutura e práticas. 
Com essas alterações ocorreram outras com criação de dois cargos-chave, a serem recrutados externamente: Vice-Presidente Executivo e Diretor de Segurançada Informação e Vice-Presidente Executivo e Diretor de Conformidade. Essas funções de segurança visam centralizar todas as atividades que possui a gestão de segurança, as quais se encontravam previamente dispersas entre diferentes grupos da empresa. Além disso alguns meses após o CEO da Target foi demitido.
Hoje apesar dos problemas a Target não esta mais no topo da maior violação de dados na história (essa honra foi reivindicada pela Home Depot no início de setembro de 2014).
 
Podemos afirmar que cada vez é mais claro que o crime digital ainda está em crescimento e que ainda temos um longo caminho até combatê-lo efetivamente. A única coisa que é certa, é que sempre o consumidor final e o cliente é que ficará preso a uma conta não importando o tamanho que ela é. Podemos ter certeza que esses tipos de problemas ocorridos pela Target ainda serão muito mais comuns.