Gestão De Riscos, Ameaças E Vulnerabilidades

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ
PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
Bruno Guilherme Chaves Pereira
Trabalho da disciplina Gestão De Riscos, Ameaças E Vulnerabilidades 
Tutor: Prof. Sergio Rodrigues Affonso Franco
Biblioteca Virtual
2018
ESTUDO DE CASO: Gestão De Riscos, Ameaças E Vulnerabilidades 
Autópsia De Uma Violação De Dados: O Case-Alvo 
REFERÊNCIA: DUBÉ, Line. Autópsia de uma violação de dados: o case-alvo. International Journal Of Case Studies In Management, março de 2016.
A Target percebeu a violação de dados através das agências de cumprimento da lei, depois de um análise forense para investigar a violação os resultados confirmaram os piores receios: os cibercriminosos estavam pirateando os sistemas da Target e roubando dados de 40 milhões de cartões de débito e de crédito usados em seus estabelecimentos. A Target não hesitou em erradicar todo o software usado pelos cibercriminosos, mas apesar da ansiedade da empresa de sufocar as notícias, elas se espalharam e os repórteres começaram a fazer perguntas.
Os especialistas concordam que o ataque foi perpetrado por cibercriminosos onde os hackers conseguiram penetrar na rede de pontos de venda da Target e instalar malwares nos terminais. O malware conhecido como BlackPOS tinha como característica capturar todos os dados armazenados em cartões de crédito e débito que são deslocados no terminal infectado esses software malicioso, faz uma cópia dos dados no ponto em que eles são mais vulneráveis justamente quando ele processa a transação onde tem que armazenar os dados brutos (não criptografados) em sua memória de acesso aleatório por alguns milissegundos. Este tipo de malware é particularmente perigoso, porque é difícil para o software de detecção de intrusão mais usado detectá-lo. Além disso, o malware geralmente é projetado para excluir todos os vestígios deixados para trás, dificultando a avaliação do alcance do dano sem uma investigação criminal aprofundada
Em setembro de 2013, a Target foi certificada em conformidade com o Padrão de Segurança de Dados da Indústria de Cartão de Pagamento (PCI DSS), aempresa Possui várias camadas de proteção, incluindo segmentação, firewalls, software de detecção de malware, software de detecção de intrusão, ferramentas de prevenção e planos para evitar a perda de dados. Ambos os especialistas internos e consultores externos realizaram regularmente testes e auditorias de todas essas medidas de segurança.
O FireEye é um sistema de monitoramento avançado para infraestrutura de TI pela qual a target tinha instalado pela quantia de US$ 1,6 milhões. Com base no princípio da prevenção em vez da detecção, ele funciona através da criação de câmaras virtuais para as quais os hackers são atraídos para que possam ser detectados antes de conseguirem efetivamente penetrar no sistema sob proteção. No entanto, nenhuma dessas medidas impediu os cibercriminosos de encontrar e explorar vulnerabilidades na infraestrutura de TI da Target.
Ao rastrear os dados, verificou-se que, depois de serem armazenados em três servidores temporários, os dados foram transferidos para um servidor em Moscou. Uma análise mais aprofundada do código de malware e dos servidores utilizados revelou que todos os sinais apontaram para um grupo sólido de cibercriminosos com base na Rússia e na Ucrânia, dois países que, juntamente com a Romênia, formavam um ponto central para roubo e venda de dados nos últimos 10 anos. Os dados roubados da Target foram rapidamente liquidados em uma das lojas online mais populares para dados roubados (rescator.so). Este site do mercado negro oferece a possibilidade de comprar dados de um único cartão ou de lotes de 1.000 cartões, com desconto.
A imagem da Target sofreu um grave golpe após o anúncio da violação de dados A empresa foi criticada por sua falta de atuação sobre os alertas iniciais, por sua demora em tornar a violação pública e pela incapacidade de seu departamento de atendimento ao cliente responder aos clientes. As vítimas acusam a Target de violar várias leis, de negligência no manejo dos dados do cliente e de esperar muito para divulgar publicamente a violação, aumentando assim a vulnerabilidade de seus clientes.
Além do efeito sobre a linha de fundo da Target, a violação também teve um enorme impacto internamente a Target anunciou a "renúncia" de seu Diretor de Informação (CIO), quem ocupava o cargo desde 2008. A empresa também anunciou a criação de dois cargos chave, a serem recrutados externamente: Vice-Presidente Executivo e Diretor de Segurança da Informação e Vice-Presidente Executivo e Diretor de Conformidade.
O roubo de dados da Target por si só custará às instituições financeiras mais de US$ 200 milhões, Em 4 de fevereiro de 2014, o Comitê do Senado americano no Judiciário realizou audiências sobre "Privacidade na Era Digital: Prevenção de Violação de Dados e Combate ao Cibercrime" onde mudou-se a regra de responsabilidade contra a fraude dos emissores de cartões para o elo mais fraco da cadeia. A nível internacional, o governo está buscando formas de fortalecer a colaboração internacional e assinar e impor acordos de extradição, uma vez que a maioria dos cibercriminosos se baseia fora do país.