Fichamento Gestão de riscos ameaças e vulnerabilidades

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ 
Pós-Graduação em Segurança da Informação
 
 
 
 
Fichamento de Estudo de Caso 
 
LEONA DA SILVA
 
 
 
Trabalho da disciplina de 
Gestão de Riscos, Ameaças e Vulnerabilidades
	 
	Tutor: Prof. Sheila Monteiro
 
 
 
Rio de Janeiro - RJ 
2017
 
 
 
 
 
 
 
 
ESTUDO DE CASO: 
 
Gestão de Riscos, Ameaças e Vulnerabilidades
 Autópsia de uma Violação de dado: o case-alvo 
 
 
REFERÊNCIA: 
 
 
DUBÉ, Line. Autópsia de uma violação de dados: o case-alvo. Harvard Business Review, 2016.
 
É uma empresa altamente protegida contra esse tipo de ataque. Ela foi considerada líder em segurança cibernética no setor varejista, investindo massivamente em capital e recursos para garantir a segurança de sua infraestrutura de TI e possuindo várias camadas de proteção, incluindo segmentação, firewalls, software de detecção de malware, software de detecção de intrusão, ferramentas de prevenção e planos para evitar a perda de dados. Ambos os especialistas internos e consultores externos realizaram regularmente testes e auditorias de todas essas medidas de segurança. A Target foi certificada em conformidade com o Padrão de Segurança de Dados da Indústria de Cartão de Pagamento (PCI DSS), um padrão internacional que estabelece os níveis mínimos de segurança que comerciantes pequenos e grandes devem atender ao armazenar, processar e transmitir dados de cartão de crédito.Foi contratada uma empresa de informática forense para investigar essa violação e os resultados confirmaram que hackers estavam pirateando o sistema e roubando dados de 40 milhões de de cartão de débito e crédito usados em seus departamentos nos EUA.
Especialistas afirmam que o ataque foi realizado por cibercriminosos que obtiveram o código de usuário e senha de um fornecedor, HVAC Fazio Mechanical Services, através do envio de um simples e-mail de phishing ao qual um funcionário da Fazio respondeu. De posse destas informações, eles conseguiram penetrar remotamente na rede da Target , explorando as vulnerabilidades nas medidas de segurança implementadas, conseguindo acessar a rede do sistema de pagamento da empresa. Usaram ferramentas tecnológicas, penetrando na rede de pontos de venda da Target entre os dias 15 e 27 de novembro e instalaram malware nos terminais, que se assemelhavam a um programa chamado BlackPOS, que foi projetado para ser instalado nos pontos de venda e capturar dados de cartão de débito e crédito. Trata-se de um tipo de malware perigoso porque é dificil de ser identificado até mesmo pelo software de detecção de intrusão mais usado, pois é projetado para excluir todos os vestígios deixados para trás, dificultando a avaliação do dano. Testes foram realizados pelos cibercriminosos para garantir que tudo estava funcionando e dias depois, começaram com as cópias de todos os cartões utilizados, agindo sem chamar a atenção, trabalhando no horário de pico normal da rede.
Oviolação teve um enorme impacto internamente na Target, renúncia do CIO, além a revisão da segurança da informação e conformidade com a estrutura e práticas, criando 2 cargos chave a serem recrutados Vice-Presidente Executivo e Diretor de Segurança da Informação e Vice-Presidente Executivo e Diretor de Conformidade, centralizando todas as atividades de gestão de sgurança, e seguindo da demissão do CEO. Em 4 de fevereiro de 2014, o Comitê do Senado americano no Judiciário realizou audiências sobre "Privacidade na Era Digital: Prevenção de Violação de Dados e Combate ao Cibercrime", antes da qual o Vice-Presidente Executivo e Diretor Financeiro (CFO) da Target foi chamado para dar testemunho. O objetivo das audiências era determinar como as leis poderiam ser alteradas para garantir uma melhor proteção de dados regra mudou a responsabilidade contra a fraude dos emissores de cartões para o elo mais fraco da cadeia - ou seja, o varejista ou o banco - com o elo mais fraco sendo definido como a parte que ainda não atualizou seus equipamentos, software e cartões para permitir o uso da tecnologia de chip.
Cada vez mais fica claro que o cibercrime está cescendo e que ainda temos um longo caminho até combatê-lo efetivamente. Uma coisa que é certa, no entanto, é que é sempre o consumidor final quem fica preso a uma conta, não importa o quão grande seja.
Loca: Biblioteca da Universidade Estácio de Sá.
http://pos.estacio.webaula.com.br/Biblioteca/Acervo/Basico/PG0088/Biblioteca_38448/Biblioteca_38448.pdf
1
 
1
 
2