No mundo da cibersegurança, estamos expostos a “n” recomendações para melhorar a segurança de TI. O ímpeto para essas recomendações pode ser o surgimento de novas ameaças e violações, ou mesmo para gerar uma análise detalhada de vetores de ataque. Embora vários artigos e blogs sejam cruciais para ajudar a educar tanto a comunidade de TI quanto os que não são de TI, esses posts costumam ter um foco limitado. É aqui que este blog entra em cena.
Qual é a recomendação número um, universal, para a adoção de todos? Vou te dar uma dica: está relacionado a senhas.
Para definir ainda mais o cenário para essa recomendação, consideremos todas as dicas de segurança da informação que recebemos diariamente, desde treinamento de conscientização cibernética até gerenciamento de patches. Muitas vezes, essas dicas endereçam questões como phishing e gerenciamento de vulnerabilidades, mas não são necessariamente relevantes para todos os colaboradores de uma organização, tampoco para dispositivos pessoais. Por exemplo, um dispositivo padrão Windows 10 ou MacOS Mojave corrigirá automaticamente as vulnerabilidades de segurança e será reinicializado, se necessário, mantendo o problema fora da vista e da mente do usuário comum. Além disso, as recomendações para treinamento em segurança cibernética são geralmente adaptadas para um tipo específico de organização e não necessariamente aplicáveis a diferentes verticais em função de diversas variáveis.
Embora seja de conhecimento geral evitar o spam por email, e os funcionários das empresas são frequentemente treinados para saber identificar e-mails suspeitos e aconselhados a não clicar em links duvidosos, é interessante notar que as gerações mais jovens usam cada vez menos e-mails fora da empresa. As mensagens instantâneas ou as redes sociais são suas ferramentas de escolha, o que sugere que o e-mail tradicional pode desaparecer lentamente, como aconteceu com as cartas ou o fax. O desaparecimento do e-mail pode levar mais algumas décadas para ocorrer, mas certamente já está encaminhado.
Tudo isso ajuda a refinar ainda mais nossa melhor recomendação. Lembre-se de que precisamos considerar uma recomendação de segurança universal que seja traduzida para todos.
Corrigindo um problema de segurança de mil anos
Independentemente de onde, como e quando, a única coisa que todo cidadão utiliza são senhas. Usamos senhas para o trabalho, para Internet, para mídias sociais, para nossas aplicações. Usamos tokens para acessar nossas contas nos bancos, dispositivos móveis, além de PINs para sistemas de alarme de escritórios e residências. As senhas são onipresentes e as usamos constantemente - mesmo em sistemas mais recentes que, ironicamente, afirmam não precisar de senha. Nesses casos, um mecanismo “escondido” está identificando seus direitos de acesso e armazenando isso “de alguma forma”.
As senhas remontam pelo menos à era das forças armadas romanas. Eram esculpidas em madeira e usadas por soldados através do guarda ativo de plantão. Em essência, as senhas eram um recurso compartilhado, o que era um risco, já que várias pessoas tinham conhecimento delas em algum momento.
Hoje, o armazenamento mais comum de qualquer senha está no cérebro humano. Atribuímos uma senha a um sistema ou aplicação, recuperamos quando ela precisa ser usada e esperamos que ela seja lembrada toda vez que a alterarmos. Nossos cérebros são cheios de senhas e, muitas vezes, as esquecemos, as reutilizamos, precisamos compartilhá-las e somos forçados a escrevê-las em post-its, planilhas e até mesmo via e-mail ou SMS (o que diga-se de passagem, é uma péssima prática de segurança).
Esses métodos de criação, compartilhamento e reutilização de senhas são inseguros e responsáveis pelas violações de dados que rotineiramente estão nas primeiras páginas dos jornais, servindo como advertência sobre o que está em risco quando boas estratégias de gerenciamento de senhas também não são cumpridas.
As senhas estão em toda parte e por isso, afirmo que a recomendação de segurança mais importante que serve para todo cidadão é:
Certifique-se de que todas as senhas que você usa sejam exclusivas e não sejam compartilhadas com ninguém, em nenhum momento.
Embora reconheçamos que lembrar uma lista de senhas já considerável e em constante expansão (uma média de 120 para o usuário corporativo moderno) seja improvável para a maioria dos humanos, existem ferramentas, soluções e técnicas de gerenciamento de senhas para tornar esse processo factível.
Sistemas operacionais, aplicações e navegadores modernos podem ajudar na criação de senhas exclusivas para cada recurso e armazená-las com segurança para que sejam lembradas sempre que necessário. As senhas são basicamente armazenadas atrás de uma única senha “mestre” (também chamada de “chave” ou “segredo”) que somente o indivíduo conhece. Embora seja uma boa solução para usuários domésticos e de pequenas empresas (em um grau limitado), ela não é dimensionada para a maioria das organizações que precisam compartilhar contas (em função das limitações de tecnologia) e gera automaticamente senhas exclusivas.
Outra prática recomendada de segurança a ser lembrada - uma senha, por si só, nunca deve ser o único mecanismo de autenticação para dados críticos, sistemas confidenciais e operações potencialmente diárias nesses recursos. Autenticação multifator (MFA) ou autenticação de dois fatores (2FA) devem ser consideradas para garantir que uma senha exclusiva esteja realmente sendo usada pela identidade correta quando a autenticação é necessária.
Um mérito fundamental dessa recomendação universal de segurança é garantir que, se sua senha for roubada, vazada ou utilizada de maneira inadequada, ela só poderá ser aproveitada em relação ao recurso correspondente atribuído (se MFA ou 2FA não estiverem presentes). Se as senhas forem exclusivas, um agente de ameaças não poderá usar uma conta e senha comprometidas para atacar outros recursos. As opções e o movimento dos invasores são significativamente limitados, embora possam tentar utilizar técnicas avançadas para roubar outras credenciais do sistema que eles comprometeram, por exemplo, removendo senhas da memória. Nesse caso, não apenas gerar senhas exclusivas, mas também rotacionar senhas com frequência ajudará a atenuar o ataque. É aqui que a BeyondTrust pode fornecer uma solução completa para você.
O Password Safe (cofre de senhas) é uma solução para o gerenciamento de senhas privilegiadas em toda a infraestrutura de segurança da organização. A ferramenta fornece gerenciamento automatizado para contas e senhas confidenciais (incluindo gerenciamento de chaves SSH), como contas administrativas compartilhadas, contas de aplicações, contas administrativas locais e contas de serviço, em quase todos os dispositivos habilitados para IP. Isso ajuda a garantir que essa recomendação de segurança máxima possa ser implementada em qualquer organização.
Além disso, as funcionalidades de solicitação, aprovação, monitoramento e gerenciamento de sessão e fluxo de trabalho estão incluídas para o acesso do usuário a contas privilegiadas. Isso ajuda a controlar quando as senhas são usadas e, mais importante, como elas são usadas.
Para obter mais informações sobre o Password Safe da BeyondTrust, entre em contato conosco. Estamos preparados para melhorar a segurança cibernética da sua organização.
Privileged Password Management Explained (White Paper)
Password Safe (Datasheet)
The Little Password That Could: How a Reused Password Could Vaporize Your Enterprise (Webcast)
Modernizing Your Privileged Password Security (Blog)
Secrets Management Overview & 7 Best Practices (Blog)
What is Privilege Management and Where Do You Start? (White Paper)

Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.