Defesa contra recuo
Na sequência das inúmeras violações de dados recentes, muitos consumidores estão a exigir respostas sobre como e porquê cercar as empresas que inadvertidamente permitiram que os dados fossem comprometidos, dadas as medidas de segurança hoje acessíveis.
Depois que uma violação é confirmada, o processo normalmente envolve investigadores forenses do PCI gastando tempo pesquisando e investigando redes comprometidas, registrando arquivos e quaisquer outras partes do sistema rastreáveis não apenas como os hackers obtiveram acesso, mas uma vez no controle de uma máquina, como os dados foram removidos ou recuperados.
Relatórios investigativos pós-violação revelaram grandes quantidades de informações úteis empregadas para proteger redes de forma reativa no futuro. A indústria, como um todo, aprendeu que, em muitos dos casos, o culpado pelo roubo de dados está ligado a empresas que utilizam acesso remoto ou, mais especificamente, acesso remoto inseguro.
Não seria nenhuma surpresa, então, que o método escolhido por muitos blackhats (também conhecidos como hackers de computador) que desejam entrar em um sistema seja a identificação de acesso remoto inseguro.
Este método inclui várias plataformas remotas diferentes, sobre as quais você pode ler mais no artigo do DHS sobre Backoff: Novo malware de ponto de venda. Os hackers procuram essas inconsistências e, uma vez localizadas, é apenas uma questão de instantes até que consigam se conectar remotamente às máquinas, muitas vezes ganhando privilégios administrativos no processo.
Depois de obterem esses privilégios, será muito fácil baixar o malware Backoff na máquina para começar a enviar dados de cartão de crédito para o destino de sua escolha. Obter acesso, no entanto, é apenas uma etapa do objetivo geral do hacker: recuperar informações confidenciais de sistemas com intenções maliciosas.
O que é backoff e o que não é
Antes de prosseguir, é importante compreender que o malware Backoff não é infeccioso. Ou seja, simplesmente visitar uma página da web não resultará no download do malware em uma máquina, mas sim na instalação, como qualquer outro aplicativo usado para fins legítimos.
Portanto, a forma mais comum pela qual o Backoff e suas variantes mais recentes se infiltraram nos sistemas é através do uso de acesso remoto inseguro. O resumo do Departamento de Segurança Interna sobre o Backoff aponta que das mais de 1.000 empresas afetadas pelo Backoff, a maioria foi comprometida pelo uso de acesso remoto sem medidas de segurança suficientes.
Imagine por um momento se o acesso remoto concedido a um fornecedor que atende todos os locais de uma determinada empresa fosse comprometido. Então, é altamente plausível que um hacker experiente consiga penetrar não apenas num único local, mas também obter acesso a uma marca inteira, manchando a sua reputação e, em última análise, reduzindo os lucros no processo.
Como funciona
O Backoff funciona permitindo que os criminosos controlem (remotamente) o sistema infectado, confiscando dados de cartão de crédito da memória, gravando arquivos com dados de autenticação confidenciais e, por fim, transmitindo as informações roubadas usando postagens HTML padrão.
Não há nada particularmente inovador no funcionamento do Backoff, mas a integridade de seu design e simplicidade permitiram alguns dos maiores roubos de cartão de crédito da história.
Não apenas o software em si é bastante simplista, mas os hackers podem facilmente obter uma cópia do Backoff na Internet, simplificado para causar poucos problemas ao instalar em uma máquina remota; e foi tão bem escrito que é extremamente eficaz no roubo de dados, uma vez implementado.
Proteção contra ameaças novas e desconhecidas
O software Backoff original enviava dados em texto não criptografado que podiam ser detectados usando um sniffer de rede ou Sistema de Detecção de Intrusão. O sniffer examinou os dados que trafegam pela rede e conseguiu detectar dados de cartão de crédito no fluxo, evitando que tráfego malicioso fosse enviado do sistema POS.
Os cibercriminosos inteligentes, no entanto, tendem a estar um passo à frente, criando continuamente versões novas e aprimoradas de malware e outras técnicas de ataque.
Precisa de provas? Basta olhar para a versão mais recente do Backoff, Backoff ROM. Ele foi atualizado com a capacidade de criptografar dados de cartão de crédito de saída, tornando a metodologia de detecção e prevenção de sniffer praticamente ineficaz. Para um sniffer de rede, os dados criptografados aparecem como algo sem sentido, removendo quaisquer padrões que permitiriam ao sniffer reconhecer a transmissão como dados de cartão de crédito.
Normalmente, são necessários vários meses para que os fornecedores de segurança e antivírus identifiquem novas estirpes de vírus e reajam através da incorporação de proteção adicional nos seus produtos e serviços. Considerando o tempo e o esforço necessários para implantar totalmente as atualizações, os sistemas estão desprotegidos com software desatualizado há meses.
A questão gritante aqui é que as soluções de software, como programas antivírus, geralmente estão entre 6 a 12 meses atrás dos principais lançamentos de malware e, portanto, não são suficientes para proteger contra ameaças sofisticadas. Portanto, é necessário que as empresas adotem uma abordagem mais holística quando for necessário proteger o seu negócio.
Manter uma defesa eficaz contra todas as vulnerabilidades, novas e desconhecidas, juntamente com iniciativas inovadoras para proteger contra outros modos de ataque cibernético, requer a utilização de técnicas que se concentrem no bloqueio dos comportamentos que os atacantes utilizam, em vez de qualquer ataque ou malware específico.
A instalação e configuração adequada do firewall são partes integrantes da segurança, mas o que acontece quando os firewalls não são configurados corretamente?
Muitas pequenas e médias empresas dependem de equipes internas de TI que não possuem o conhecimento ou a disciplina de segurança necessários para monitorar continuamente a segurança do firewall, manter-se atualizados sobre as ameaças mais recentes e fazer os ajustes necessários para impedir ataques. Uma grande parte dessas empresas acredita erroneamente que um firewall pode ser configurado uma vez e continuará a fornecer proteção adequada por um período infinito de tempo.
No entanto, como mencionamos anteriormente, uma proteção eficaz por firewall requer uma combinação de tecnologia continuamente atualizada, complementada por monitoramento e ajuste especializados. A proteção do firewall é insuficiente quando as empresas não conseguem configurar inicialmente seus firewalls de maneira adequada ou quando implantam firewalls que podem não ter modos específicos de proteção necessários para impedir certos tipos de ataques, como o Backoff.
Ter um especialista em segurança dedicado gerenciando seu firewall pode fazer a diferença entre uma violação cara e uma defesa à prova de balas. Um especialista em segurança será capaz de reconhecer quando ocorreu um evento incomum, investigar para determinar o nível de perigo representado pelo evento e tomar as medidas apropriadas para evitar ataques presentes e futuros.
Uma reclamação comum em torno da segurança de dados é que as etapas necessárias para manter a proteção tendem a interferir na eficiência, fazendo com que os funcionários confundam os limites ou até mesmo contornem completamente as medidas de segurança, o que facilmente leva à quebra da proteção geral da rede muito rapidamente.
Isso não quer dizer que você precise comprometer a eficiência em prol da segurança. O que está mais próximo da verdade é a necessidade de compreensão em toda a empresa sobre por que as iniciativas e processos de segurança foram determinados como melhores práticas em primeiro lugar, e continuar a segui-los.
Protegendo sua empresa com acesso remoto seguro
Alguns dos métodos que protegem contra o Backoff são medidas de segurança bastante básicas, que muitos varejistas ignoraram. Esses métodos são recomendados independentemente de iniciativas como o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI).
>Em primeiro lugar, verifique se o seu acesso remoto é seguro. Isso inclui o uso de:
- Autenticação de dois fatores
- Senhas complexas
- Credenciais exclusivas
- Acesso ao registro
Ao seguir o conselho acima, você está garantindo que as senhas em vigor sejam suficientes para impedir o tempo e a energia para quebrá-las, especialmente considerando que a autenticação de dois fatores é uma medida de segurança adicional que os hackers raramente têm acesso direto à visualização. Ao utilizar um único usuário por nome de usuário ou credenciais exclusivas, a atividade pode ser rastreada até um usuário específico.
Além disso, é fundamental desenvolver um programa de proteção de firewall adequado que incorpore a limitação do tráfego de entrada e saída ao mínimo necessário. A consistência na revisão de suas práticas e na atualização quando necessário é fundamental para garantir que você esteja e permaneça protegido.
As melhores práticas devem ser seguidas para minimizar o risco.
Por exemplo, a segmentação do firewall que limita o acesso separa os canais que armazenam informações, a fim de minimizar o acesso a dados confidenciais, juntamente com os dados gerais que podem ser violados.
Como Netsurion derrotou o recuo
Durante o recente aumento nas violações de dados, a Netsurion manteve-se bem sucedida na prevenção da penetração e exportação de dados, mesmo antes de a ameaça Backoff ser conhecida e compreendida.
Ao combinar nossos recursos avançados, como design de firewall de dupla função, bloqueio de DNS e segmentação de rede com configuração de firewall adequada, juntamente com testes e atualização e ajuste contínuos, os firewalls gerenciados pela Netsurion foram efetivamente protegidos contra ameaças, tanto novas quanto desconhecidas na época. .
Acesso remoto seguro incomparável
Acessar uma rede remotamente é um recurso essencial para a maioria das empresas. Infelizmente, abrir uma porta não segura compromete a integridade da rede e também pode atrair hackers.
Algumas das maiores violações da história recente podem ser atribuídas a acesso remoto fraco ou conexões VPN inseguras.
Fornecemos não apenas acesso remoto seguro SSL VPN em uma rede, mas através de nossa parceria com a Juniper Networks, oferecemos Host Checker, um serviço que realiza uma verificação em todos os computadores terminais, garantindo que estejam em conformidade com os requisitos de segurança antes que o acesso pela VPN seja permitido.
Segurança de dados de entrada e saída
Servidores de nomes de domínio (DNSs) são o equivalente na Internet a uma lista telefônica. Eles mantêm um diretório de nomes de domínio e os traduzem em endereços de protocolo da Internet (IP). Isto é necessário porque, embora os nomes de domínio sejam fáceis de lembrar, os computadores acessam sites com base em endereços IP.
Nossa tecnologia de roteamento de tráfego da Web baseada em IP, líder do setor, fornece proteção testada em batalha contra roubo de dados baseado em malware, onde outros firewalls falharam. Ao contrário da maioria das soluções autogerenciadas e até mesmo de algumas soluções de terceiros, criamos restrições de tráfego de saída como parte de nossa configuração básica. Essas restrições de saída foram fundamentais para impedir que o Backoff afetasse inúmeras empresas infectadas por esse malware.
Como uma camada adicional de segurança, a rede de firewall gerenciada centralmente da Netsurion nos permite controlar para onde vai o tráfego da rede, evitando que ele resolva sites maliciosos ou baseados em países, bem como negando solicitações de tráfego contendo outras vulnerabilidades potenciais.
O Backoff tentou a transmissão e foi examinado pelo componente de segurança do DNS intermediário, determinando-o como suspeito. Os dados foram, portanto, impedidos de serem enviados para o endereço do servidor Backoff solicitado. Como o endereço da Web para o qual o servidor Backoff estava tentando enviar os dados do cartão de crédito não era uma entidade conhecida ou listada, nosso firewall (e sua configuração exclusiva) recusou a solicitação, tornando o Backoff ineficaz.
Saber que até o firewall mais seguro pode ser acessado, seja por configuração inadequada ou erro do funcionário, é essencial. O malware continuará a ser um problema significativo para as empresas que aceitam cartões de crédito num futuro próximo, e é fundamental que todas as empresas estejam conscientes de como proteger os seus ambientes.
Seria irresponsável ignorar o problema ou fingir que isso nunca poderia acontecer com você. Tomar as medidas apropriadas hoje ajudará você a evitar ingressar na lista cada vez maior de empresas que percebem que são as últimas vítimas de um hacker. O gerenciamento adequado da segurança e a manutenção consistente devem ser o objetivo de qualquer programa de segurança.
MAIS INFORMAÇÕES:
O cibercrime atingiu proporções epidémicas e os efeitos sobre marcas com múltiplas localizações, franchisados individuais e outras pequenas empresas podem ser devastadores e irrecuperáveis. Acreditamos que franqueadores, franqueados e pequenas e médias empresas que não possuem recursos de TI deveriam poder acessar e se beneficiar da segurança de rede de classe empresarial.
Nosso objetivo é garantir que as marcas de nossos clientes estejam protegidas contra ameaças internas e externas, fornecendo-lhes serviços robustos e poderosos de gerenciamento de rede, segurança e conformidade por uma fração dos custos associados a uma solução autogerenciada.