How Can I Help Remote Workers Secure Their Home Routers?

 Por John Bock em 11/02/20 no site The Edge (Darkreaging).

(Image: Oleksandr Delyk via Adobe Stock)

 

 Question: How can I help my remote workers secure their home routers?

John Bock, senior research scientist at Optiv Security: With so many organizations' employees working remotely due to the pandemic, what security teams can do to help secure their home routers/firewalls is getting renewed attention. Why should we view an employee's home router as any different than one at a coffee shop or hotel network? Well, for one, it's a more static and predictable location for an attacker, especially if we are including Wi-Fi access points, common to all-in-one gateway devices. These days, the home router also likely includes a home network with a variety of entertainment and home automation devices, all of which could have their own vulnerabilities.

Related Content: Firmware Flaw Allows Attackers to Evade Security on Some Home Routers Teach Your Employees Well: How to Spot Smishing & Vishing Scams How Can I Help My Users Spot Disinformation?

Most organizations will manage this situation with a focus on hardening the endpoint to operate in an assumed hostile environment, which aligns with modern best practices for host defense.

Without good public examples of extending enterprise vulnerability management down to the personal home network, the most direct route is with employee security education that focuses on basic home gateway maintenance and avoids advanced configuration topics. Our technical users are likely ahead of the curve when it comes to home security issues anyway, and it's the users who have never logged into their home routers who cause the most concern.

Here's a basic set of guidance to tell your users:

• Log in to your router, check for firmware updates, and upgrade if one is available. Set up a monthly task, maybe alongside bill paying, as a reminder to log in to see whether any new versions are available.
• Verify that "Remote Administration" or "Administration from WAN/Internet" are disabled. If enabled, they allow access to the management UI from the Internet.
• Review firewall settings for any open or proxied ports. If you're unsure of the origin of a particular entry, disable it.
• Check Wi-Fi network settings, if applicable, and verify you're using WPA3 Wi-Fi security standard – if your devices support it – or, at least, WPA2.
• Make sure your network password is complex and not related to the network name.
• Review your attached devices list for anything suspicious, and verify the identity of unknown hosts.

 

John Bock is senior research scientist at Optiv. Prior to this role, John was vice president of threat research, and before that he was the leader of Optiv's application security practice, which provided application pen testing and other software security services. With more ... View Full Bio

 

9 passos essenciais para manter a segurança dos dados no home office em tempos de LGPD

Por Computerworld em 06/03/2020.

Foto: Shutterstock

O trabalho remoto tem sido incentivado por muitas companhias como forma de atração e retenção de talentos das Gerações Z e Millenials. Mas como fica a questão da segurança das informações e o sigilo quando os funcionários não estão sob a mesma rede corporativa? Com chegada da LGPD - Lei Geral de Proteção de Dados, no mês de agosto é necessário ter em mente a segurança das informações que os colaboradores manipulam de suas casas (ou de outros locais que escolham trabalhar).

Especialistas do escritório de advocacia Marcelo Tostes Advogados aponta, que, para realizar o trabalho remoto de forma segura, é necessário estabelecer processos. Por exemplo, a tela do notebook pode ser bloqueada após um período determinado de não uso da máquina. Se os colaboradores estiverem usando serviços em nuvem ou VPN, o departamento de TI pode configurar o monitoramento do dispositivo, incluindo verificações de invasão de dispositivos ou bloqueando as informações para que elas não possam ser salvas da nuvem para a “unidade local C”.

O acesso eletrônico de informações também deve dar atenção à segurança do Wi-Fi doméstico, que pode gerar grande vulnerabilidade. Segundo o 3º Relatório Anual Global de Segurança de Senhas do LastPass by LogMeIn, 80% das violações relacionadas a hackers estão ligadas a credenciais roubadas e reutilizadas. Por isso, as empresas devem tomar medidas para aprimorar a segurança com senhas e acessos a fim de reduzir os riscos.

Nesse aspecto, é importante ressaltar também que é necessário possuir um plano de proteção para a documentação física. A empresa deve realizar uma avaliação para compreender se determinada documentação possui dados sensíveis - como são chamados os dados com informações pessoais de indivíduos - e então prever o risco caso o arquivo seja extraviado. A perda de registros em papel é considerada uma violação da LGPD, sendo obrigação da empresa relatar e notificar às pessoas afetadas.

Segundo os especialistas, algumas regras que a empresa pode criar nesse processo devem incluir: quem tem permissão para levar a papelada para casa, quais documentos podem ser levados e quais devem continuar na empresa, e qual seria a forma correta para o transporte dos registros.

"Uma parte importante para o sucesso dos processos de segurança é o treinamento dos colaboradores sobre a importância de proteger as informações em sua responsabilidade, incluindo um plano de ação no caso de extravio de dados", aconselha o escritório.

Abaixo, os especialistas aconselham alguns passos para aprimorar a segurança no trabalho remoto:

• Criptografe os dispositivos: a criptografia é absolutamente essencial para dados confidenciais;
• Proteja o navegador: é possível obter dicas do US-Cert sobre como navegar com segurança;
• Invista em uma VPN;
• Backup: invista em uma solução de backup para os dados dos clientes. O armazenamento seguro de dados é essencial;
• Usar os recursos dos clientes: se não poder garantir a segurança dos dados confidenciais de um cliente, pode ser interessante checar se é possível ter acesso aos recursos de segurança deles;
• Autenticação de dois fatores: importante para usar em qualquer lugar, especialmente se utilizar aplicativos on-line;
• Sensibilização para a segurança: atenção no que é compartilhado sobre os clientes nas mídias sociais. Um hacker pode se fazer de “amigo” para tentar obter informações;
• Prevenir possíveis explorações: um Firewall de Aplicativo da Web (WAF) ou um Sistema de Prevenção de Intrusões (ISP) focado na vulnerabilidade pode ajudar a identificar variantes de exploração e procurar proativamente as mesmas vulnerabilidades de rede que os invasores estão procurando;
• Usar proteção antivírus eficaz.

Cinco ameaças devem dominar o cenário de cibersegurança em 2018

Da Redação CIO, com IDG News Service

Publicada em 26 de novembro de 2017

Se você pensa que 2017 foi um ano terrível em matéria de quebras de segurança de dados, espere por 2018. O Fórum de Segurança de Informação (ISF), um organismo global e independente focado em cibersegurança e gestão de risco de informação, prevê um aumento no número e no impacto das violações de dados, devido, em grande parte, a cinco ameaças principais que as organizações vão enfrentar em 2018.

“A abrangência e o ritmo das ameaças à segurança da informação estão  prejudicando a reputação das organizações de maior confiança hoje”, diz Steve Durbin, diretor-geral da ISF."Em 2018, vamos ver as ameaças a tornarem-se mais sofisticadas, personalizadas aos pontos fracos de cada um e transformarem-se para contornar as defesas que já foram implantadas," explica. “Atualmente,os desafios estão mais elevados que nunca”,

O aumento dos números de vulnerabilidades será acompanhado pelo crescimento do volume de registros comprometidos, afirma Durbin. “Por isso, os ataques do próximo ano serão mais dispendiosos para as organizações de todas as dimensões.

Aos custos tradicionais com a limpeza das redes e a notificação dos clientes, irão somar-se aos custos adicionais relacionados com litígios envolvendo cada vez mais partes, assinala Durbin. A ISF prevê que os clientes insatisfeitos vão pressionar os governos a introduzir legislações de proteção de dados mais rígidas, com custos concomitantes.

Essas serão as principais ameaças, segundo a organização.

1 - O Crime as a Service (CaaS) terá mais ferramentas e serviços

No ano passado,  a ISF tinha previsto um “salto quântico”, com organizações criminosas desenvolvendo hierarquias complexas, parcerias e colaborações semelhantes às de organizações do setor privado.

Durbin considera que a previsão se concretizou, uma vez que, em 2017, se regirou um “enorme incremento no cibercrime, em particular no crime-como-um-serviço.” A ISF prevê que a tendência continue em 2018, com maior variedade de organizações criminosas em novos mercados e distribuídas por todo o mundo.

Algumas organizações estarão assentes em estruturas criminosas existentes, diz a ISF, enquanto outras vão surgir exclusivamente focadas no cibercrime.

A maior diferença? Em 2018, através dos Crime as a Service (CaaS), os “cibercriminosos aspirantes”, sem muitos conhecimentos técnicos, poderão comprar ferramentas e serviços que lhes permitam realizar ataques que de outra forma não seriam capazes de empreender, diz Durbin. “O cibercrime está deixando de se focar apenas em ‘grandes ativos’ como a propriedade intelectual ou os grandes bancos”, sublinha.

O “criptoware” será atualmente a mais popular categoria de malware. Anteriormente, a utilização do ransomware por parte dos criminosos dependia de uma perversa forma de confiança: depois de bloquear o computador, a vítima pagaria o resgate e o cibercriminoso desbloquearia.

Mas Durbin assinala que a chegada de cibercriminosos aspirantes está minando essa “confiança”. Mesmo as vítimas que pagam o resgate estão deixando de receber a chave para desbloquear os seus dados.

Ao mesmo tempo, Durbin diz que os cibercriminosos estão a tornando-se mais sofisticados na utilização da engenharia social. Apesar de os alvos serem, geralmente, indivíduos e não empresas, os ataques representam uma ameaça para as organizações, uma vez que os limites entre entre as empresas e os indivíduos estão cada vez mais tênues. "O indivíduo é cada vez mais a empresa”, salienta Durbin.

2 - Internet das Coisas adiciona riscos

As organizações estão adotando cada vez mais dispositivos de Internet das Coisas (IoT), mas a maioria dos dispositivos não está seguro desde a concepção (“security by design”). Além disso, a ISF adverte que haverá uma crescente falta de transparência no ecossistema de IoT, constantemente em evolução, com termos e condições vagas que permitam às organizações utilizar dados pessoais de modos que os clientes não pretendiam.

Será problemático para as organizações saberem que informações estão saindo das suas redes ou que dados estão sendo captados e transmitidos secretamente por dispositivos como smartphones e televisões inteligentes.

Quando as violações de dados ocorrem, ou as violações de transparência são reveladas, as organizações ficam susceptíveis a serem responsabilizadas, quer por reguladores quer por clientes. E no pior dos casos, o dano na segurança dos dispositivos de IoT em sistemas de controloe industrial poderão levar a danos físicos ou à morte de seres humanos.

“Do ponto de vista do fabricante, saber qual é o padrão de utilização, e compreender melhor os indivíduos é claramente importante”, diz Durbin. “Mas tudo isto abriu mais vetores de ameaça, em um grau nunca visto antes.” Acrescenta ainda “como podemos tornar tudo isto seguro, para que estejamos em controle em vez de deixar  dispositivo nos controlar? Vamos assistir a um incremento dos níveis de alerta nestas áreas”.

3 - Cadeia de abastecimento: o elo mais fraco na gestão de risco

A ISF chama a atenção, há anos, para as questões das vulnerabilidades da cadeia de abastecimento. A organização assinala que existe um vasto conjunto de dados valiosos e sensíveis frequentemente compartilhado com os fornecedores. Quando essa informação é compartilhada, o controle direto é perdido. Isso significa maior risco de comprometimento da confidencialidade, integridade ou disponibilidade da informação.

“No ano passado, começamos a ver grandes indústrias perdendo capacidade de produção, porque estavam bloqueadas e com o abastecimento comprometido “, diz Durbin. “Não interessa em que área de negócio se está. Todos nós temos cadeias de abastecimento”, acrescenta. “O desafio que enfrentamos é saber como está a nossa informação em cada fase do ciclo de vida. Como protegemos a integridade dessa informação enquanto é compartilhada?”

Em 2018, as organizações terão de se concentrar nos pontos mais fracos das suas cadeias de valor, diz a ISF. Embora nem todas as quebras de segurança possam ser prevenidas antecipadamente, as empresas e os fornecedores terão de ser proativos.

Durbin recomenda a adoção de processos fortes, escaláveis e reproduzíveis com garantias proporcionais aos riscos enfrentados. As organizações devem incorporar gestão de risco de informações na cadeia de abastecimento e nos processos de gestão de contratos e fornecedores existentes.

4 - Regulamentação irá somar-se à complexidade da gestão de ativos críticos

A regulamentação vai acrescentar complexidade, e o Regulamento Geral de Proteção de Dados (RGPD), que entrará em vigor em Maio de 2018, acrescentará uma nova camada de complexidade à gestão de ativos críticos.

“Não há uma conversa sobre segurança, em qualquer lugar do mundo, na qual o  RGPD não seja mencionado”, diz Durbin. Não é apenas a questão da conformidade. “Trata-se de se certificar que tem a capacidade, em toda a sua empresa e cadeia de abastecimento em qualquer momento, de identificar dados pessoais e perceber como estão sendo geridos e protegidos”. É preciso ser capaz de demonstrar essa capacidade a qualquer momento, não apenas a pedido dos reguladores, mas também dos indivíduos.

“Se vamos implementar estas soluções corretamente, de fato, vamos ter de mudar a maneira como estamos fazendo negócios”, acrescenta. A ISF assinala que os recursos adicionais necessários para abordar as obrigações da RGPD são suscetíveis a aumentos de custos de conformidade e de gestão de dados, e de desviar a atenção e o investimento de outras tarefas.

5 - Riscos do desalinhamento com as expectativas da administração

O desalinhamento entre as expectativas da administração e a realidade da capacidade da função de segurança da informação para entregar os resultados será uma ameaça em 2018, de acordo com a ISF.

“A administração, em regra, não percebe. Compreende que está trabalhando no ciberespaço, mas não entende, em muitos casos, a real implicação disso”, refere Durbin. “Eles acham que o CISO tem tudo sob controle. Em muitos casos, a administração ainda não sabe as perguntas certas a fazer. E o CISO ainda não sabe como falar com a administração ou com os responsáveis pelo negócio sobre o assunto”.

A ISF diz que as administrações esperam que os orçamentos de segurança de informação mais elevados, nos últimos anos, tenham habilitado o CISO e a função de segurança da informação a produzir resultados imediatos. Mas uma organização totalmente segura é um objetivo intangível.

E mesmo que compreendam a extensão do problema, muitas administrações não compreendem que fazer melhorias substanciais na segurança da informação leva tempo, mesmo quando as organizações têm as competências e as capacidades disponíveis.

Esse desalinhamento significa que a ocorrência de um incidente importante, terá impacto não apenas na organização. É provável que tenha impacto na reputação da administração, tanto coletiva, como  individualmente. Por isso, o papel do CISO deve evoluir, diz Durbin.

“Atualmente o papel do CISO é antecipar, assegurar que a firewall se mantém operacional”, assinala. “Tem de antecipar o modo como os desafios que estão à espreita irão afetar o negócio e articulá-lo- com a administração".

Um bom CISO precisa ser um vendedor e um consultor. Não pode não ter as duas valências. Eu posso ser o melhor consultor do mundo, mas se não consigo vender as minhas ideias, estas não vão chegar à sala da administração.

Por que TI não é Cibersegurança

PorRafael Narezzi em 03/10/2017 no site iMasters

Nunca se falou tanto em cibersegurança como nos últimos meses. A pauta, decorrente dos ataques que abalaram sistemas operacionais em várias partes do mundo, traz uma questão emergente. Quem são os verdadeiros responsáveis pela cibersegurança nas empresas?

Diferente do que muitos imaginam, esse papel não deve ser atribuído somente ao departamento de TI, logo, TI não é sinônimo de cibersegurança. Um exemplo cotidiano para entender essa questão é comparar o Bope com a Policia Militar. O Bope, cujo nome já diz (Batalhão de Operações Especiais), é treinado para operações específicas, a mesma comparação é válida para o trabalho de cibersegurança.

Embora seja normal atribuir a tarefa à equipe de TI, até mesmo por atuar diretamente no front operacional, é preciso entender que ela não está capacitada para lidar com ciberataques. De uma forma mais clara, ela deve forcar-se apenas nas operações e otimização da empresa.

Já o profissional ou consultoria especializada em cibersegurança, atua de forma mais complexa, analisando brechas, treinando funcionários da corporação, está preparado para lidar com crises e estuda os ataques para não ser vítima deles novamente.

Com isso, empresas ao redor do mundo estão organizando departamentos e cargos específicos para lidar com tal demanda, como o CISO, por exemplo, que é o cargo de executivo-chefe de Segurança da Informação, criado para assegurar a segurança das tecnologias e ativos de informação nas empresas.

Na Inglaterra, por exemplo, existe maior conscientização sobre a complexidade dos ciberataques ao passo que a maioria das empresas possuem equipes específicas para lidar com eles. Todavia, a segurança não deve ser vista como privilégio de grandes governos e corporações. A tendência é que os ataques se intensifiquem, pois evoluímos muito com inovação, comércio online, softwares inteligentes como IOT. Colocar segurança depois pode se tornar um projeto até cem vezes mais caro.

De acordo com o Fórum Econômico Mundial, o roubo de dados é considerado o quinto maior crime no mundo. Hoje, se uma empresa fica parada por uma semana, ela pode vir a ruir. Aliás, 60% delas fecham depois de um “Breach” (violação de cibersegurança).

Logo, não importa se a corporação contratar um especialista ou uma empresa de consultoria, a regra é a mesma. Somente eles poderão ajudá-la a tomar decisões e orientar os usuários a estarem seguros, criando planos de riscos e avaliando a necessidade de ferramentas para o mercado. Outra recomendação é realizar auditorias como parte da avaliação, mesmo já tendo profissionais fixos. Isso não torna o especialista inferior, pelo contrário, segurança nunca é demais.