Cibersegurança nas comunicações empresariais

www.pwc.pt

PwC

Objetivo

Conhecer algumas das principais ameaças na camada de rede, com

particular incidência nas comunicações empresariais.

2 junho 2017 Comunicações Empresariais

PwC

Agenda

3 junho 2017 Comunicações Empresariais

Cibersegurança nas comunicações empresariais

1. Rede de comunicações e dependência das empresas

2. Comunicações em ambiente corporativo

3. A (in)segurança das comunicações

4. Autenticidade da informação que circula na rede

5. O futuro das ameaças internas?

PwC

I. Rede de comunicações e dependência das empresas

Comunicações Empresariais 4

junho 2017

PwC

Rede de comunicações

Comunicações Empresariais 5

junho 2017

• Conjunto de computadores e outros equipamentos interligados que partilham informação, recursos e serviços.

• Pode dividir-se em diversas

categorias, isto é, de acordo com o seu alcance (rede de área local - LAN, WAN), do seu método de conexão (por cabo coaxial, fibra óptica, rádio, infravermelhos,… ).

PwC

História das comunicações

Comunicações Empresariais 6

junho 2017

História das comunicações

A esta data a Microsoft lançou o Internet Explorer. Internet já era utilizada em browsers como o Netscape.

WEB foi inventada no CERN.

Marcos históricos que marcaram as principais evoluções tecnológicas

Primeiro login remoto entre a Universidade de Califórnia e

o Research Institute.

1969 Diversos grupos de pesquisa iniciaram investigações

1960

Redes de microondas via radio que interligaram as ilhas do Havai

1972

Protocolo TCP foi oficializado pela ARPANET

1983

Popularização do termo cloud, com lançamento da Amazon Elastic Cloud

Criação do primeiro standard para wifi (802.11)

Desenvolvimendo do DNS (Domain Name System) para tradução dos nomes nos respetivos IPs.

1986

1989-1991

1996

1997

2006

PwC

II. Comunicações em ambiente corporativo

Comunicações Empresariais 7

junho 2017

PwC

Dependência da tecnologia

Comunicações Empresariais 8

junho 2017

Com a evolução tecnológica nos diversos sectores, assistiu-se igualmente a uma maior dependência dos sistemas de informação e consequentemente da camada de rede, pois por questões de eficiência os sistemas encontram-se todos interligados.

Produção mecânica e equipamento alimentado

a vapor e água

Indústria 1.0

Baseada na produção em massa, graças ao conceito de divisão de tarefas e uso

de energia eléctrica.

Indústria 2.0

Desenvolvimento da electronica (e.g. robótica) e Sistema Informático na

produção industrial.

Indústria 3.0

Uso de IoT e Cloud Computing para permitir uma descentralização do controlo dos processos.

Indústria 4.0

1700 1900 1970 Atualmente

PwC

Exemplos de comunicações no dia-a-dia

Comunicações Empresariais 9

junho 2017

Comunicações VoIP (Voip Over Internet Protocol) –Trata-se da utilização da atual camada de rede, para permitir a realização de chamadas entre terminais, sendo especialmente útil em empresas com múltiplas localizações.

Dada a evolução dos browsers e tecnologias associadas (HTML5), tem sido muito comum a utilização de websites para prestar serviços (e.g. homebanking, portais internos, software de faturação).

Os postos de trabalhos (fixos ou móveis) estão sempre associados a uma ligação de rede. Tipicamente os computadores fazem a ligação via cabo de rede, porém também é cada vez mais comum as comunicações wireless.

Também é comum a existência de diverso software para apoiar a comunicação interna (e por vezes externa). O E-mail é o sistema mais comum para troca de informação, contudo existem outras aplicações, como por exemplo sistemas de chat.

Serviços de impressão – As impressoras são um equipamente sempre presente no dia-a-dia das empresas, seja através de impressoras locais, ou de um serviço de impressão centralizado.

PwC

III. A (in)segurança nas comunicações empresariais

Comunicações Empresariais 10

junho 2017

PwC

• As empresas não devem assumir que as redes internas estão

salvaguardadas porque se encontram disponíveis apenas

a utilizadores internos.

• A ameaça pode ser proveniente no seio da própria empresa.

Se um elemento mal-intencionado implantar um vírus num

computador da rede interna, poderá causar danos severos.

Comunicações Empresariais 11

junho 2017

Princípios base para a segurança da informação

PwC

• Serviços críticos devem circular sob uma

camada segura, devidamente cifrada,

para evitar a intercepção da informação.

• Na proteção dos serviços críticos, devem

ter em conta a tríade de disponibilidade,

confidencialidade e integridade.

Comunicações Empresariais 12

junho 2017

Disponibilidade

Segurança

Confidencialidade Integridade

Princípios base para a segurança da informação

• É fundamental que as empresas apostem no

tema da formação interna para criar uma cultura

de segurança de informação na própria organização.

PwC

• É a forma mais comum de se

interceptar a informação entre a

vítima e o servidor de destino.

• Através de um ataque de

Man-in-the-middle, o utilizador

tem a capacidade de direcionar o

fluxo de informação de modo a

permitir a escuta de dados.

• A escuta apenas é viável se a

informação circular num canal

comprometido ou inseguro.

Comunicações Empresariais 13

junho 2017

Man-in-the-middle

PwC Comunicações Empresariais

14 junho 2017

Comunicações VoIP

• Diversas empresas não cifram os dados

que transitam por este canal (e.g. hardware

obsoleto, falta de conhecimento, …).

• Um atacante pode simular que o seu

computador é um terminal VoIP e

interceptar as comunicações que estão a

ser efetuadas.

Cenários comuns de insegurança

PwC Comunicações Empresariais

15 junho 2017

Impressoras e shares de rede

• Caso não se encontre definida

encriptação na comunicação, qualquer

colaborador na mesma sub-rede poderá

visualizar os documentos.

• O mesmo princípio se aplica para as

pastas partilhadas na rede, muitas vezes

utilizadas por diversas áreas para partilha

de ficheiros.

Cenários comuns de insegurança

PwC Comunicações Empresariais

16 junho 2017

Portais WEB e aplicações – Certificados inválidos

Cenários comuns de insegurança

• Certificados expirados ou

assinados por entidades não-

fidedignas, são imediatamente

destacados pelo browser.

• O utilizador perde garantia de

confidencialidade na troca de

informação entre o seu

PC e o respetivo servidor.

PwC Comunicações Empresariais

17 junho 2017

Portais WEB não protegidos por certificado

Cenários comuns de insegurança

• Quando o acesso a uma página

não é efetuado em canal seguro

toda a informação que transita

neste pode ser interceptada

através de um ataque de MiTM.

• O utilizador não tem forma

possível de determinar se a sua

informação se encontra a ser

interceptada por terceiros.

PwC Comunicações Empresariais

18 junho 2017

BYOD – Bring Your Own Device

Cenários comuns de insegurança

• Nova tendência,que permite ao colaborador trazer o seu próprio

equipamento e interligar o mesmo com a rede interna da empresa.

• Frequentemente o software nos equipamentos de terceiros não é

devidamente controlado e um dispositivo não controlado, susceptível a

vulnerabilidades, passa a estar localizado na rede interna.

• Um exemplo recente é a aplicação “Flashlight LED Widget”, que se

fazia passar por uma simples lanterna, contudo estava a interceptar

informação relativa a contas bancárias e cartões de crédito.

PwC

IV. Autenticidade da informação que circula na rede

Comunicações Empresariais 19

junho 2017

PwC Comunicações Empresariais

20 junho 2017

Autenticidade da informação que circula na rede

Tipicamente os serviços de e-mail não dão garantia sobre o remetente da mensagem, possibilitando forjar o remetente.

Exemplo de uma mensagem onde simulamos como remetente o IPAI:

PwC Comunicações Empresariais

21 junho 2017

Autenticidade da informação que circula na rede

• Remetente das SMS’s não é fidedigno.

• Não existem mecanismos para garantir a autenticidade das mensagens.

• É possível inteceptar SMS’s.

• Token SMS já não é considerado mecanismo seguro de validação.

PwC

V. O futuro das ameças internas

Comunicações Empresariais 22

junho 2017

PwC Comunicações Empresariais

23 junho 2017

O futuro das ameaças internas?(1/2)

Ameaças internas vão aumentar!

• As organizações estão a adoptar estratégias mais eficazes para derrotar o malware obrigando os hackers a mudar a sua atual abordagem e a utilizar credenciais legítimas.

• Haverá maior incidência nos ataques físicos, roubo de credenciais,… O uso de redes sociais e e-mail pessoal pode derrotar as atuais defesas instituídas nas empresas.

• As empresas necessitam de ser mais proativas, reduzindo a superfície de de ataque e não se devem focar exclusivamente na eliminação de ameaças.

PwC Comunicações Empresariais

24 junho 2017

O futuro das ameaças internas? (2/2)

Ameaças internas vão aumentar!

• Um dos grandes desafios dos ciberataques é o facto das empresas acreditarem que as ameaças podem ser controladas através da rede de perímetro.

• Disseminação dos equipamentos móveis na rede interna dificultará a resolução das ameaças internas.

• Ransomware continuará a causar avultados prejuízos

A segurança deve ser construída de dentro para fora.

PwC

Questões?

Comunicações Empresariais 25

junho 2017

?

Obrigado…

© PricewaterhouseCoopers Limitada 2017. Todos os direitos reservados. “PwC” refere-se à rede de entidades que são membros da PricewaterhouseCoopers International Limited, cada uma das quais é uma entidade legal autónoma e independente.

PricewaterhouseCoopers & Associados – S.R.O.C., Lda. Palácio Sottomayor Rua Sousa Martins, 1 – 3º 1069-316 Lisboa M:+351 911 747 740 marcelo.ferreira.rodrigues@pt.pwc.com www.pwc.pt

Marcelo Rodrigues Manager