Cibersegurança nas comunicações empresariais
www.pwc.pt
PwC
Objetivo
Conhecer algumas das principais ameaças na camada de rede, com
particular incidência nas comunicações empresariais.
2 junho 2017 Comunicações Empresariais
PwC
Agenda
3 junho 2017 Comunicações Empresariais
Cibersegurança nas comunicações empresariais
1. Rede de comunicações e dependência das empresas
2. Comunicações em ambiente corporativo
3. A (in)segurança das comunicações
4. Autenticidade da informação que circula na rede
5. O futuro das ameaças internas?
PwC
I. Rede de comunicações e dependência das empresas
Comunicações Empresariais 4
junho 2017
PwC
Rede de comunicações
Comunicações Empresariais 5
junho 2017
• Conjunto de computadores e outros equipamentos interligados que partilham informação, recursos e serviços.
• Pode dividir-se em diversas
categorias, isto é, de acordo com o seu alcance (rede de área local - LAN, WAN), do seu método de conexão (por cabo coaxial, fibra óptica, rádio, infravermelhos,… ).
PwC
História das comunicações
Comunicações Empresariais 6
junho 2017
História das comunicações
A esta data a Microsoft lançou o Internet Explorer. Internet já era utilizada em browsers como o Netscape.
WEB foi inventada no CERN.
Marcos históricos que marcaram as principais evoluções tecnológicas
Primeiro login remoto entre a Universidade de Califórnia e
o Research Institute.
1969 Diversos grupos de pesquisa iniciaram investigações
1960
Redes de microondas via radio que interligaram as ilhas do Havai
1972
Protocolo TCP foi oficializado pela ARPANET
1983
Popularização do termo cloud, com lançamento da Amazon Elastic Cloud
Criação do primeiro standard para wifi (802.11)
Desenvolvimendo do DNS (Domain Name System) para tradução dos nomes nos respetivos IPs.
1986
1989-1991
1996
1997
2006
PwC
II. Comunicações em ambiente corporativo
Comunicações Empresariais 7
junho 2017
PwC
Dependência da tecnologia
Comunicações Empresariais 8
junho 2017
Com a evolução tecnológica nos diversos sectores, assistiu-se igualmente a uma maior dependência dos sistemas de informação e consequentemente da camada de rede, pois por questões de eficiência os sistemas encontram-se todos interligados.
Produção mecânica e equipamento alimentado
a vapor e água
Indústria 1.0
Baseada na produção em massa, graças ao conceito de divisão de tarefas e uso
de energia eléctrica.
Indústria 2.0
Desenvolvimento da electronica (e.g. robótica) e Sistema Informático na
produção industrial.
Indústria 3.0
Uso de IoT e Cloud Computing para permitir uma descentralização do controlo dos processos.
Indústria 4.0
1700 1900 1970 Atualmente
PwC
Exemplos de comunicações no dia-a-dia
Comunicações Empresariais 9
junho 2017
Comunicações VoIP (Voip Over Internet Protocol) –Trata-se da utilização da atual camada de rede, para permitir a realização de chamadas entre terminais, sendo especialmente útil em empresas com múltiplas localizações.
Dada a evolução dos browsers e tecnologias associadas (HTML5), tem sido muito comum a utilização de websites para prestar serviços (e.g. homebanking, portais internos, software de faturação).
Os postos de trabalhos (fixos ou móveis) estão sempre associados a uma ligação de rede. Tipicamente os computadores fazem a ligação via cabo de rede, porém também é cada vez mais comum as comunicações wireless.
Também é comum a existência de diverso software para apoiar a comunicação interna (e por vezes externa). O E-mail é o sistema mais comum para troca de informação, contudo existem outras aplicações, como por exemplo sistemas de chat.
Serviços de impressão – As impressoras são um equipamente sempre presente no dia-a-dia das empresas, seja através de impressoras locais, ou de um serviço de impressão centralizado.
PwC
III. A (in)segurança nas comunicações empresariais
Comunicações Empresariais 10
junho 2017
PwC
• As empresas não devem assumir que as redes internas estão
salvaguardadas porque se encontram disponíveis apenas
a utilizadores internos.
• A ameaça pode ser proveniente no seio da própria empresa.
Se um elemento mal-intencionado implantar um vírus num
computador da rede interna, poderá causar danos severos.
Comunicações Empresariais 11
junho 2017
Princípios base para a segurança da informação
PwC
• Serviços críticos devem circular sob uma
camada segura, devidamente cifrada,
para evitar a intercepção da informação.
• Na proteção dos serviços críticos, devem
ter em conta a tríade de disponibilidade,
confidencialidade e integridade.
Comunicações Empresariais 12
junho 2017
Disponibilidade
Segurança
Confidencialidade Integridade
Princípios base para a segurança da informação
• É fundamental que as empresas apostem no
tema da formação interna para criar uma cultura
de segurança de informação na própria organização.
PwC
• É a forma mais comum de se
interceptar a informação entre a
vítima e o servidor de destino.
• Através de um ataque de
Man-in-the-middle, o utilizador
tem a capacidade de direcionar o
fluxo de informação de modo a
permitir a escuta de dados.
• A escuta apenas é viável se a
informação circular num canal
comprometido ou inseguro.
Comunicações Empresariais 13
junho 2017
Man-in-the-middle
PwC Comunicações Empresariais
14 junho 2017
Comunicações VoIP
• Diversas empresas não cifram os dados
que transitam por este canal (e.g. hardware
obsoleto, falta de conhecimento, …).
• Um atacante pode simular que o seu
computador é um terminal VoIP e
interceptar as comunicações que estão a
ser efetuadas.
Cenários comuns de insegurança
PwC Comunicações Empresariais
15 junho 2017
Impressoras e shares de rede
• Caso não se encontre definida
encriptação na comunicação, qualquer
colaborador na mesma sub-rede poderá
visualizar os documentos.
• O mesmo princípio se aplica para as
pastas partilhadas na rede, muitas vezes
utilizadas por diversas áreas para partilha
de ficheiros.
Cenários comuns de insegurança
PwC Comunicações Empresariais
16 junho 2017
Portais WEB e aplicações – Certificados inválidos
Cenários comuns de insegurança
• Certificados expirados ou
assinados por entidades não-
fidedignas, são imediatamente
destacados pelo browser.
• O utilizador perde garantia de
confidencialidade na troca de
informação entre o seu
PC e o respetivo servidor.
PwC Comunicações Empresariais
17 junho 2017
Portais WEB não protegidos por certificado
Cenários comuns de insegurança
• Quando o acesso a uma página
não é efetuado em canal seguro
toda a informação que transita
neste pode ser interceptada
através de um ataque de MiTM.
• O utilizador não tem forma
possível de determinar se a sua
informação se encontra a ser
interceptada por terceiros.
PwC Comunicações Empresariais
18 junho 2017
BYOD – Bring Your Own Device
Cenários comuns de insegurança
• Nova tendência,que permite ao colaborador trazer o seu próprio
equipamento e interligar o mesmo com a rede interna da empresa.
• Frequentemente o software nos equipamentos de terceiros não é
devidamente controlado e um dispositivo não controlado, susceptível a
vulnerabilidades, passa a estar localizado na rede interna.
• Um exemplo recente é a aplicação “Flashlight LED Widget”, que se
fazia passar por uma simples lanterna, contudo estava a interceptar
informação relativa a contas bancárias e cartões de crédito.
PwC
IV. Autenticidade da informação que circula na rede
Comunicações Empresariais 19
junho 2017
PwC Comunicações Empresariais
20 junho 2017
Autenticidade da informação que circula na rede
Tipicamente os serviços de e-mail não dão garantia sobre o remetente da mensagem, possibilitando forjar o remetente.
Exemplo de uma mensagem onde simulamos como remetente o IPAI:
PwC Comunicações Empresariais
21 junho 2017
Autenticidade da informação que circula na rede
• Remetente das SMS’s não é fidedigno.
• Não existem mecanismos para garantir a autenticidade das mensagens.
• É possível inteceptar SMS’s.
• Token SMS já não é considerado mecanismo seguro de validação.
PwC
V. O futuro das ameças internas
Comunicações Empresariais 22
junho 2017
PwC Comunicações Empresariais
23 junho 2017
O futuro das ameaças internas?(1/2)
Ameaças internas vão aumentar!
• As organizações estão a adoptar estratégias mais eficazes para derrotar o malware obrigando os hackers a mudar a sua atual abordagem e a utilizar credenciais legítimas.
• Haverá maior incidência nos ataques físicos, roubo de credenciais,… O uso de redes sociais e e-mail pessoal pode derrotar as atuais defesas instituídas nas empresas.
• As empresas necessitam de ser mais proativas, reduzindo a superfície de de ataque e não se devem focar exclusivamente na eliminação de ameaças.
PwC Comunicações Empresariais
24 junho 2017
O futuro das ameaças internas? (2/2)
Ameaças internas vão aumentar!
• Um dos grandes desafios dos ciberataques é o facto das empresas acreditarem que as ameaças podem ser controladas através da rede de perímetro.
• Disseminação dos equipamentos móveis na rede interna dificultará a resolução das ameaças internas.
• Ransomware continuará a causar avultados prejuízos
A segurança deve ser construída de dentro para fora.
PwC
Questões?
Comunicações Empresariais 25
junho 2017
?
Obrigado…
© PricewaterhouseCoopers Limitada 2017. Todos os direitos reservados. “PwC” refere-se à rede de entidades que são membros da PricewaterhouseCoopers International Limited, cada uma das quais é uma entidade legal autónoma e independente.
PricewaterhouseCoopers & Associados – S.R.O.C., Lda. Palácio Sottomayor Rua Sousa Martins, 1 – 3º 1069-316 Lisboa M:+351 911 747 740 [email protected] www.pwc.pt
Marcelo Rodrigues Manager
Top Related