Home > Notícias

O que as violações de segurança do Marriott podem ensinar sobre cibersegurança

Uma resposta para clientes e fornecedores, além de um planejamento para impedir a recorrência da brecha, são exemplos de ações a serem tomadas

Da Redação

13/04/2020 às 16h00

Foto: Shutterstock

A rede de hotéis Marriott International
sofreu um golpe de segurança entre janeiro e fevereiro deste ano,
quando as credenciais de login de dois funcionários, em um hotel de
franquia, foram usados para acessar dados pessoais, contatos e
informações de contas de fidelidade e preferências de hóspedes de 5,2
milhões de hóspedes.  

Em 2018, a organização já havia sofrido uma falha de cibersegurança, quando centenas de milhões de informações sobre clientes também foram roubados, rendendo uma grande multa à empresa do ICO (Information Commissioner's Office). 

Ao
descobrir a violação, a Marriott imediatamente desativou as credenciais
comprometidas, iniciou uma investigação interna e tomou as medidas
legais cabíveis, além de implementar monitoramento aprimorado.  Em
reportagem à ComputerWeekly, o Diretor de Segurança da Cybereason, Sam Curry, disse que, hoje, a preocupação é “como a Marriott garante que isso nunca aconteça novamente?”. 

Ataque menos agressivo, porém mais relevante 

Stuart Reed, Vice-Presidente de cyber da Nominet, disse à reportagem que as novas quebras de cibersegurança da Marriot
levantam a questão “do que deve ser feito depois que uma empresa sofrer
um incidente”. A primeira experiência destacou vulnerabilidades no
sistema de segurança da organização e também mostrou a importância de
investir na área.  

CIO2503

E-book por:

Segundo
a matéria, com base nas informações atualmente disponíveis, o segundo
ataque foi substancialmente menos grave que o anterior. Para Samantha Humphries, Estrategista de Segurança da Exabeam, as medidas adotadas pela empresa em sua divulgação eram responsáveis e apropriadas. 

"Se
há algo positivo a dizer sobre essa notificação de violação, é que a
equipe de segurança do Marriott parece ter minimizado o tempo de
permanência do atacante em pouco mais de um mês", disse Humphries ao site. 

Reed ressaltou que as medidas tomadas pela organização depois de um evento como esse são cruciais para a reputação da marca. 

"Em nossa pesquisa, descobrimos que dois terços dos atingidos por uma violação nos últimos 12 meses não estavam muito confiantes de que sua organização pudesse se defender novamente contra o mesmo tipo de ataque. O recente incidente de segurança do Marriott indica potencialmente que essa falta de confiança é justificada", disse. 

Resposta apropriada 

"Se
há algo positivo a dizer sobre essa notificação de violação, é que a
equipe de segurança da Marriott parece ter minimizado o tempo de
permanência do atacante em pouco mais de um mês", disse Humphries ao ComputerWeekly. Houve uma redução drástica de quase meio bilhão de vítimas do primeiro para o segundo ataque, ela lembra. 

Ainda de acordo com a especialista, uma pesquisa divulgada em 2019 pela Forrester mostrou
que quase metade das violações de dados é causada por alguma ameaça
interna. “É o caso de quando isso vai acontecer para a maioria das
equipes de segurança; portanto, o foco deve estar na minimização do
tempo de permanência dos invasores - de meses a minutos”, disse ela. 

O Diretor de Tecnologia de Campo da Varonis, Brian Vecci, ressaltou que a Marriot
merece o mérito pela melhoria, pois foi capaz de relatar quais
informações foram obtidas e quais clientes foram afetados. “Uma violação
nunca é uma boa notícia, mas é um sinal positivo de que eles foram
capazes de acompanhar seus dados e informar sobre eles - transparência é
o nome do jogo”, explicou. 

Ainda segundo a reportagem, Ed Macnair, CEO da Censornet,
disse que o caso da Marriott servirá como uma lição para todos os
outros sobre como uma técnica de ataque simples pode ter impactos
abrangentes e duradouros. "Embora os dados financeiros não tenham sido
roubados, as informações pessoais que os criminosos obtiveram são
incrivelmente valiosas e podem ser usadas para fins maliciosos", disse Macnair. 

Para Bob Rudis, Cientista Chefe de Dados da Rapid7, o incidente ressalta a importância de manter a vigilância, sobretudo com a pandemia do coronavírus.
“As interrupções atuais nos padrões de trabalho tradicionais também
aumentam a probabilidade de ataques mais frequentes e inteligentes que
ocorrem todos os dias.  

Mesmo
que sua equipe esteja mais dispersa do que o normal, não é hora de
reter um treinamento regular de conscientização. Também é fundamental
que você continue observando comportamentos anômalos de sistemas e
contas para reduzir o tempo que os atacantes têm para atingir seus
objetivos se conseguirem violar suas defesas", disse à reportagem. 

O diretor de Ameaça Estratégica da Darktrace,
Marcus Fowler, segue o mesmo alerta, devido à vulnerabilidade exposta
durante a crise. “Os atacantes não esperam para atacar até que os
negócios se estabeleçam, ou até que as equipes de segurança e TI
concluam a transição para o trabalho remoto", disse ele. Fowler, lamenta
que os riscos de comprometimento do e-mail comercial aumentam com o
trabalho remoto. 

Planejamento 

Para Tim Mackey, principal estrategista de segurança do Synopsys CyRC
(Centro de Pesquisa em Segurança Cibernética), o infortúnio da Marriott
destaca a importância de se preparar previamente um modelo detalhado de
ameaças nas operações comerciais e implementar os controles de
monitoramento certos para garantir que os problemas possam ser
detectados corretamente, segundo a reportagem. 

“Nesse
caso, o vetor de ataque era por credenciais de funcionários
comprometidas. Essas credenciais forneceram acesso a serviços de
clientes em propriedades individuais sob a marca Marriott. Como os
funcionários geralmente têm acesso a dados confidenciais do cliente, é
particularmente difícil criar alertas apropriados para detectar o uso
indevido de credenciais”, comentou Mackey. 

Controle 

Mackey sugere que alguns controles a serem observados: hora do dia (ou seja, o funcionário está com frequência), escopo de acesso (ou seja, os dados acessados fora de sua função normal) e volume de dados (ou seja, o acesso consistente com a maneira como um funcionário acessaria dados para atender aos requisitos do cliente). 

"A
implementação de tais controles exige que as organizações examinem não
apenas a segurança do aplicativo e como ele é implantado, mas os padrões
de uso pretendidos que incorporam dados de fatores humanos", disse ele à
publicação. 

Carl Wearn, chefe de crime eletrônico da Mimecast, destacou a importância de os CISOs
e as equipes de segurança conhecerem o ambiente organizacional de TI
por dentro e por fora. “Isso permitirá que eles identifiquem quaisquer
vulnerabilidades de maneira rápida e fácil e emitam uma atualização de
patch quando necessário. Também
é aconselhável que a organização realize testes com caneta para que
eles possam identificar rapidamente quaisquer sinalizadores”, sugeriu.  

Ele
ressalta também a importância de todos os funcionários serem treinados e
também estarem cientes dos princípios básicos de segurança de dados,
como as regras da GDPR, lei europeia de proteção de dados. 

Nesse sentido, Debbie Gordon, CEO da Cloud Range Cyber, disse ao ComputerWeekly
a importância das simulações técnicas e de comunicação, juntamente com
operações de segurança para ajudá-los a pensar criticamente para
detectar, responder e remediar ataques cibernéticos. 

“Esses
exercícios medem sua preparação e tempo de resposta, o que reduz o
tempo de permanência e minimiza os riscos para qualquer organização. As
habilidades dos hackers estão em constante evolução; mas as empresas
podem superar a lacuna de habilidades cibernéticas implementando
treinamento avançado em simulação antes que as ameaças se desenvolvam
completamente e que ocorram violações”, disse ao site. 

Em termos de abordagens tecnológicas, Macnair disse
que, com base no que sabemos sobre a última violação do Marriott, a
autenticação de dois fatores ou multifatorial (MFA) da Marriott era
provavelmente a melhor opção. 

“Embora
os ataques de controle de contas possam ser devastadores, existe uma
maneira simples de se proteger contra eles. O método mais eficaz é usar a
autenticação de dois ou vários fatores. MFA significa que as contas são
protegidas com mais do que apenas uma senha, por exemplo, interrompendo
logins de locais estranhos ou sem uma senha única”, falou. Para ele, o
MFA é “essencial para administradores ou titulares de contas
privilegiadas que possam acessar dados confidenciais ou aumentar
privilégios”. 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail