A ScanX é uma startup de tecnologia que nasceu com missão de ajudar as empresas a tornar seus dados mais seguros.
Nossa visão é que muitos problemas de segurança de dados nas empresas poderiam ser evitados se uma simples coisa acontecesse.
"Se as vulnerabilidades de software e falhas de configurações causadas por erro humano em sites, servidores, infra-estrutura e nuvem, pudessem ser identificadas de forma automatizada e frequente"
"Ok, mas por que preciso fazer isso?"
Para prevenir que falhas de segurança que poderiam ser corrigidas de forma simples, se tornem um problema grave. Depois um site invadido ou dados vazados na internet, o custo, o tempo e trabalho para consertar e garantir um nível aceitável de segurança novamente, é imensurável.
"Mas por que isso não é feito?"
Por que nós seres humanos não somos bons em prevenção.
"Como assim?"
Geralmente deixamos algo importante para depois, como fazer um exame de saúde ou evitar um hábito que pode levar a alguma doença. Fazer scan de vulnerabilidades de software ou identificar uma configuração errada, é uma forma de prevenção na segurança de dados das empresas.
Por exemplo, um vazamento de dados ou invasão de sistemas, pode ser prevenido ou mesmo ter o dano reduzido, se uma vulnerabilidade crítica no software ou se uma configuração insegura for detectada antes.
Na era de exposição de dados (Data Expose), a imensa maioria dos administradores de rede, analistas de TI e DevOps não verificam com frequência e nem de forma consistente, as brechas de segurança em seus sistemas.
"Mas por que isso não é feito?"
Por que fazer isso manualmente dá muito trabalho e todos esses profissionais já tem muito trabalho para fazer. Além do mais, para ser um processo eficiente de prevenção, é preciso repetição...e as máquinas, no nosso caso robôs de software, são melhores em repetir uma tarefa que um ser humano.
Outra coisa...para fazer um scanning de vulnerabilidades bem feito no modo tradicional, é preciso comprar licenças de ferramentas comerciais, e geralmente são caras.
Mas não é só comprar uma ferramenta. Quando a empresa compra a ferramenta e não quer jogar dinheiro fora, é preciso ter pelos menos um profissional dedicado que entenda profundamente o que significa cada tipo de brecha, qual o impacto, quanto cada falha é séria e se pode causar prejuízo para o negócio.
Vamos citar alguns exemplos dessas falhas...ataques de heap overflow, ataques de format string, execução de código arbitrário, escalação de privilégios, CSRF, Cross Site Scripting, SQL injection, DDos, Shellcode, memory corruption, ataque de layer 3, kernel rootkits, command injection, directory traversal, ataque de open redirection, file handling inseguros, tunneling bypass, keylogger, HTTP response splitting, etc. Só para citar alguns tipos de falhas...
Parece bem complicado, mas o que mais importa não é entender profundamente e detalhadamente com essas falhas funcionam, mas sim saber o impacto que podem causar nos sistemas da empresa e quando realmente a falha é séria.
Nos casos onde a empresa não compra ferramentas comerciais, o analista ou pessoal de desenvolvimento tem que usar somente software opensource...e pior...se quiser ter algum nível aceitável de segurança tem que acompanhar, ler e interpretar dezenas de posts, mais de 1.300 falhas de software publicadas no CVE todo mês, e ver se alguma dessas falhas afeta seus sites, aplicações e servidores.
Em 2018 os foram publicadas 16.554 vulnerabilidades, mas isso não é o mais importante...O que importa é que 20% das vulnerabilidades descobertas são de risco alto ou crítico, ou seja, quanto mais alto for a classificação, mais facilmente a falha pode ser explorada por alguém mal intencionado na internet.
Para um profissional de TI ou Desenvolvimento, não especilizado em cibersegurança, é uma tarefa sobre-humana fazer o seu trabalho e ficar atento a essas notícias todo santo dia. Além fazer o seu trabalho, precisará ler os reports do CVE, VND e mais uns 15 sites especializados, entre outras dezenas de boletins alternativos de segurança de software.
Outro problema...
Raramente a empresa tem um profissional dedicado para cibersegurança, geralmente ele acumula funções, como operação entre outras atividades, e as vezes faz algumas coisas para deixar o ambiente "mais seguro".
Geralmente isso é feito quando surge alguma notícia na mídia de massa sobre o assunto, como o caso do ramsonware wannacry que virou matéria na TV aberta, então a empresa presta atenção e faz algumas coisas mais efetivas na segurança.
O fato é que fazer "algumas coisas" não é funciona mais...
Como dizemos em cibersegurança, há alguns anos atrás quando se falava em hacker, a grande maioria dos profissionais de TI pensava em um adolescente no seu quarto, "brincando" de invadir alguma aplicação ou servidor. Hoje é algo muito mais sofisticado e automatizado.
É por isso que em 2016 foram descobertas mais de 6 mil falhas, em 2017 mais de 14 mil e em 2018 foram 16.554 brechas publicadas.
Você não leu errado, é isso mesmo, a quantidade de falhas publicadas aumentou mais 100% entre 2016 e 2017...Isso aconteceu por causa da automação...automação e machine learning usada pelo cibercrime.
Mas também existe outro fator importante que mudou esse cenário. Com uso da nuvem nas empresas, os ambientes de rede, servidores e aplicações não são mais estáticos.
Com a nuvem, o time de DevOps ativa um docker em segundos. A gerência pede para ontem e a TI ativa algum servidor na nuvem em minutos. O departamento de vendas, marketing, RH assinam ferramentas SaaS sozinhos e colocam dados da empresa nessas plataformas.
Novas em regras de firewall, novos servidores, novas aplicações, tudo isso gera mudanças no ambiente de tecnologia e dados são armazenados nessas instâncias.
É aquele negócio "vamos fazer funcionar e depois vemos se está seguro".
Ok, nada errado com isso. A urgência e a pressão em colocar a "coisa" para funcionar leva a esse comportamento, é assim mesmo...o negócio é mais importante.
Mais aí temos mais um problema...
"Putz, mais um?"
Sim, na prática o que acontece é que as pessoas com pressa erram ou esquecem. Nós humanos erramos, não tem jeito. Então um analista ou programador pode errar em criar um backup de dados sem criptografia, ou mesmo esquecer de atualizar algum componente de software ou aplicar algum patch importante no banco de dados por exemplo.
Então quando nínguem espera, alguém mal intencionado na internet descobre uma falha, entra numa dessas instâncias na nuvem e faz um ataque lateral em outras aplicações, banco de dados e por aí vai.
Mais de 96% das invasões de sistema e vazamento de dados são casionadas por oportunidade, ou seja, a empresa não é o alvo, simplesmente uma brecha é encontrada na aplicação ou no site.
Além de mudanças diárias na infra-estrutura on-premise, na nuvem, novas regras de firewall, novos acessos, VPN, filtros web, regras na Amazon AWS, Azure, Oracle Cloud, só para citar algumas dessas mudanças.
"OK, entendi, mas por que isso é importante para minha empresa?"
1 ) Dados tem valor: dados tem valor para a empresa que detêm esses dados e também para o cibercrime. Dado é uma moeda de troca na internet.
Se antigamente o hacker queria fama, hoje ele quer lucro. E antigamente ele agia sozinho, hoje esse indivíduo se organiza em grupos crimosos.
Dados nas mãos erradas são usados para fraudes, engenharia social, invasões, golpes e estelionato.
Dados é tudo quem um crimoso precisa na internet para se passar outra pessoa, enganar e causar prejuísos financeiros e morais.
2 ) Imagem da empresa: toda empresa tem clientes e na era do Data Expose, qualquer incidente de segurança envolvendo uma pequena, média ou grande empresa nem precisa dizer que se propaga na velocidade do WhatsApp.
A empresa passa a ter uma imagem de que não se preocupa com os seus clientes. Além de passar por constrangimentos ao responder perguntas dos seus clientes como "Como isso aconteceu? Meus dados estão seguros? Vai acontecer de novo?".
3 ) Problemas jurídicos: se dado tem valor, a responsabilidade por guardar e manter a privacidade desses dados é da empresa que os detém.
Se você é proprietário ou principal gestor de uma startup, pequena, média ou grande empresa e ocorrer algum vazamento de dados, e que leve um terceiro a sofrer prejuízo material ou moral poderá haver ressarcimento financeiro.
Além disso da empresa ser responsabilizada pelo Código Civil Brasileiro.
Sempre sugerimos que você converse com a sua assessoria jurídica para avaliar o risco de acordo com seu negócio.
4 ) LGPD (Lei Brasileira 13.709/18): acabou aquela história de vazar dados e a empresa negar que não aconteceu nada.
A lei 13.709/18 que entra em vigor em agosto de 2020, exige que se uma empresa brasileira coleta, armazena, processa e compartilha dados como nome, endereço, localização, convicções religiosas, renda, informações de saúde, entre outros, deve cumprir a lei e está sugeita às suas penas.
Na prática a empresa deve mapear os dados pessoais, registrar o acesso e notificar o público e a autoridade Oficial de Proteção de Dados sobre eventuais vazamentos desses dados.
Além de exigir práticas de proteção de dados pessoais, implementação e execução de mecanismos de segurança.
A multa por não cumprimento da Lei é de 2% sobre o faturamento do último ano, limitado a R$ 50 milhões.
5 ) Lei Européia GDPR: isso vale para empresa que atuam na União Européoa ou que tem negócios no território europeu. A Lei 13.709 é nossa versão brasileira da GDPR.
É aquele velho ditado em segurança de dados: para você uma vulnerabilidade pode ser um problema, para um invasor é uma oportunidade.
Segundo o Gartner, a principal estratégia de cibersegurança é a automação.
Então, sem automação não há segurança efetiva.
Proteger os dados não é mais algo que se faz de vez quando, tem que existir um processo automatizado, frequente, consistente e mensurável para identificar previamente possíveis brechas. Agir preventivamente é sempre mais barato.
"Entendi, mas ainda acho que isso não tem nada haver comigo..."
Ok, sem problemas...nesse caso sugerimos que você leia o nosso FAQ completo...
PS: Se depois que você ler nosso FAQ e ainda achar que estamos falando balela...pode mandar um email cobrando uma cerveja!
