Uma violação de dados é um incidente de segurança cibernética que resulta na exposição ou exfiltração não autorizada de dados de uma pessoa física ou empresa, ou danos a seus dados sensíveis, confidenciais, privados ou protegidos. O termo violação de dados é, com frequência, usado incorretamente de forma intercambiável com o termo ataque cibernético.
A diferença mais notável entre uma violação de dados e um ataque cibernético é que uma violação de dados é um tipo específico de incidente de segurança que resulta no comprometimento de informações confidenciais. É importante ressaltar que uma violação de dados, que geralmente se refere a informações digitais, engloba dados em mídia física, como documentos em papel, pen drives, laptops, dispositivos móveis e discos rígidos externos. Um ataque cibernético pode resultar em uma violação de dados, mas também engloba outras atividades maliciosas, como um ataque distribuído de negação de serviço (DDoS).
Organizações de todos os tipos e tamanhos correm o risco de uma violação de dados - de pequenas empresas a grandes corporações, hospitais a escolas e governos a pessoas físicas. As informações que geralmente são alvo de uma violação de dados incluem:
- Informações financeiras (por exemplo, informações de conta bancária, números de cartão de crédito)
- Informações pessoais de saúde (por exemplo, prontuários médicos, resultados de testes de laboratório)
- Informações de identificação pessoal (por exemplo, números de previdência social, números de carteira de motorista)
- Segredos comerciais (por exemplo, código-fonte, fórmulas)
- Outras informações confidenciais (por exemplo, informações de clientes, documentos legais).
Com uma violação de dados, as informações podem ser copiadas ou transmitidas sem danificar a fonte. Uma violação também pode resultar na perda de acesso a dados devido a roubo ou ransomware. Em alguns casos, os dados podem simplesmente ser destruídos em um ato de vingança ou uma tentativa de causar uma interrupção gravíssima.
O custo de uma violação de dados
Uma violação de dados pode resultar em custos tangíveis. Ou seja, uma violação de dados pode ter custos monetários ou mais efêmeros, como danos à reputação ou oportunidades perdidas.
Na maioria dos casos, ocorrem os dois tipos de danos. Por exemplo, os ataques de ransomware, que são violações de dados comuns, podem fazer com que as organizações paguem resgates caros para recuperar o acesso aos seus próprios dados, além de ver a imagem da sua marca prejudicada quando a violação de dados é divulgada.
Existem muitos outros custos relacionados a uma violação de dados, incluindo:
- Interrupções em operações que afetam a produção e as cadeias de suprimentos
- Identificar, conter, avaliar e remediar a violação, junto com as auditorias, notificações e alterações necessárias nos processos e tecnologia para evitar futuros incidentes
- Perder clientes em decorrência de preocupações sobre a capacidade da organização de proteger informações confidenciais
Despesas comerciais adicionais relacionadas a uma violação de dados incluem:
- Honorários advocatícios
- Multas por violação de conformidade
- Notificações do cliente
- Queda no preço das ações para empresas de capital aberto
- Aumentos de prêmios de seguros
- Perda de propriedade intelectual
- Custos de relações públicas
Em última análise, os custos de uma violação de dados dependem do tamanho e do tipo de organização e da causa da violação.
Por que ocorrem violações de dados
As motivações para uma violação de dados incluem:
- Financeira – roubar dinheiro ou ativos valiosos para vender
- Geopolítica – causar danos ou transtornos a um político ou governo alvo
- Vingança pessoal – vingar-se em retaliação a uma ação negativa real ou suposta
- Notoriedade – exibição de destreza técnica (por exemplo, hackear um sistema de alto perfil)
No caso dos cibercriminosos, a principal motivação é o ganho financeiro. Por exemplo, eles geralmente vendem ou comercializam informações confidenciais roubadas por meio de uma violação de dados na dark web. Essas informações também podem ser usadas para:
- Pedir benefícios do governo.
- Apresentar declarações de impostos falsas para obter reembolsos.
- Gerar documentos falsificados (por exemplo, carteiras de motorista, passaportes).
- Criar e usar novos cartões de crédito.
- Retirar dinheiro de contas bancárias ou de investimento.
Como ocorrem as violações de dados
Existem várias maneiras pelas quais uma violação de dados pode ocorrer. A seguir, apresentamos exemplos de vetores usados com frequência.
Os ataques de violação de dados direcionados concentram-se em determinadas pessoas ou organizações para obter informações confidenciais. As táticas incluem:
- Vazamento ou exposição acidental de dados
- Skimmer de cartão e intrusão no ponto de venda
- Ataques distribuídos de negação de serviço (DDoS)
- Erro humano
- Dispositivos perdidos ou roubados
- Pessoas internas mal-intencionadas
- Malware
- Adivinhação de senha
- Phishing
- Violação de segurança física
- Ransomware
- Gravação da digitação de teclas
- Engenharia social
- Spear phishing
- Injeção de SQL (structured query language)
- Credenciais roubadas ou comprometidas
- Explorações de vulnerabilidade
Seja qual for o vetor, os cibercriminosos normalmente seguem um padrão de ataque semelhante para conseguir cometer uma violação de dados. As principais etapas de um plano de violação de dados são:
- Observar alvos em potencial. Os cibercriminosos começam seu processo de ataque encontrando alvos e identificando vulnerabilidades técnicas, como sistemas de segurança fracos, portas abertas ou protocolos acessíveis. Em outros casos, eles planejam campanhas de engenharia social que podem segmentar grandes grupos (ou seja, phishing) ou pessoas (ou seja, spear phishing) que têm acesso privilegiado aos sistemas.
- Executar uma violação de segurança. O invasor consegue cometer uma violação de segurança e obtém acesso a sistemas e redes.
- Garantir o acesso. Se o sistema visado não fornecer o acesso desejado, os cibercriminosos utilizam o movimento lateral nas redes e o escalonamento de privilégios para acessar e comprometer outros sistemas e contas de usuário.
- Concluir a violação de dados. Uma vez que os dados confidenciais desejados tenham sido identificados, os invasores os exfiltram para seus propósitos malignos, como vendê-los no mercado negro ou na dark web ou ainda mantê-los para exigir pagamento de resgate.
Exemplos de violações de dados
Existem muitos modos de proceder para cometer uma violação de dados. A seguir estão vários exemplos de violações de dados bem-sucedidas.
Em um ataque direcionado a um varejista, os cibercriminosos obtiveram acesso a dados confidenciais por meio de caixas registradoras. Foi usada uma criptografia fraca para proteger a rede. Os invasores conseguiram descriptografar a rede sem fio e passar das caixas registradoras das lojas para os sistemas de back-end. Essa violação de dados resultou em mais de um quarto de milhão de registros de clientes foram comprometidos.
Em outro incidente, vários bilhões de pessoas tiveram seus nomes, datas de nascimento, endereços de e-mail e senhas expostos. Nesse caso, os cibercriminosos exploraram uma vulnerabilidade em um sistema de cookies usado pela organização.
O sistema de monitoramento de rede de uma organização foi usado como um vetor de ataque em outro exemplo. Os invasores conseguiram usá-lo para distribuir malware para seus clientes secretamente e, em seguida, infiltrar os sistemas dos clientes para obter acesso a informações confidenciais.
Outra organização foi comprometida pela senha de um funcionário comprada por cibercriminosos na dark web. Essa única senha foi usada para violar a rede e lançar um ataque de ransomware que custou à organização milhões de dólares.
Um problema com o processo de hash usado por uma organização para criptografar as senhas de seus usuários gerou a necessidade um grande esforço para que centenas de milhões de usuários alterassem suas senhas para corrigir a vulnerabilidade.
Uma referência direta de objeto insegura (IDOR) expôs quase um bilhão de documentos confidenciais. Um link deveria ser disponibilizado a uma determinada pessoa, mas por um erro na criação do site o link ficou disponível publicamente, expondo os documentos.
Prevenção de violação de dados
Os programas eficazes de prevenção de violação de dados são criados por meio de uma defesa multicamadas composta por tecnologia e processos. A seguir, estão indicados vários dos muitos componentes de uma estratégia defensiva de proteção contra violação de dados.
Educação e treinamento
A principal causa de violações de dados é um ataque que começa com um vetor humano. Devido às fraquezas inerentes aos seres humanos, as pessoas são consideradas por muitos o elo mais fraco em qualquer estratégia de prevenção de violação de dados.
Para combater isso, o treinamento de segurança é imperativo. Os funcionários precisam de treinamento para reconhecer e evitar ataques (por exemplo, phishing), além de aprender a lidar com dados confidenciais para evitar violações e vazamentos acidentais de dados.
Detecção e resposta a ameaças de endpoint
A detecção e resposta de endpoint (EDR), também conhecida como detecção e resposta de ameaça de endpoint (ETDR), fornece uma solução integrada para segurança de endpoint. O EDR ajuda a evitar uma violação de dados, combinando monitoramento contínuo em tempo real e coleta de dados de endpoint com recursos automatizados de resposta e análise baseados em regras para identificar e neutralizar ataques cibernéticos.
Gerenciamento de identidade e acesso (IAM)
As soluções de gerenciamento de identidade e acesso (IAM) oferecem uma forte defesa contra uma violação de dados. Os recursos das soluções de IAM incluem políticas de senha fortes, gerenciadores de senha, autenticação de dois fatores (2FA) ou autenticação multifator (MFA), logon único (SSO) e acesso baseado em função. Essas tecnologias e processos ajudam as organizações a evitar tentativas de violação de dados que usam credenciais roubadas ou comprometidas.
Planos de resposta a incidentes
A preparação é uma das melhores defesas contra uma violação de dados. Um plano de resposta a incidentes fornece instruções detalhadas sobre como lidar com uma violação - antes, durante e após um incidente confirmado ou suspeito.
Um plano de resposta a incidentes inclui explicações sobre as funções e responsabilidades, além de processos passo a passo para cada fase.
Ficou comprovado que um plano de resposta a incidentes é uma ferramenta eficaz nos planos de defesa contra violação de dados, que pode acelerar o tempo de resolução e recuperação, além de reduzir o custo de uma violação de dados.
Autenticação multifator (MFA)
O uso da autenticação multifator (MFA) ajuda a superar a fraqueza inerente dos usuários e senhas. Com a MFA, o usuário deve passar por um processo de login de conta em várias etapas, em vez de simplesmente inserir seu nome de usuário e senha.
A MFA exige que o usuário conclua etapas adicionais para verificar sua identidade. Por exemplo, um usuário pode ser solicitado a inserir um código enviado por e-mail ou mensagem de texto, responder a uma pergunta secreta ou realizar uma varredura biométrica (por exemplo, impressão digital, facial, retinal).
Teste de intrusão
O teste de intrusão, também conhecido como teste de penetração ou hacking ético, ajuda a evitar uma violação de dados, simulando ataques cibernéticos para testar sistemas e identificar vulnerabilidades exploráveis. Os testadores de intrusão usam as mesmas ferramentas, técnicas e processos que os cibercriminosos para simular ataques do mundo real que podem resultar em uma violação.
Atualizações de software e patches de segurança
As atualizações e patches de software e sistemas operacionais devem sempre ser instalados quando forem disponibilizados. Essas atualizações geralmente incluem patches para corrigir vulnerabilidades que podem levar a uma violação de dados.
Senhas complexas
O uso de senhas complexas elimina um vetor comum de ataque cibernético. Sabendo que as pessoas costumam usar senhas fracas, os cibercriminosos frequentemente lançam ataques (por exemplo, pulverização de senha) que as exploram. Senhas complexas, combinadas com políticas que exigem que os usuários alterem frequentemente suas senhas e usem senhas diferentes para serviços e aplicativos, dão respaldo a uma defesa eficaz contra tentativas de violação de dados.
Abordagem de segurança zero trust
Uma abordagem de segurança de zero trust pressupõe que nenhum usuário ou sistema deve ser confiável, mesmo que esteja dentro de uma rede. Os principais componentes de uma abordagem de segurança de zero trust são:
- Autenticação, autorização e validação contínuas de qualquer usuário ou sistema que tente acessar uma rede ou um recurso de rede
- Acesso menos privilegiado, que permite apenas o acesso mínimo necessário para uma tarefa ou função
- Monitoramento abrangente de todas as atividades da rede
Mitigação de violação de dados
Quando uma violação de dados é identificada, uma resposta rápida e abrangente é fundamental . Aqui estão cinco etapas principais que devem ser seguidas:
- Minimizar o impacto da violação. Impedir a disseminação isolando sistemas ou redes afetadas e bloqueando quaisquer contas comprometidas, inclusive aquelas que foram usadas para acessar dados. Isso impede que informações adicionais sejam expostas e dificulta o movimento lateral nas redes.
- Realizar uma avaliação. Identificar a causa do ataque para determinar se há riscos adicionais associados à intrusão inicial, como contas de usuário ou de sistema comprometidas ou malware inativo à espera.
- Restaurar sistemas e corrigir vulnerabilidades. Usar backups limpos e, em alguns casos, novos sistemas para reconstruir e restaurar os sistemas afetados. Nesse momento, devem ser feitas todas as atualizações de segurança disponíveis para corrigir a vulnerabilidade que levou à violação de dados.
- Notificar as partes atingidas. Uma vez que a escala e o escopo da violação tenham sido determinados, as notificações devem ser feitas às partes atingidas. Dependendo do tipo de organização e das informações que foram comprometidas, isso pode variar de notificar executivos e funcionários a notificar todos os clientes e emitir uma declaração pública.
- Documentar as lições aprendidas. Para ajudar a evitar uma futura violação de dados, é importante documentar as informações e os conhecimentos adquiridos com a violação. Essas informações devem ser usadas para atualizar os sistemas e práticas existentes, bem como salvaguardadas para consulta futura.
A preparação limita os riscos de violação de dados
As violações de dados são amplamente consideradas um dos tipos de incidentes de segurança cibernética mais comuns e dispendiosos. Atingindo organizações de todos os tamanhos sem limites geográficos, as violações de dados podem causar danos generalizados que resultam em prejuízos financeiros e físicos.
A melhor defesa contra uma violação de dados é a preparação. Isso inclui ter defesas técnicas eficazes e baseadas em processos para garantir a detecção e resposta precoces.
Organizações com sistemas de defesa eficientes contra violação de dados e planos de resposta demonstraram repetidamente que se recuperam mas rápido, com danos mais limitados.
Além de implementar as ferramentas e procedimentos certos, é importante testar todos os sistemas. Essa abordagem proativa identifica vulnerabilidades antes que ocorra uma violação de dados. A adoção de medidas para identificar e remediar vulnerabilidades, combinada com o desenvolvimento e a prática de planos de resposta, ajuda muito a proteger informações confidenciais de uma violação de dados.