“Não podemos mais confiar em senhas. Gosto de chamá-las de pastwords porque pertencem ao nosso passado”
Keren Elazari sabe como os hackers pensam. Ela é uma analista de segurança, pesquisadora, autora e palestrante reconhecida internacionalmente, que trabalhou com empresas líderes de segurança, organizações governamentais e empresas da Fortune 500; mas ela também é conhecida como “a hacker amigável” e passou sua carreira ajudando líderes de segurança a superar ameaças e reduzir vulnerabilidades de empresas.
Agora, Keren fala sobre as principais ameaças que as organizações enfrentam hoje e quais são as melhores práticas de fortalecimento da segurança corporativa digital.
Com o que os líderes de segurança estão preocupados em 2024?
Há muitas coisas que mantêm os CISOs e os profissionais de segurança acordados durante a noite, mas no início deste ano, as lideranças parecem estar mais preocupada com ameaças internas que levam a violações de dados, vulnerabilidades na infraestrutura de nuvem e ameaças cibernéticas impulsionadas pela IA.
As táticas de segurança tradicionais funcionam contra o cenário de ameaças em evolução?
Os hackers de hoje estão trabalhando muito e inovando, no mesmo ritmo que as empresas e organizações que estão na mira deles. A maioria das organizações está lamentavelmente despreparada para o potencial de ataques de ransomware e phishing que a IA pode ajudar os cibercriminosos a lançar. Nesse cenário, as senhas são um método fraco de proteger equipes e dados, não podemos mais confiar em senhas. Gosto de chamá-las de pastwords porque acho que pertencem ao nosso passado. Nós realmente temos que pensar sobre qual é o nosso perímetro de identidade?
Se as senhas não nos protegerem contra ameaças avançadas e em evolução, o que as organizações podem fazer para complementar a segurança de suas senhas e proteger melhor os dados contra ameaças maliciosas e agentes mal-intencionados?
1. Diferentes modalidades de autenticação
Nem todas as ferramentas de autenticação multifatorial são criadas iguais. Os códigos SMS que podem ser enviados para o seu dispositivo são suscetíveis a táticas de sequestro de SIM e as notificações push MFA estão sujeitas à fadiga por parte dos usuários e a ataques de bombardeio por parte de malfeitores. O método de autenticação que eu recomendo são as chaves de acesso, bem como a combinação de modalidades de autenticação com coisas que são mais difíceis de falsificar, como impressões digitais, identificações de voz, identificações faciais e até tokens de segurança física, como ubikeys.
2. As novas senhas
As senhas não desaparecem da noite para o dia, mas há certas coisas que as empresas podem exigir para garantir que as senhas sejam tão seguras quanto possível – como tamanho e complexidade. Infelizmente, quanto mais longa e complicada for a senha, menor será a probabilidade de uma pessoa se lembrar dele e, embora queiramos manter os malfeitores longe dos nossos dados, queremos que as nossas equipas sejam capazes de se lembrar das suas palavras-passe para que possam entrar. Senhas longas e complexas (como “Fidoate!my2woolsox”, por exemplo) ajudam tanto com os problemas de complexidade quanto de memória, combinando palavras e símbolos em uma “frase” que pode ser personalizada para o usuário e, portanto, com maior probabilidade de ser lembrada, mas também longa o suficiente para reduzir o risco de uma autenticação de força bruta.
3. Sem senha
A ausência de senha pode não ser à prova de hackers, mas tornará a vida dos invasores mais difícil. As organizações que não modernizarem as suas tácticas de segurança, especialmente em relação à identidade e às palavras-passe, serão um alvo maior e mais fácil do que uma organização que esteja a fazer investimentos em segurança com múltiplas camadas. Os líderes de segurança precisam ser ágeis, mais rápidos e mais preparados para dificultar a entrada de hackers. Tecnologias como a tecnologia sem senha tornam a agilidade, a velocidade e a preparação muito mais fáceis.
4. Treinamento e educação
No entanto, uma estratégia de segurança forte é mais do que apenas implementar tecnologia. Trata-se também de interagir com as pessoas que estão na linha de frente todos os dias: funcionários e membros da equipe. Esses usuários finais são aqueles que recebem ataques de MFA e e-mails de phishing e tentam lembrar senhas complicadas para fazer login todos os dias. Os líderes de segurança precisam considerar os usuários finais como parte de sua equipe de segurança, em vez de apenas um risco a ser gerenciado. É muito comum que os usuários finais sejam considerados nosso elo mais fraco na cadeia de segurança. Eu realmente espero que possamos inverter essa relação. Acredito que os usuários finais têm muito poder em suas mãos e precisamos fornecer-lhes tecnologia e treinamento para tomarem melhores decisões de segurança.
Um cofre em nuvem é sua melhor opção para aumentar a segurança.
Com o LastPass, sua equipe de tecnologia da informação compartilha credenciais com segurança quando funcionários e clientes precisarem de acesso e organize as credenciais compartilhadas por grupos
Escolha o grau de verificação que precisa
– Proteja sua empresa implementando mais pontos de verificação de segurança com a autenticação multifator (MFA).
– Crie proteção por autenticação biométrica para cofres de senha, aplicativos de acesso por logon único, VPNs e provedores de identidade dos usuários.
– O console de administração do LastPass oferece supervisão completa às equipes de TI. Nesse console, elas podem gerenciar todas as demandas diárias de credenciais.
– Automatize a ativação e a desativação de usuários integrando o LastPass ao diretório de usuários e aos provedores de identidade.
