BR +55 11 3069 3925 | USA +1 469 620 7643

  • AJUDA
  • BLOG
  • English
  • BR +55 11 3069 3925 | USA +1 469 620 7643
  • English
logo senhasegura
  • SOLUÇÕES
  • PRODUTOS
  • SERVIÇOS E SUPORTE
  • PARCEIROS
  • EMPRESA
  • CONTATO
  • DEMO

Compliance

e Auditoria

Auditoria

PCI DSS

SOX

ISO 27001

HIPAA

NIST

LGPD

Indústria 4.0

Padrões ISA 62443

Segurança e

Gestão de Risco

Abuso de Privilégios

Acesso de Terceiros

Gravação de Acesso Privilegiado

Insider Threat

Prevenção Contra Roubo de Dados

Senhas Hardcoded

Password Reset

Soluções

Por Indústria

Energia e Serviços Públicos

Soluções Financeiras

Solução Governamental

Solução de Saúde

Solução Legal

Solução de Telecomunicações

Solução de Varejo

Depoimentos

senhasegura

Ver depoimentos

360º Privilege Platform

Account and

Session

PAM Core

Domum

Remote Access

PAM SaaS

GO Endpoint

Manager

GO Endpoint

Manager Windows

GO Endpoint

Manager Linux

DevOps Secret

Manager

DevOps Secret

Manager

Multi

Cloud

Cloud IAM

Certificate

Manager

Certificate

Manager

Privileged

Infrastructure

PAM Crypto Appliance

PAM Virtual Crypto Appliance

PAM Load Balancer

Delivery : On Cloud (SaaS) | On-premises | Hybrid

Serviços

e Suporte

Documentação

Solution Center

Treinamento e Certificação
Implantação e Consultoria

PAMaturity

PAM 360º

Política de suporte

Recursos

senhasegura

Materiais Ricos
Casos de Estudo

Mídia

Adesivos senhasegura

 ARTIGOS

DE BLOG

Sua empresa está preparada contra um ataque cibernético?
Os Pilares da Segurança da Informação
7 sinais de que sua empresa precisa melhorar a segurança de dados sigilosos
Leia mais artigos sobre cibersegurança

Informações

Técnicas

Como Funciona
Arquitetura do Produto
Integração
Segurança
Alta Disponibilidade

Privileged Auditing (Configuration)

Privileged Change Audit

Recursos e

Funcionalidades

Integração ITSM
Análise de Comportamento
Análise de Ameaças
Proteção de Informações Privilegiadas

Scan Discovery

Task Management

Gestão de Sessão (PSM)
Identidade de Aplicações (AAPM)
Gestão de Chaves SSH

Programa de

Parceria Affinity

Sobre o Programa
Torne-se um Parceiro

MSSP Affinity Partner Program

Security Alliance Program

Academy | E-learning for Certification

Portal

Affinity

Portal dedicado aos Parceiros para que encontrem materiais de apoio para uso comercial de marketing do senhasegura.
Portal Affinity

Registro de

Oportunidade

Para que nossa equipe comercial apoie a sua venda de forma eficaz, solicite aqui a sua reserva de oportunidade.
Registre sua Oportunidade

Encontre

Um Parceiro

Trabalhamos juntos para entregar a melhor solução para a sua empresa.

Veja todos os parceiros do senhasegura

Sobre a

Empresa

Sobre nós
Por que senhasegura
Imprensa
Eventos
Carreira
Presença no Mundo
Termos de Uso
Contrato de Licença de Usuário Final (EULA)
Política de Privacidade e Cookies

Política de Segurança da Informação

Certificações senhasegura

Depoimentos

senhasegura

Ver depoimentos

Últimos

Relatórios

Relatório Gartner PAM Magic Quadrant 2021

Relatório KuppingerCole Leadership Compass 2021

Relatório GigaOm Radar 2021

Gartner PAM Magic Quadrant 2020

Gartner Critical Capabilities para PAM 2020

Information Services Group, Inc. (ISG)

Relatório KuppingerCole Leadership Compass: PAM 2020

Contate nosso time

Solicite uma Demonstração

Acesso de terceiros: um problema crescente para as organizações de hoje

por senhasegura Blog Team | abr 22, 2022 | Blog

 A extensão do uso de terceiros para execução de atividades nas empresas hoje é realmente surpreendente. As empresas estão procurando cada vez mais terceirizar funções e operações internas e serviços externos. 

De acordo com um estudo do governo Britânico, um quarto das empresas afirmou que usa mais de 100 fornecedores terceirizados, principalmente exigindo acesso a ativos internos, dados e aplicativos de negócios para operar de forma eficaz e cumprir seus contratos.

 O estudo também descobriu que 90% dos entrevistados permitem que terceiros acessem não apenas recursos internos, mas também recursos internos críticos. Isso deve ser uma causa imediata de atenção para qualquer CISO. 

 As empresas que dependem de fornecedores externos podem ter implementado excelentes medidas de segurança cibernética, mas tudo isso não significa nada quando os controles de acesso do fornecedor são inseguros.

Para muitas organizações, proteger o acesso de fornecedores terceirizados é incrivelmente complexo – muitas vezes exigindo soluções  como autenticação multifator, suporte VPN, laptops corporativos enviados para empresas, serviços de diretório, agentes e muito mais. 

 Isso não apenas gera confusão e sobrecarga para os profissionais de segurança, mas também cria rotas emaranhadas e muitas vezes inseguras para terceiros acessarem os sistemas de que precisam para realizar seu trabalho.

 Continue a leitura do artigo e conheça como o abuso de terceiros é um grande risco de cibersegurança para as empresas.

Os ataques relacionados a terceiros estão aumentando

 Terceiros podem não levar a segurança de rede tão a sério quanto você deseja. Sabendo disso, os hackers podem optar por não atacar sua empresa diretamente. Em vez disso, eles podem procurar um alvo mais fácil entre seus fornecedores terceirizados. 

 Um subcontratado comprometido pode ser facilmente transformado em um ponto de entrada para cibercriminosos. É assim que funciona um ataque à cadeia de suprimentos.

 Enquanto isso, o número de organizações terceirizadas com as quais trabalham, bem como a quantidade de dados confidenciais divulgados aelas, aumenta a cada ano. O mesmo vale para violações de dados causadas por terceiros.

 Aqui estão apenas alguns exemplos de incidentes de segurança cibernética envolvendo terceiros.

Ataques Magecart

 Desde 2015, um grupo de criminosos cibernéticos chamado Magecart executou vários ataques a grandes varejistas em todo o mundo. 

 Acredita-se que o grupo seja responsável pelos recentes ataques às lojas Ticketmaster, British Airways, Newegg, Feedify e Magento. Os hackers Magecart geralmente infectam serviços da Web de terceiros usados por suas vítimas para roubar informações valiosas, principalmente dados de cartão de crédito.

Violação de dados da Atrium Health

 Em 2018, a Atrium Health sofreu uma violação de dados que resultou na exposição de informações pessoais de mais de 2,65 milhões de pacientes. A violação foi causada por um comprometimento de servidores usados por um dos fornecedores de cobrança da Atrium Health.

Vazamento de dados da Amazon

 Em 2020, Amazon, eBay, Shopify e PayPal foram vítimas de um grande vazamento de dados. Um banco de dados de terceiros com aproximadamente oito milhões de transações de compras online no Reino Unido foi publicado online. 

 Notavelmente, esta não é a primeira vez que a Amazon sofre com incidentes originados por terceiros. Em 2017, os invasores invadiram vários fornecedores terceirizados que trabalhavam com a Amazon e usaram suas credenciais para realizar ações maliciosas no ambiente.

Violação de dados da General Electric (GE)

 Em 2020, a GE relatou uma violação de dados causada por um dos seus provedores de serviço. Uma conta de e-mail comprometida levou à exposição pública de informações de identificação pessoal de beneficiários e funcionários da GE, atuais e antigos.

 Dependendo da natureza do comprometimento do fornecedor terceirizado, uma organização pode enfrentar riscos diferentes. Vejamos as categorias de risco mais comuns e as ameaças que você precisa estar preparado para mitigar.

Você está curtindo esse post? Inscreva-se para nossa Newsletter!

Newsletter Blog PT

9 + 10 =

Enviaremos newsletters e emails promocionais. Ao inserir meus dados, concordo com a Política de Privacidade e os Termos de Uso.

Quais são os riscos envolvendo acesso de terceiros?

 As capacidades financeiras e técnicas de pequenos prestadores de serviços e subcontratados nem sempre correspondem às capacidades de seus clientes. Portanto, enquanto buscam obter sucesso em suas iniciativas, os cibercriminosos podem começar pequenos e procurar um alvo fácil em sua cadeia de suprimentos.

Um fornecedor terceirizado comprometido pode levar a vários riscos que podem ser divididos em quatro categorias principais:

  • Riscos de segurança cibernética: Os subcontratados geralmente têm acesso legítimo a diferentes ambientes, sistemas e dados de seus clientes. Os invasores podem usar um fornecedor terceirizado como ponto de entrada para tentar obter seus ativos valiosos.
  • Riscos operacionais: Os cibercriminosos podem ter como alvo seus sistemas internos e os serviços que você usa em vez de apenas seus dados. Isso pode levar a interrupções parciais de suas operações ou até mesmo interrompê-las completamente.
  • Riscos de conformidade: Normas e regulamentações internacionais, locais e específicas do setor definem critérios rígidos de segurança cibernética que as organizações devem atender. Além disso, terceiros que trabalham com essas organizações também precisam cumprir esses requisitos. A não conformidade geralmente leva a multas substanciais e danos à reputação.
  •  Riscos de reputação: Ter seus valiosos dados e sistemas comprometidos serve como uma bandeira vermelha para seus parceiros e clientes, atuais e futuros. Recuperar sua confiança levará muito tempo e esforço. E, infelizmente, não há garantia de que você conseguirá recuperar sua reputação com sucesso após um grave incidente de segurança cibernética.

 

A razão pela qual muitas organizações lutam tanto para garantir seu trabalho com terceiros é a falta de duas coisas: visibilidade e controle. As empresas geralmente não têm consciência do que seus fornecedores terceirizados fazem com seus dados e sistemas críticos. 

Quais são as ameaças específicas envolvendo acesso de terceiros?

 Para tornar sua cooperação com subcontratados mais segura, você precisa entender quais ameaças eles podem representar para a segurança cibernética de sua empresa. 

Vamos nos concentrar em quatro tipos comuns de ameaças:

  • Uso indevido de privilégios: Os fornecedores terceirizados podem violar os privilégios de acesso que você concede a eles de várias maneiras e por vários motivos. Os funcionários do seu subcontratado podem voluntariamente passar suas credenciais para outras pessoas. Ou, se as permissões de acesso em sua rede não estiverem configuradas corretamente, um fornecedor terceirizado poderá obter acesso a dados que não deveriam ser compartilhados com eles.
  • Erros humanos: Erros inadvertidos dos funcionários do seu subcontratado podem causar tanto dano quanto ataques intencionais. Erros comuns incluem a exclusão ou compartilhamento acidental de arquivos e informações, a inserção de dados incorretos e a configuração incorreta de sistemas e soluções. Embora não intencionais, esses erros ainda podem levar a vazamentos de dados, interrupções de serviço e perdas significativas de receita.
  • Roubo de dados: Além de danos não intencionais aos dados, há um alto risco de roubo de dados direcionados por terceiros. Sem uma política adequada de gerenciamento de fornecedores terceirizados, existe o risco de funcionários terceirizados roubarem informações comerciais valiosas e usá-las a seu favor.
  • Riscos de terceiros dos seus terceiros: Garantir que seus fornecedores terceirizados atendam aos seus requisitos de segurança cibernética e sigam as práticas recomendadas de segurança cibernética não é suficiente. Você também precisa entender como eles gerenciam suas próprias cadeias de suprimentos.

Felizmente, você pode gerenciar com eficácia todos esses riscos e ameaças seguindo um conjunto de práticas recomendadas de gerenciamento de risco de fornecedores terceirizados que melhorarão significativamente a resistência à segurança cibernética da sua empresa.

Quais os controles técnicos para mitigar o acesso de terceiros?

Garantir um alto nível de controle de acesso é especialmente importante se seus terceiros tiverem acesso às contas privilegiadas da sua empresa, ativos críticos e informações confidenciais.

A organização tem visibilidade dos motivos e métricas, o que lhe permite gerenciar melhor o risco. Controles técnicos podem ser implementados para ajudar a gerenciar riscos. 

Os controles técnicos incluem:

Autenticação multifator (MFA)

 Ao acessar os sistemas, não há motivo para não usar o MFA. É vital, pois é um obstáculo difícil para os invasores superarem. Isso deve ser usado como primeira linha de defesa e controle de acesso obrigatório de terceiros.

Gerenciamento de acesso centralizado

Gerenciar o acesso de forma centralizada auxilia nas ações técnicas e administrativas que precisam ser executadas. Se o acesso pode ser visto e controlado centralmente, é mais fácil de gerenciar. 

Na ausência de um sistema central, a organização deve considerar a sua implementação para uma gestão simplificada. O simples e o seguro muitas vezes andam de mãos dadas.

Gateway de acesso centralizado

 Um gateway usado por terceiros para acessar sistemas é útil. Isso ajuda no gerenciamento do acesso, pois fornece um ponto central de foco. É equivalente ao portão de um castelo onde os guardas estão estacionados. 

Não quer dizer que, com o controle em vigor, outras áreas não precisem ser monitoradas, no entanto, ter esse ponto de acesso central cria um ponto focal de segurança.

Redes privadas virtuais (VPN)

Garantir que o acesso aos sistemas seja seguro do ponto de vista da rede também é essencial. Usar uma segurança de nível VPN ou SSL/TLS para o ponto central é uma maneira mais segura do que não ter essa proteção. 

Terceiros nem sempre têm o nível de segurança equivalente ou melhor que uma organização pode ter, e proteger o acesso por meio de redes criptografadas aumenta a segurança. 

Não é o único controle necessário, uma combinação de controles deve ser implementada para mitigar efetivamente o risco. Algumas organizações tendem a optar por um controle ou outro.

Acesso gravado

 O acesso gravado é um ótimo controle para se implementar no ambiente. Ele protege tanto a organização quanto o terceiro. Se a organização tiver um registro do que aconteceu, ela poderá rastrear as etapas e reverter o problema ou pelo menos solucioná-lo. 

Além disso, com acesso gravado, não deve haver dúvidas sobre o que aconteceu. Está tudo registrado no registro digital. A princípio, algumas pessoas podem rejeitar a ideia, mas, uma vez usada, o valor do controle é rapidamente demonstrado – torna-se uma ferramenta poderosa.

Os controles técnicos acima só são eficazes se usados corretamente e se realmente usados. Sem os recursos para implementar, operar, monitorar e gerenciar as defesas, seus benefícios não serão alcançados. 

Se uma organização apresenta um alvo fácil, a probabilidade de uma violação aumenta. Portanto, é vital garantir que os controles implementados sejam adequados para orientar a equipe da organização e terceiros confiáveis no nível necessário para que eles operem de maneira a limitar o risco.

Uma solução robusta de PAM pode ajudar

 

Para as organizações de hoje, a terceirização tornou-se uma parte vital da gestão de um negócio eficiente e inovador. À medida que as empresas adicionam novos fornecedores a uma taxa sem precedentes, é mais importante do que nunca minimizar os riscos que terceiros adicionam ao ambiente de negócios. 

Com uma estratégia abrangente de gerenciamento de risco de terceiros, as empresas podem aproveitar a experiência e a economia de custos que terceiros fornecem, enquanto se protegem da ampla gama de riscos que este ambiente de trabalho moderno apresenta.

À medida que você considera sua estratégia de gerenciamento de risco de terceiros, uma solução forte de gerenciamento de acesso privilegiado (PAM) pode ajudar a proteger e controlar o acesso de terceiros aos seus ativos críticos. 

senhasegura se integra aos principais sistemas e aplicativos para automatizar fluxos de trabalho durante todo o ciclo de vida do usuário, aplicar controles baseados em políticas e detectar anomalias e tentativas de acesso não autorizado. 

O PAM também permite que as organizações definam datas de expiração automáticas para garantir a desativação de contas temporárias, enquanto restringe o acesso de recursos aos fornecedores que precisam deles.

Solicite agora uma demonstração experimental e descubra os benefícios do senhasegura para sua empresa

← Saúde em Cibersegurança: O que é e como se adequar a HIPAA O que é a ISO 27001 e como ela pode beneficiar seu negócio? →

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...
Leia mais

Gestão de Acesso Privilegiado (PAM): guia completo

Em 2021, houve um aumento de 50% no número de ataques em redes corporativas em relação ao ano anterior. É o que aponta a Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point. E muitos desses ataques envolvem a exploração desse tipo de...
Leia mais

Qual é o risco de senhas hardcoded para o seu negócio?

Já estamos no mês de maio, e você sabe o que comemoramos na primeira quinta-feira deste mês? Sim, é o Dia Mundial das Senhas. Celebrado desde 2013, este dia vem nos lembrar da adequada consciência cibernética e da importância da proteção das senhas em todos os...
Leia mais

As 7 melhores práticas de gestão de patches de tecnologia operacional

Para proteger infraestruturas críticas contra invasores, a abordagem recomendada é a de pensar como eles. Ativos de Tecnologia Operacional (TO) vulneráveis são uma ótima oportunidade para agentes mal-intencionados. Quando os patches são lançados ao público, as...
Leia mais

As melhores práticas de prevenção contra roubo de dados

É importante ressaltarmos que com a transformação digital e o aumento na utilização dos meios digitais identificados nos últimos anos, houve também um disparo na prática de crimes cibernéticos, ou seja, aqueles crimes que ocorrem através dos meios virtuais. Esses...
Leia mais

Ciber Ataques – Sua empresa consegue encarar?

Apesar do arrefecimento da pandemia de Covid-19, os desafios associados a esse período ainda estão sendo endereçados pelas organizações. E para segurança cibernética, 2021 não foi um ano fácil para as organizações desde organizações de saúde e indústria...
Leia mais

Share This!

Copyright 2022 senhasegura | All Rights Reserved | Powered by MT4 Group
By continuing to use this website, you consent to our use of cookies. For more information, please read our cookie policy.AcceptRead Our Privacy and Cookie Statement
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
SALVAR E ACEITAR
Copy link
CopyCopied
Powered by Social Snap