Saltar para o conteudo
Avanet
Experiência - Porque teria sido melhor não ter ligado esta pen USB

Experiência - Porque teria sido melhor não ter ligado esta pen USB

31. MARÇO 2017

Considerariam a vossa empresa, na realidade actual de ransomware e ATPs, como segura e não vulnerável a ataques?

Como a maioria dos leitores regulares deste blogue sabe, cerca de 80% do nosso negócio diário está focado em segurança. Com a Avanet apostámos, desde o início, nas soluções de segurança da Sophos e nunca nos arrependemos dessa decisão. Dá‑nos prazer ajudar clientes que se preocupam com a segurança da sua empresa e que também confiam na qualidade dos produtos da Sophos.

Para uma campanha de marketing em Novembro de 2016, escolhemos como alvo exactamente o oposto do nosso tipo habitual de cliente. Tentámos convencer CEOs da importância da segurança que nunca tinham reflectido seriamente sobre o tema ou que estavam convencidos de que a solução existente já lhes garantia protecção suficiente. E, pela primeira vez, pusemos de lado o nosso método de marketing habitual, o online marketing. O que resultou daí? Infelizmente, nada de animador, pelo que decidimos partilhar convosco a nossa experiência. A nossa acção de marketing mostrou‑nos, de forma perturbadora, que é urgentemente necessária muito mais sensibilização em torno do tema “segurança na empresa” e que é perfeitamente possível entrar na rede de uma organização com meios extremamente simples. Toda a história segue agora para leitura.

Contexto

Quando, por interesse, falamos com potenciais clientes e nos informamos, de forma discreta, sobre o estado da sua segurança de TI, ouvimos praticamente sempre a mesma resposta:

“Estamos suficientemente protegidos e a nós uma coisa dessas não nos pode acontecer. A nossa empresa é demasiado pequena e pouco relevante para um hacker.”

O facto é que já não se trata do pequeno hacker na cave que só tem grandes empresas como alvo. A vaga de ransomware mostra claramente que qualquer pessoa que tenha um computador, Internet e e‑mail é um potencial alvo. Quando chamamos a atenção para os riscos associados a anexos de e‑mail, muitos CEOs estão absolutamente convictos de que os seus colaboradores são cuidadosos e que, certamente, não fariam nada irreflectido. O que é que ainda se pode dizer, além de: “Podemos testar isso uma vez?” É evidente que ninguém quer dar o seu consentimento para tal e, por isso, no contexto da nova campanha de marketing, colocámos a seguinte questão:

“Como se convence um potencial cliente da importância da segurança de TI, se ele nunca pensou no assunto ou está convencido de que já está suficientemente protegido?”

A nossa ideia de marketing e como a implementámos

No planeamento da nossa campanha havia um ponto particularmente importante. Queríamos ser “os bons” e a nossa acção deveria contribuir para aumentar a consciencialização sobre as ameaças actuais. Para ser o mais eficaz possível, precisava também de uma boa dose de suor frio, para afastar a ideia de que “estou seguro e nada me pode acontecer”.

Encomendámos então 100 USB sticks, em cada um dos quais copiámos um ficheiro HTML com o seguinte conteúdo.

Landing page da pen USB

Nesta altura, quero sublinhar mais uma vez que no stick só se encontrava um ficheiro HTML inofensivo. Como referi, nunca foi nossa intenção causar danos a qualquer empresa. Colocámos depois o USB stick num envelope, apenas com um pós‑it com a seguinte frase:

“Conforme combinado, os dados do projecto. Saudações + obrigado”

O envelope tinha apenas o endereço do destinatário. Deliberadamente, não indicámos remetente, para aumentar a curiosidade humana e, com isso, a probabilidade de o USB stick ser ligado.

Agora tenho três perguntas para vocês:

  1. O que teriam feito se uma carta destas tivesse chegado à vossa caixa de correio?
  2. Como acham que os vossos colaboradores se teriam comportado?
  3. O que pensam, quantas vezes foi o USB stick ligado?

Pessoas furiosas, ameaças e polícia

Tínhamos plena consciência de que esta acção era bastante atrevida. Será que as pessoas iriam compreender as nossas “boas intenções” e ficar agradecidas por, desta vez, terem ficado apenas com um susto?

A resposta foi claramente “NÃO”. Isso ficou evidente três dias depois, quando ligámos às pessoas para perguntar pelo USB stick. Eu diria que, das 80 pessoas que conseguimos contactar, cerca de 5 perceberam a ideia e até elogiaram a originalidade da acção de marketing.

O resto das pessoas ficou furioso, passou a ver‑nos como o inimigo e ameaçou com medidas legais. Dois dos nossos USB sticks chegaram mesmo à polícia.

65% de taxa de ligação

Deixando de lado as emoções e concentrando‑nos no impacto da campanha, o que mais impressiona é que 65% de todas as pessoas que conseguimos contactar por telefone tinham ligado o USB stick na empresa! Partindo do princípio de que nem todos admitiram que o tinham feito, a percentagem real será, em média, ainda mais elevada.

Isto significa que, pelo menos, 52 pessoas colocaram em risco a segurança da sua empresa ao ligarem um stick sem saberem de quem vinha nem que ficheiros continha.

Conclusão

Embora consigamos compreender as reacções furiosas destas pessoas, consideramos que, neste contexto, o ego não deve ter lugar. É importante reconhecer que, nesta situação, se esteve vulnerável por causa de um simples e ridículo USB stick e que se foi apanhado com uma técnica dos anos 90. Perante um ataque deste tipo, nem a melhor firewall do mundo teria conseguido fazer alguma coisa, porque o stick foi, na prática, contrabandeado para lá do controlo de segurança. No fim de contas, o ser humano foi aqui o maior risco, porque sem ele o USB stick nunca teria entrado na rede. Formar adequadamente o pessoal e chamar a atenção para este tipo de ameaças é uma componente essencial da vossa segurança de TI.

A nossa acção de marketing mostrou que, numa empresa, tem de existir protecção de endpoint instalada em todos os clients. Só uma boa protecção de endpoint, baseada em comportamento e não em assinaturas, é hoje em dia o padrão de referência. Quem procurar um produto deste tipo na Sophos acabará, mais cedo ou mais tarde, em Sophos Central. Como configuração de base, recomendamos sempre a dupla Sophos Central Endpoint + Intercept X. Se quiserem seguir a nossa recomendação, podem adquirir directamente Sophos Central Intercept X Advanced, que já inclui ambos os produtos.

Mesmo que não tenhamos ganho novos projectos com esta campanha, do nosso ponto de vista ela não foi totalmente em vão. Acreditamos que, graças a esta acção, algumas pessoas serão mais cautelosas e hesitarão antes de ligarem um USB stick ao computador, da próxima vez.

David

David

David e responsavel pelos conteudos, pela estrutura e pela implementacao digital na Avanet. O seu foco esta em apresentar temas tecnicos complexos de forma clara, precisa e otimizada para pesquisa.