Em uma entrevista recente ao SafetyDetectives , Julia O'Toole, CEO da MyCena Security Solutions, discutiu sua jornada e a motivação por trás de sua abordagem inovadora à segurança de senhas. A luta pessoal de O'Toole com o gerenciamento de senhas a levou a desenvolver uma tecnologia inovadora inspirada em antigas práticas de segurança. MyCena oferece soluções SEAM, que permitem às empresas gerenciar senhas criptografadas como chaves, eliminando a necessidade de os funcionários saberem quaisquer senhas. O'Toole também abordou tendências alarmantes de segurança cibernética, os impactos ocultos das violações e como a filosofia “Confiança Zero” se alinha com o futuro da segurança de senhas. Ela enfatizou a importância da adaptação aos desafios do trabalho remoto por meio de medidas de segurança avançadas como as oferecidas pelo MyCena.
Durante décadas tive pesadelos com senhas e consegui encontrar uma maneira de resolver meu problema. As soluções existentes no mercado, como livros de senhas ou gerenciadores de senhas, eram todas inseguras, porque todas apresentavam pontos únicos de falha. Se você perder seu livro ou sua senha mestra, você perderá todas as chaves da sua vida digital. Após anos de pesquisa em matemática, neurociência e tecnologia, foi uma viagem no tempo que desencadeou a solução.
Eu estava vagando entre as ruínas da antiga cidade grega de Micenas, com 3.000 anos de idade, quando observei como os antigos micênicos usaram a arquitetura da cidade para proteger seus bens. Tendo construído muralhas concêntricas à volta da cidade, era necessário passar por uma primeira porta, chamada Porta dos Leões para entrar na cidade, depois por uma segunda para aceder à guarnição, depois por uma terceira para aceder ao palácio do rei. Lá tive uma epifania: “Uma senha é apenas uma chave. Ninguém corta as chaves para chegar em casa. Pegamos a chave certa para abrir a porta certa. Da mesma forma, ninguém precisa saber nenhuma senha, basta usar a senha correta para cada conta.”
Inspirados na segurança da antiga cidade de Micenas, idealizamos o Método de Acesso a Dados Armazenados Estruturados e desenvolvemos uma tecnologia de última geração que facilita o gerenciamento de chaves criptografadas. Ele permite que as empresas gerem e distribuam facilmente senhas criptografadas altamente seguras para cada sistema em tempo real para os funcionários, que então as utilizam como chaves. Conseqüentemente, os funcionários nunca sabem nenhuma senha e ainda assim podem abrir todas as portas digitais.
MyCena fornece soluções SEAM (Segmented Encrypted Access Management). A partir de um console e sem alteração de infraestrutura, as empresas podem gerenciar e distribuir senhas criptografadas de cada sistema aos usuários, que as utilizam como chaves. As empresas também podem monitorar quem acessou o quê e quando em tempo real no console.
A tendência mais alarmante é que os funcionários conheçam as senhas da empresa. É responsável por 95% das violações. Hoje, a maioria das organizações permite que seus funcionários criem suas próprias senhas para acessar seus sistemas e dados. É como permitir que seus funcionários tragam suas próprias chaves para acessar o escritório ou as fábricas. Como as senhas podem ser compartilhadas, roubadas, vendidas, reutilizadas e projetadas socialmente, isso é 10/10 no sistema de pontuação CVSS. Basta que um criminoso faça login usando uma senha ou identidade comprometida e todos os investimentos em segurança cibernética se tornarão inúteis. Isso explica por que milhares de milhões de dólares são gastos em segurança cibernética, mas as empresas continuam a ser prejudicadas.
Outra tendência muito alarmante é a utilização da identidade das pessoas para acesso. Identidades são únicas. O rosto, a voz e a impressão digital de cada pessoa não podem ser alterados. A biometria são apenas dados, que são uma série de zeros e uns. Isso significa que se for roubado, o dano será irreversível e a pessoa estará digitalmente morta, e sua identidade poderá ser usada indefinidamente para cometer fraudes sem que ela saiba. A biometria também não é informação secreta, pois vozes e rostos podem ser recuperados de fotos, vídeos e gravações e, graças à IA, facilmente reutilizados para fazer falsificações profundas.
Outra tendência alarmante é o treinamento com senhas. Não importa o quão treinado você seja, se você criar e souber a senha, os criminosos podem roubá-la de você e usá-la para fazer login. Como o 2FA é tão fácil de roubar, a combinação de treinamento de senha e 2FA oferece uma proteção muito fraca e cria uma falsa sensação de segurança. Para evitar tais riscos, os funcionários não devem criar acesso à sua empresa ou conhecê-la.
Uma violação de segurança relacionada a uma senha é semelhante a alguém roubar a chave de um site. Se o criminoso encontrar um acesso privilegiado que dê comando e controle de parte de toda a rede, isso pode levar à interrupção dos negócios, ransomware, perda de dados, roubo de identidade, espionagem, ações judiciais, ações coletivas, custos de reparo e recuperação, perda de reputação e até falência.
Para além dos custos operacionais, o impacto no futuro, por vezes anos após a violação, pode ser a instauração de processos judiciais contra diretores e responsáveis, o que pode resultar em multas pesadas e prisão.
Uma vez na rede, os criminosos também podem deixar backdoors para que possam voltar para outra rodada mais tarde.
“Confiança Zero” é uma palavra da moda, mas a filosofia de não confiar nas pessoas, porque as pessoas cometem erros, é uma boa ideia. Erros são exatamente o que o gerenciamento de acesso criptografado segmentado evita. Ao garantir que as pessoas não conheçam as senhas da sua organização, elas não poderão mais cometer erros. Este é o futuro da segurança de senhas.
Com o aumento do trabalho remoto, a superfície de ataque dos criminosos aumentou e eles podem atingir mais facilmente pessoas em suas próprias casas. Como as pessoas costumam usar senhas iguais ou semelhantes para contas pessoais e de trabalho, uma senha de phishing ou de engenharia social de qualquer conta pessoal ou profissional pode ser usada para acessar a rede da empresa e vice-versa.
As empresas podem se adaptar muito rapidamente, garantindo que seus funcionários nunca criem ou conheçam suas senhas. Como não há necessidade de mudança de infraestrutura, as soluções MyCena SEAM (Segmented Encrypted Access Management) podem ser implementadas para todos os seus acessos (RDP, SSH, aplicações web, aplicações locais, IAM, PAM, SSO, sistemas legados…). Isso põe fim ao phishing de senhas, à reutilização, ao compartilhamento, à gravação, aos ataques de navegador no navegador ou MiTM e impede 95% das violações antes que elas aconteçam.
As empresas também podem usar os recursos de restrição de IP e de dispositivo no MyCena para garantir que os funcionários só possam acessar os aplicativos e dados da empresa em determinados locais usando apenas dispositivos autorizados e evitar que salvem senhas da empresa em seus navegadores.