[Segurança] Melhorando a segurança da Target, pós-invasão

Recentemente a Target anunciou a contratação de seu novo CIO ("pós-invasão"), embora continue procurando um CISO. Além disso, a empresa divulgou várias medidas que foram tomadas para melhorar a segurança do ambiente. Estas são, na verdade, exemplos de ações que devem ser tomadas por todas empresas:

• Gestão de Alertas e Logs: Melhorar o monitoramento e o registro de logs, incluindo a implementação de regras adicionais, geração de mais alertas e logs, centralizando os feeds de logs;
• Segurança nos Pontos de Venda: Instalação de whitelisting de aplicação nos sistemas de ponto-de-venda e desenvolvimento de ferramentas de gerenciamento dos pontos-de-venda;
• Segmentação de redes: melhorar a segmentação de redes, além de revisar e racionalizar as regras de Firewall e adotar um processo abrangente de governança;
• Rever e limitar o acesso dos fornecedores: inclui o cancelamento de alguns meios de acesso remoto dos fornecedores ao ambinete da Target, incluindo o bloqueio dos protocolos FTP e telnet. Eu imagino que aqui eles estão dizendo que vão limitar todos os acessos remotos necessários para que sejam feitos somente por SSH e SFTP;
• Aumentar a segurança de contas de usuários: revisão de contas e senhas dos 445.000 membros da equipe da Target e dos terceiros (espero que revisem os usuários e, por conta da invasão, troquem obrigatoriamente a senha de todos), ampliação do uso de autenticação de dois fatores (isto é algo que pode ser facilmente implementado principalmente para acesso remoto!), desativação de várias contas de fornecedores, revisão de privilégios para certas contas e conscientização e treinamento dos usuários sobre troca de senha;
• Cartões com chip: A partir do início de 2015, todos os cartões de crédito e débito da Target (chamados de REDcard) utilizarão chip (tecnologia chamada no mercado de CHIP-and-PIN) em parceria com a MasterCard. O uso de cartões com Chip é muito raro nos EUA, embora seja comum no Brasil e em toda a Europa.

A notícia não mencionou nada sobre a situação de compliance com o PCI, nem se a Target está fazendo algo para evitar a guarda de dados de cartões dos clientes (ou ao menos melhorar a segurança desses dados). Nada foi dito também na questão da gestão e priorização dos alertas e na melhora da capacidade de identificar e responder rapidamente a incidentes. Estes foram dois problemas que ajudaram para que a invasão e o roubo de dados ocorresse.