*** artigo publicado na revista RTI ***
Desde que
o guru Bruce Schneier cunhou o famoso tripé “pessoas, processos e tecnologia”
para a segurança, temos a tentação de propor nossos próprios tripés, seja com
um objetivo mais amplo ou para uma necessidade específica. Hoje estou propondo
o meu próprio para lidar com a nova geração de ataques que estamos presenciando
e que vieram para ficar. Mais especificamente, o meu tripé, título do artigo, é
minha sugestão para o que pessoas, processos e tecnologias devem fazer para
lidar com eles.
Hoje um
grupo bem financiado e com hackers talentosos pode invadir a rede ou computador
que quiserem. O que eles farão depois disso vai depender de como a vítima
estiver, ou não, preparada. Os exemplos mais famosos que temos são os de grupos
patrocinados por governos. Fala-se muito de Estados Unidos, Israel e China; mas
há também os grupos profissionais, bem estruturados e organizados, para ataques
a empresas para roubo, espionagem ou sabotagem; ou criação e administração de
botnets, entre outros. E minha sensação é que a maioria das empresas não está
preparada, e por vários motivos.
O
principal deles é um vicio que sempre critico no mercado: a maneira como usamos
termos cunhados para indicar alguma nova ameaça ou tecnologia, muitas vezes com
objetivos de marketing. O problema aumenta em nosso país por causa da lingua, e
assim repetimos termos em inglês sem nem ao menos interpretar seu significado.
É assim com os produtos next-generation.
Empresas pedem um next-generation
firewall e nem sabem o que o Gartner
queria dizer quando inventou o termo, que aliás usa repetidamente, tanto que na
década passada também havia um firewall de próxima geração, que hoje é o da
geração passada. E é assim com o advanced
persistent thread, termo criado justamente para retratar os ataques dos
grupos altamente organizados. Não se trata de um ataque, ou mesmo uma ameaça, e
sim de um padrão de ação desses grupos, seja para fins criminosos ou políticos.
Até para o tripé de Schneier há um contexto, que muita gente desconhece e fica
discutindo o que não existe. Como o próprio autor explica em seu blog, em um
post no último dia 30 de janeiro, na época, mais exatamente 1999, sua
preocupação era sugerir outros caminhos além de tecnologia, até então o único
adotado pelas empresas. Catorze anos depois as coisas mudaram, como o próprio
autor reconhece. Minha primeira sugestão é esquecer os nomes ou termos e
trabalhar com o significado. Ao invés de pedir ao seu fornecedor um next-generation firewall peça um
firewall que faça a, b e c. Não há o que perder. Você saberá o que estará
comprando e o outro o que estará vendendo.
O mesmo
deve ser feito com os ataques a que a empresa estaria sujeita. Esqueça os
termos prontos e vamos assim ao nosso primeiro pilar, a inteligência, para
entender como os ataques e fraudes acontecem contra a empresa em especial, e
quais os alvos deles dentro dela. O grande exemplo que temos no Brasil são os
bancos, que reduziram significativamente as fraudes digitais começando por uma
medida muito simples: eles trocam informações. Se uma instituição sofre algum
tipo de fraude ela será comunicada às outras. Mais do que isso, eles procuram
juntos soluções, compartilham estudos realizados e estratégias adotadas. Qualquer
ramo de negócio pode adotar a mesma prática, facilitada pelo fato da grande
maioria estar representada em organizações patronais. Outra medida é utilizar
serviços de informação, pagos ou gratuitos. Temos no Brasil também provedores
que investigam e coletam informações sob encomenda, de forma contínua ou
pontual. Por fim as empresas precisam também conhecer o que possuem de maior
valor, como ele pode ser protegido e qual tipo de comprometimento a que este
ativo estaria sujeito: o vazamento de dados ou afetação de transações? É um
erro comum tratar toda a rede e todos os servidores, dados e transações como
confidenciais e de alta criticidade.
Uma vez
que temos toda essa informação chegou a hora de prevenir. Aqui temos o nosso
“depende”. O que fazer dependerá do trabalho anterior de inteligência. Em
alguns casos haverá um nível aceitável de ocorrências, em outros nada. Até isso
você precisará saber na hora de definir o plano. Mas posso citar alguns
exemplos. Um deles são as medidas preventivas adotadas em um grande partido
político. Como sabemos os partidos possuem picos de trabalho a cada dois anos,
nas eleições, e entre os dados mais críticos estão as estratégias de campanha e
o plano de governo. Um vazamento seria sem dúvida um desastre. Esse partido a
cada eleição compra computadores novos para criação e manipulação desses dados,
e mantidos desconectados. Parece exagero? Não, não é. A isso eu adicionaria um
controle estrito do uso de portas USB, o controle de impressão e desativar
completamente o bluetooth e wi-fi. Outro exemplo é o de testes contínuos de
vulnerabilidade durante o desenvolvimento e implementação de portais e sistemas
de uso proprietário. Nenhum dispositivo de segurança de rede ou sistema
operacional irá proteger um sistema de ataques no nível da aplicação. Se ele
inclui transações ou dados confidenciais a empresa não pode economizar. A regra
de ouro é nunca adotar somente soluções de uso comum para proteger ativos
críticos, faça isso para servidores e segmentos menos importantes ou
compartilhados. Proteja o perímetro como todos fazem, firewall, IPS, etc, mas
não confie que somente isso trará proteção aos seus dados mais importantes. Para
estes tenha um plano especial.
Definindo
o que proteger e como, chega a hora da monitoração. Aqui há também uma grande
lacuna entre o que fazer e o que está sendo efetivamente realizado. Monitorar
significa acompanhar o que está ocorrendo o mais próximo possível do tempo
real. Nos últimos meses escrevi vários artigos aqui na RTI sobre técnicas e
tecnologias como SIEM, netflow e outros. Assim não preciso nem tenho espaço
para aprofundar essa parte, mas fica a minha sugestão para sabermos se a
monitoração está sendo eficaz ou não. Para ter eficácia ela precisa responder
as seguintes perguntas: “quem”, “o que”, “quando”, “onde” e “como”.
Nenhum comentário:
Postar um comentário