O que um orçamento de 100 milhões de
dólares em segurança da informação significa para você, caro leitor? Pois esse
foi o valor gasto pela FIS - Fidelity Information Services – após a grande
invasão e fraude que ocorreu na empresa em 2011. Para aqueles que não se
recordam do caso, a FIS é uma empresa americana e prestadora de serviços a
vários bancos e instituições financeiras, com atuação global. Em Maio de 2011 a
empresa reconheceu em seu relatório trimestral que sofreu uma invasão que
resultou em perdas de 13 milhões de dólares. Embora sem especificar detalhes,
soube-se que hackers invadiram os sistemas de controle dos cartões de débito
pré-pago da companhia e alteraram os limites de 22 cartões pré-pagos de débito
de um dos seus clientes. Depois esses cartões foram clonados e espalhados pelos
mundo, e saques foram realizados simultaneamente na tarde de um domingo em
vários países da Europa. Enquanto os saques eram realizados, os hackers
continuavam dentro dos sistemas de controle de saldo dos cartões, aumentando-os
quando estes chegavam a zero.
Após a invasão milionária a empresa
sofreu sucessivas auditorias do Federal Deposit Insurance Corp. (FDIC), órgão
de seguros do mercado financeiro dos Estados Unidos. Dados do último relatório
dessas auditorias foram relevados no blog KrebsOnSecurity, e ilustram com mais
detalhes os problemas e desafios enfrentados por companhias desse tamanho. O
relatório não é bom para a empresa americana, principalmente por revelar que a
invasão foi mais extensa do que publicado inicialmente, e também porque dados
de vários outros clientes, aparentemente não afetados no ataque, foram
extraidos e poderiam ser utilizados em novas ações. Para começar os auditores
identificaram atrasos na integração de sistemas e redes de empresas adquiridas
pela FIS nos últimos anos, no entanto reconheceram a complexidade em um projeto
que consiste de “aproximadamente 30 mil servidores e sistemas operacionais,
outros 30 mil dispositivos de rede, mais de 40 mil estações de trabalho, 50 mil
circuitos de rede e 28 mainframes rodando 80 partições lógicas”. É claro que
não é fácil assegurar uma rede desse tamanho, principalmente quando vem de
empresas adquiridas e desconhecidas. Foram listados também “18.747
vulnerabilidades de rede e mais de 291 vulnerabilidades de aplicação”. Essas
varreduras também revelaram mais de 10 mil ocorrências de senhas default no
ambiente, assim como senhas em branco.
Outro problema é que a habilidade dos investigadores em identificar a
origem da invasão foi seriamente afetada porque o pessoal de resposta a
emergências apagaram e reinstalaram vários sistemas comprometidos na tentativa
de restabelecer as operações normais, antes que estes pudessem ser analisados.
Obviamente é fácil criticar quando temos
a visão privilegiada do observador, e meu objetivo é listar quatro aprendizados
para melhorar a segurança da informação em nossas empresas:
Aparências enganam
Em um ataque hackers podem colher
informações para ataques futuros, portanto, quando vítima de uma quebra, não se
limite a analisar os alvos aparentes de um ataque. Não se contente em dizer que
“apenas sistemas de pouca relevância foram afetados” e esquecer a questão.
Sementes para outras invasões podem ter sido plantadas. Dessa forma a
investigação e revisão de segurança devem se estender por toda a rede, por mais
custoso que isso possa ser, inclusive para sua carreira na empresa. É da
natureza humana minimizar ocorrências para nossos chefes, mas será muito pior
se o que inicialmente dissemos ser “algo
pequeno” se revela depois algo bem mais destrutivo.
Prepara-se para o pior
É essencial que empresas de todos os
portes e segmentos possuam um plano de resposta a incidentes, no intuito de
preservar não só os ativos da empresa mas também as evidencias dos ataques,
permitindo que investigadores possam identificar autores e métodos, e impedir
quebras futuras. Esse é o ponto falho mais comum nos planos. Como muitas
empresas não possuem sistemas redundantes a única alternativa face a um ataque
é restabelecer rapidamente os servidores para que as operações voltem ao
normal. Isso ocorre mesmo em grandes empresas e preservar ou não servidores
atacados é uma decisão que deve ser tomada pelos executivos. Mas há
alternativas como gerar imagens dos sistemas afetados antes de estes serem
recuperados. Pode atrasar o restabelecimento da rede mas salvar a investigação
e impedir novas ocorrências.
Priorize
Priorizar vulnerabilidades é
essencial, e para isso é também essencial que se conheça os níveis de
importancia de cada servidor e sistema para os negócios da empresa. Mas
primeiro devemos reconhecer que detecção de vulnerabilidades não é
gerenciamento de vulnerabilidades. Não basta executar varreduras e depois
enxugar gelo tentando corrigi-las. O primeiro passo é trabalhar em um
inventário realista de equipamentos e sistemas, onde o valor de cada um é
corretamente avaliado. As primeiras vulnerabilidades a corrigir são as de alto
risco que afetam sistemas altamente críticos. Deve-se também coletar
inteligência de ataques e acrescentar a essa equação a probabilidade da
vulnerabilidade ser invadida, medido pela existência de exploits ativos.
Lembremos também que a probabilidade de invasão é reduzida ou eliminada se há
um sistema bem configurado de prevenção de intrusos ou se as portas TCP/IP
estão bloqueadas nos firewalls, caso isso seja possível.
Segurança também é cultura
Há algo errado quando funcionários
de TI, mesmo trabalhando em uma companhia que preza a segurança da informação,
continuam a não alterar senhas default de sistemas. Esse fato revela a falta de
uma cultura de segurança e um imenso risco para as operações, não importa
quanto se gaste em controles e sistemas de segurança. Não me canso em repetir que segurança é como
qualidade, ou se faz diariamente ou não temos nada. E funcionários que não
julgam importante a segurança e a comprometem são pessoas que não compartilham
da mesma cultura da empresa, e essa deve avaliar se vale a pena mantê-los.
