Os artigos refletem a opinião pessoal do autor, e não de seus empregadores.

segunda-feira, 12 de maio de 2014

As Ameaças e a Nuvem

*** artigo publicado na edição de maio da revista RTI
http://www.arandanet.com.br/midiaonline/rti/2014/maio/index.html ***

Recentemente participei de um painel em um evento de segurança no Rio de Janeiro com o sugestivo título de “Ameaças persistentes e avançadas: quais os novos requisitos de segurança no cenário de cloud computing”. Uma discussão imediatista iria dizer se a nuvem protege ou não contra essas ameaças, os APTs, porém o mais interessante é que ambos – APTs e cloud computing – não estão relacionados diretamente, e para relacioná-los é essencial antes esmiuçar cada um deles separadamente.

Primeiro que elas não são novas e sim uma evolução do que vemos já há 15 anos. Os bancos brasileiros por exemplo lidam com APTs há pelo menos dez anos. Segundo, essas ameaças não estão substituindo as “antigas” (aspas novamente propositais) pois elas continuam ativas e causando estragos, e como foi demonstrado pela pesquisa da Verizon em 2013 os ataques persistentes fazem uso de ataques simples (as “antigas” ameaças) para então instalar código especialmente desenhado para o alvo – o que também não quer dizer que seja mais avançado. Terceiro, em minha visão o maior problema da segurança atual não são os APTs ou o malware, mas o fato de que as empresas ainda gerenciam muito mal a sua segurança. Produtos de segurança costumam ser muito mal administrados e configurados, muitas vezes de uma forma que não servem para nada, o que nos leva à conclusão de que mudar os dispositivos para versões mais novas não ajuda sempre a obter mais segurança.

Um APT é por definição um ataque direcionado. Em cada evento os alvos são cuidadosamente selecionados e estudados, e disso dependerá a metodologia do ataque. Aqui está o primeiro erro em generalizar esse tipo de ameaça, pois não há ataques APT sem alvos previamente escolhidos. Um bom exemplo são as fraudes em Internet banking, que de tão específicos podem ser direcionados a apenas um banco, sem afetar clientes de outros. O que pode trazer alguma confusão é que algumas situações o alvo por si só é amplo. Uma ameaça que afete Internet banking de todos os bancos com certeza possui um escopo amplo, o que não quer dizer que não haja um alvo. Também há situações em que a metodologia do ataque pressupõe o uso de botnets, trazendo a necessidade de uma ampla invasão, mas o escopo delimitado continua. Um exemplo é um ataque direcionado a retirar do ar um determinado serviço, e que será executado via DdoS a partir da rede bot. Além disso em outras vezes o programa simplesmente vaza e se alastra como um worm, como parece ter sido o caso do Stuxnet. Também em um APT nem tudo é avançado que não pode ser detectado. O código que realiza o ataque é um bom exemplo de ameaça avançada, e já foi visto exemplos que efetivam o ataque à um internet banking corrompendo a memória do computador. Mas isso não significa que a invasão inicial também usará um ataque avançado,  como os de vulnerabilidade dia zero. Vimos em casos reais que técnicas como phishing para download involuntario e engenharia social foram usados. Dizem que no caso do Stuxnet um pen drive foi o veiculo usado para a primeira invasão. Mas isso vai depender do estudo realizado sobre o alvo e se for o caso novos ataques serão sim usados. Finalmente, Se o APT é direcionado e persistente, assim deve ser a proteção. A empresa deve conhecer a fundo seus potenciais alvos internos e estudá-los a fundo, conhecendo formas de ataque possíveis e desenvolvendo meios de proteção.

Muito se fala hoje do cloud computing e como sempre há muitas opiniões divergentes. Aqui irei falar apenas das nuvens públicas, pois as privadas, criadas dentro das mega  corporações são nada mais do que um processo de centralização de serviços de TI. Vejo a nuvem como um revolução para as pequenas e médias empresas que podem usufruir de serviços, sistemas e infraestrutura de grandes empresas arcando com uma fração dos custos. É a única maneira de um que pequeno provedor de software as a service possuir redundancia de datacenter, podendo fazê-lo até em paises diferentes. Ou de uma média empresa tornar-se global com seus funcionários trabalhando integrados, não importa o país onde estejam. Já para as grandes corporações, que já contam com seus datacenters montados, os beneficios da computação em nuvem não são assim tão grandes, e a maior parte das empresas com as quais conversei a usam muito pouco e sempre para dados ou sistemas de menor importância. E nenhuma vez ouvi alguém citar segurança como motivador para migrar sistemas para centros de dados operados por terceiros. Pequenos e médios vão para alavancar suas operações, grandes vão para economizar no que não é crítico.

Mas o cloud poderá melhorar a situação geral da segurança se esta for melhor administrada pelo provedor do que pelo usuário final, e este deveria ser um fator de análise pelas empresas. Não me refiro aqui à administração de dispositivos de segurança, serviço já há muito tempo provido por Managed Service Providers (MSP), mas que um banco de dados ou sistema armazenado e gerenciado por um terceiro poderá ter mais proteção que o localizado dentro de casa. É claro que aqui o SLA é fundamental e métricas objetivas devem ser estabelecidas para medir o nível e a qualidade da segurança. É um erro pensar que segurança da informação é um item tão elementar que não precisa ser especificado em detalhes, como a segurança patrimonial. Há hoje uma profusão dessas métricas, nas várias regulações disponiveis para TI, como o COBIT e o ISO 27000, e não se deve hesitar em exigi-los em contrato. Mas, é claro, não há milagres e e, no caso de um APT, pode até ser mesmo menos eficiente, já que o provedor da nuvem não terá o conhecimento sobre os potenciais alvos de um ataque. Isso nos remete ao principio de que a estratégia da segurança nunca “pode ir para a nuvem”. Nenhuma empresa deve transferir a terceiros a palavra final sobre a proteção de seus dados, esteja estes onde estiverem. 

Nenhum comentário:

Postar um comentário