Segurança em um Mundo VUCA

Se há uma certeza hoje é que não temos a menor ideia do que irá acontecer amanhã, tais quais os versos do compositor Didi - “como será amanhã, responda quem puder” - imortalizados pela voz da cantora Simone. Certa vez li de que a certeza é o que nos dá a tranquilidade de agir, mas, como dizem, o diabo mora ao lado, ou nos detalhes. Não estamos nem um pouco preparados para o desconhecido. Queremos controlar o incontrolável, e, pior ainda, gostamos de nos enganar dizendo que está tudo sob controle. Na verdade, sim está, mas do imponderável, que infelizmente não trabalha para nós.

Buscar o controle faz parte do DNA do profissional de segurança, e é o que aprendemos desde sempre: medir o risco, aplicar controles e reduzi-lo até níveis considerados aceitáveis, já que 100% nunca será alcançado. Também sempre pensei assim, mas há algo errado. A segurança parece frágil, ou no mínimo menos eficiente do que gostaríamos que fosse. Talvez não precise ser assim. Devemos, claro, manter riscos conhecidos sob controle e em níveis que julgamos adequados, mas sempre haverá o 1% imprevisível, e é dessa pequena porção que estou falando. Esses 1% de riscos não cobertos possuem a capacidade de cancelar todo o esforço dos outros 99%. Se um único ataque de ransomware tira do ar uma empresa por dias, para que serviu todo o esforço? A resposta é rápida: “em 99% do tempo não somos invadidos e a empresa opera normalmente”. Eu concordo, mas nenhuma empresa pode ficar fora do ar 1% do tempo.

Esse é o meu desafio pessoal atualmente, e convido todos a ele: como montar a estratégia da segurança da informação sem saber e sem tentar adivinhar o que acontecerá, em um mundo volátil, incerto, complexo e ambíguo?

Volátil, incerto, complexo e ambíguo é como o US Army War College definiu o mundo em 1987. Eles estavam obviamente pensando na guerra, mas o acrônimo por eles cunhados, VUCA (ou VICA em português), passou a ser utilizado também nas áreas de negócios e planejamento estratégico. E cabe perfeitamente também em segurança da informação, sobretudo frente às ameaças resultantes do mundo conectado, ou digitalizado.

Volatilidade se define como a dinâmica dos eventos, inesperados tanto em sua natureza como em seu alcance. O oposto de volatilidade é a estabilidade, ou a quantidade de eventos e nível de criticidade considerado como padrão, e que a empresa enfrenta na maior parte do ano. Em um ambiente estável espera-se o que irá ocorrer, que é conhecido e, portanto, a resposta está documentada e treinada. No entanto, algo desconhecido e inesperado pode ocorrer a qualquer momento. Dizer que segurança é volátil é reconhecer que não há garantia de estabilidade nos elementos que estão fora do alcance de controle da empresa: hackers e usuários mal-intencionados.

Incerteza (o U do acrônimo) é o grau de imprevisibilidade dos eventos. Como os grandes ataques mostraram, as técnicas, vetores e extensão da invasão são somente identificados após o inicio e, em alguns casos, após seu êxito. Em alguns casos as vítimas apenas perceberam que havia uma invasão em curso depois que os sistemas saíram do ar, os dados foram roubados ou o computador ficou inacessível. Os resultados de não saber o que está ocorrendo são a surpresa, não saber como reagir e e a sensação de impotência.

Volatilidade e Incerteza estão ligados. Um evento pode ocorrer a qualquer momento sem aviso prévio, e não temos como conhecer de antemão seus métodos e consequências. O grande desafio para encarar a volatilidade e a incerteza somos nós mesmos. Não sabemos lidar com o risco, não temos tolerância a ele, e por isso queremos eliminá-lo, o que não condiz com a realidade.

Já Complexidade é inerente a qualquer evento de ataque cibernético, assim como também a como está configurada a segurança da empresa. Muitas vezes vemos os hackers usarem a complexidade a seu favor e as empresas a usá-la contra elas mesmas. De qualquer forma, qualquer ataque será complexo, e os mais sofisticados usarão múltiplas técnicas de invasão, seja para aumentar a eficácia ou para evitar a detecção pelos sistemas de defesa.

Ambiguidade é uma característica nem sempre levada em conta. Muitas vezes nossa leitura dos eventos pode estar equivocada, ou mesmo um ataque pode ser apenas um chamariz para desviar atenção de outro muito pior. Um ataque de ransomware, por exemplo, pode ser usado para mascarar o roubo de informações.

O conceito VUCA aplica-se naturalmente ao mundo da estratégia empresarial, e a maior parte da literatura fala disso. O mundo dos negócios é cada vez mais disruptivo, e modelos de negócio são construídos ou mudam cada vez mais rápido. Em muitos negócios, como Uber, Amazon e Netflix, a TI deixou de ser um habilitador do negócio para se tornar o próprio negócio. Logo um ataque bem-sucedido não irá apenas atrapalhar, ele tirar do ar o próprio negócio da empresa, levar a zero o faturamento, causar milhões de dólares de prejuízo. Esse ambiente de negócios traz um novo desafio à gestão de segurança. Não apenas precisamos estar preparados para as a imprevisibilidade dos ataques, como também nos adaptar e acompanhar as mudanças nos negócios.

Todos os casos dos grandes ataques apresentaram bem as quatro características, com impacto nos negócios ou na credibilidade da empresa e executivos, e é necessária uma mudança no modo como encaramos as coisas. Pensar segurança dessa maneira envolve mudar conceitos, e até mesmo ir contra algumas medidas consideradas há anos como “boas-práticas”. Envolve reconhecer que muitas das estratégias e táticas criadas há mais de uma década e ainda utilizadas não funcionam mais. Envolve interpretar de maneira diferente relatórios de institutos de pesquisa que ainda seguem encarando a segurança em silos, como fazem há vinte anos. Envolve mudança.

Nos próximo artigos irei tentar aprofundar cada uma das quatro características VUCA, e buscar algumas medidas que podemos implementar, não para controlar, pois, de novo, isso é impossível, mas para tornar nossa segurança menos frágil e mais eficaz, em qualquer situação.

O Desconhecido - parte II

No último post comecei a comentar sobre o “desconhecido”, o grande problema da segurança da informação atualmente, na minha opinião, e o despreparo de muitas empresas para lidar com isso. É esse o principal motivo de tantas terem sido afetadas pelo último grande ataque, o Wannacry em maio do ano passado, apesar dos milhões gastos em produtos e serviços. É necessário reconhecer os erros para que eles possam ser corrigidos, e nosso trabalho aperfeiçoado.

A ação das áreas de segurança se inicia sempre pelas vulnerabilidades e ameaças conhecidas, e não há nada errado nisso. Ao fazer isso mais de 90% do problema está resolvido, e é sempre bom lembrar que muitos ataques ainda usam técnicas de vários anos de idade, inacreditavelmente ainda efetivos em invasões. A falha está em parar por aqui, preparar-se tanto em tecnologia como em processos somente para o que está documentado, e cair na típica crença que a ausência de evidência é um sinal de que o risco está baixo, embora o fato do risco estar baixo hoje não significa muita coisa. Passado e presente não são garantias de futuro, como nos alertou Bertrand Russel.

O filósofo, para exemplificar as falhas do método de pensamento indutivo, criou o famoso conto do peru de Natal (ou de Thanksgiving nos Estados Unidos). Indução para a filosofia é a conclusão de uma verdade considerada definitiva a partir de experiências ou da observação do passado. Na estória um peru observa que, chova ou faça sol, calor ou frio, ele é alimentado regularmente. Após meses ele conclui que terá uma vida longa e tranquila, com comida e conforto garantidos, até que chega a véspera do Natal. A moral da história é que nem sempre as experiências passadas nos levam a conclusões corretas, pois nunca temos certeza de que observamos todas as ocorrências possíveis. O mais interessante disso é que muito facilmente ludibriamos a nós mesmos. Só porque adquirimos o conhecimento e os produtos para proteger-nos do Wannacry, e que desde então não fomos afetados por novos ransomware, não significa que estamos seguros contra qualquer outro ataque no futuro. É algo lógico, mas nos deixamos enganar e passamos a acreditar que há uma evidência de ausência de novos riscos.

Há três estratégias para blindar-nos contra as incertezas do futuro, que apesar de poderem ser adotadas isoladamente, se complementam e trabalham melhor em conjunto. Todas são independentes de fabricante ou produto, e é até possível implementá-las com ferramentas de software livre.

A primeira é visibilidade, e o que considero como mínimo, essencial. O conceito é simples. É comum a análise do tráfego de rede em pontos específicos, estratégicos, como o perímetro e a intersecção entre segmentos, sendo esta análise normalmente especializada, como a executada por um firewall ou IPS. A proposta é a extensão desse conceito, tanto horizontal como verticalmente. O primeiro é que todo o tráfego de rede deve ser inspecionado em busca de anomalias em relação a padrões conhecidos, assim como para tráfego suspeito, similar ao comportamento de ataques. Tráfego direcionado à países com os quais a empresa não possui conexões comerciais, sobretudo se normalmente associados a atividade hacker, deve também ser investigado. À primeira vista tal tarefa parece extremamente complexa e fora do alcance de empresas de pequeno e médio porte. Nada mais errado. Esse nível visibilidade se consegue através de informações de tráfego conhecidas por flow, ou netflow, embora esse seja o nome do padrão da Cisco, o criador do protocolo, originalmente para o intuito de gerencia de rede, mas hoje servindo totalmente à segurança. A maior parte dos switches modernos geram informações de flow, que podem ser enviados a sistemas de análise fornecidos por diferentes fabricantes, vários de software livre. Basta uma busca no Google. Se o equipamento de rede não gerar os dados, é possível instalar geradores conectados a ele. Verticalmente porque também firewalls e IPS modernos podem e devem ser utilizados para mapear o tráfego de redes que passa por eles.

A segunda estratégia é contexto, ou análise de contexto do tráfego. Contexto é a correlação de vários dados a respeito do tráfego, os quais irão depender das fontes disponíveis. Uma dessas fontes são sistemas de autenticação ou diretório. Entre os dados que podem ser usados estão: (1) quem está acessando (o usuário mais que o endereço IP), (2) de qual computador (o normalmente usado pelo usuário ou não); (3) de qual sistema operacional (é o que ele possui em seu computador ou não); (4) de qual localidade (dentro ou fora do escritório); (5) quando (dentro do horário de trabalho ou comumente usado) e (6) o que está fazendo na rede (está acessando algum servidor ou serviço fora do seu padrão). Quanto mais dados a se correlacionar, melhor será a análise e a conclusão, elevando ou reduzindo o grau de suspeita. Parece mesmo com o que fazem administradoras de cartão de crédito. Outro ponto importante é que quanto mais fidelidade, mais se pode automatizar o processo, caso algum sistema para tal esteja disponível. Novamente a tecnologia está disponível para qualquer empresa, tanto por soluções comerciais como por livres.

Já a terceira estratégia é inteligência. Inteligência é conhecimento, é primeiro saber o que há em sua rede. Por “rede” considero tudo conectado local ou remotamente: funcionários, equipamentos, dispositivos de infraestrutura como câmeras e controle de ar-condicionado, prestadores de serviços, parceiros, etc e etc. Segundo, o que está ocorrendo em geral na Internet, para se precaver e se preparar antecipadamente. Este é razoavelmente fácil de obter, dado a variedade de provedores, a grande maioria grátis. Já o segundo requer trabalho e interação com outras áreas da empresa. Mas é essencial, e ajuda a definir os padrões de tráfego que por sua vez definirão as anomalias.

Mas, se tantas empresas falham no básico, como esperar que elas tratem com sucesso os ataques ainda não conhecidos? Essa é sem dúvida uma pergunta válida, porém as técnicas descritas aqui ajudam a detectar qualquer ataque, e acabam por levantar o nível de proteção como um todo.

O Desconhecido - parte 1

Seria impossível iniciar um texto sobre o desconhecido sem citar a famosa frase do ex-secretário de Defesa dos Estados Unidos, Donald Rumsfeld, no governo de George W. Bush, em tradução livre:

“Relatórios que afirmam que algo não aconteceu sempre me interessam, porque como sabemos, há os “conhecidos conhecidos”, aquilo que sabemos que conhecemos. Nós também sabemos que há “desconhecidos conhecidos”, no sentido que sabemos que há coisas que não conhecemos. Mas há também os “desconhecidos desconhecidos”, aqueles que não sabemos que desconhecemos.... é essa última categoria que tende a ser a mais complicada”

Não que Rumsfeld tenha criado algo inédito. O poeta persa Ibn Yamin já dizia, no século XIII, que “aquele que não conhece, e não sabe que não conhece, irá viver eternamente perdido na ignorância”. Mas, saindo da segurança nacional e da filosofia e vindo para a segurança da informação, como se defender de algo que nem ao menos conhecemos?

Antes de começar, é importante dizer que segurança da informação, ou TI, não é assim tão diferente de “outras” seguranças. Isso é algo que reforço há muitos anos. Os conceitos, os princípios, são os mesmos. Até hoje me lembro quando expliquei meu trabalho ao meu filho na porta do meu edifício. Há três portas em sequência além de uma portinhola para entrega da pizza, e carros e funcionários possuem um cartão de identificação. O pessoal da segurança fica em uma sala monitorando as câmeras, há sensores no muro, etc. Está tudo lá, nós é que nos esquecemos disso.

O primeiro conceito, primordial, é não confundir ausência de evidência com evidência de ausência. A frase não é minha, mas é perfeita. No fundo, todos nós, além de nossos chefes e chefes de nossos chefes queremos a mesma coisa: que não aconteça nada. Nada é um excelente sinal. Está tudo funcionando, ataques do dia a dia, um ou outro acesso bloqueado, os vírus do momento, e por aí vai. Essa ausência de evidência também nos leva à zona de conforto, à sensação de estar protegido, o que é muito diferente de estar preparado. Mas em nossa área não existe evidência de ausência. Seria segurança total, e isso não existe.

Já que ficaremos sempre na zona de desconforto, o primeiro passo é buscar por informação, ou conhecimento. Alguém estar na ignorância não significa que o mundo inteiro está. Outro pode conhecer coisas que o primeiro desconhece. A isso chamo de inteligência, e felizmente está disponível, mesmo a quem não pode pagar por ela. Há talvez uma dezena de sites abertos patrocinados pelos grandes players do mercado, incluindo o TALOS da Cisco e o X-Force da IBM. Há também os colegas de outras empresas, e recomendo a todos criar algum tipo de fórum ou reunião para discutir abertamente ameaças e soluções. Esqueça a concorrência, isso é para os negócios. Os bancos brasileiros fizeram isso há mais de dez anos, via Febraban, e todos nós agradecemos. E nenhum cliente mudou de banco por conta disso. Só há vantagens.

Em seguida conhecer sua rede, sistemas além de usuários e seus acessos. Podemos nos dar o direito de não saber qual será o próximo ataque em massa, e nem quando, mas somos obrigados a conhecer a fundo nosso ambiente. Sempre me assusta empresas em que o pessoal de segurança não sabe ao certo a topologia ou as interligações de seus sistemas. É mais do que essencial, e há vários produtos que nos ajudam. Sem isso é impossível detectar sinais de intrusão, ou anomalias. Anomalia é uma diferença em relação a um estado conhecido, logo, se não conhecemos o tráfego da rede, ou o perfil de acesso dos usuários à Internet, nada será anormal. É verdade que poderá haver suspeitas, mas o tempo de investigação será sempre maior, as vezes longo demais.

As anomalias ou suspeitas entram na categoria dos “sinais”, indicações que necessitam ser interpretados o mais rápido e corretamente possível. Estou evitando apontar soluções técnicas, produtos, que existem e facilitam todo esse trabalho, porque antes dos produtos vem a iniciativa e o treinamento para fazê-lo. O pior cenário é comprar um produto e esperar por um milagre. O leitor pode estar pensando que sugiro um estado de paranoia. Bem, paranoia é uma palavra um pouco exagerada. Eu diria atenção constante, mas é melhor ser paranoico que deixar um ataque interromper as operações da empresa.

O terceiro e último é estar preparado para quando ocorrer o evento inesperado. O impacto será proporcional ao nível de conforto da equipe de segurança com a ausência de evidência. Essa preparação pode ser traduzida em um plano de resposta a incidentes. Já falamos bastante em outras edições, e aqui vão os pontos principais. Um bom plano deve envolver várias áreas, incluindo marketing e departamento legal. Marketing caso o ataque venha a público, jurídico porque pode envolver vazamentos de dados de clientes ou outros que exponham a empresa a ações na Justiça. As áreas técnicas devem saber exatamente o que fazer, sem recorrer ao botão pânico ou apagar os logs que poderão ser usados pela equipe de forensics se necessário. Construir esse plano requer experiência, normalmente externa, mas é algo se que investe uma só vez, precisando apenas de ajustes ao longo do tempo.

Um fator primordial e muito esquecido são os testes, tal qual os de incêndio. Também já comentei com detalhes em outros artigos aqui na RTI. O que mais gosto é de simular um ataque, algo como um teste de invasão garantido, sem que as equipes saibam o que irá ocorrer em detalhe, requerendo que tenham que acionar o plano e interromper a invasão, como se fosse uma situação real.

Irei comentar mais do assunto em outros artigos, mas resumindo os primeiros passos: saia da área de conforto pois ausência de evidência infelizmente não significa nada. Busque por informação fora, e por conhecimento dentro. Aprenda a interpretar os sinais, principalmente anomalias, e esteja sempre preparado via um plano de resposta a incidentes.

Voando em um computador

(publicado na revista RTI - jan/2018)

O filme é bastante conhecido. Um exército de aliens praticamente indestrutível, com tecnologia militar muito mais avançada, invade o planeta Terra deixando nós, pobres terráqueos, à beira da extinção. Após perder todas as batalhas, os humanos conseguem a vitória definitiva. Como? “Hackeando” primeiro uma nave de ataque, e posteriormente a nave mãe. O final, da vitória da inteligência humana sobre a extraterrestre, no filme Independence Day, empolgou milhões de espectadores, principalmente os patriotas americanos, mas deixou, e ainda deixa, de cabelo em pé todos os profissionais de segurança de TI. Primeiro porque o “vírus” (até porque o personagem tem essa ideia por estar gripado) foi criado em uma só noite. Segundo porque os aliens, apesar de terem um campo de força resistente a uma explosão nuclear, aparentemente não haviam ainda inventado o firewall, ou o anti-virus, ou o anti-malware. Talvez porque os cidadãos do planeta fossem honestos e não saíssem por aí invadindo os computadores alheios, apesar do gosto por destruir planetas.

A mesma sorte, provavelmente, teria a raça humana ao tentar invadir algum planeta. Não porque nossos cidadãos sejam todos honestos. Longe disso. O crime cibernético é uma das maiores fontes de renda ilegal do mundo. O motivo seria mesmo a segurança das espaçonaves, levando-se em conta algumas dificuldades que temos com nossos aviões, como demonstrou um estudo realizado pelo Departamento de Segurança Interna dos Estados Unidos, (Department of Homeland Security, ou DHS), apresentado no congresso 2017 CyberSat Summit. Um especialista do governo americano conseguiu, remotamente, invadir via radio frequência os sistemas do avião, em uma demonstração de que os aviões não são invulneráveis.

Há alguns anos tirei, a bordo de um Airbus, me deparei com a telinha de entretenimento inicializando e mostrando por vários segundos, suficientes para tirar o celular do bolso e sacar uma foto, todas as informações de conexão, como endereço IP da tela e do servidor, entre outros. A ideia era obviamente ajudar o pessoal de manutenção, mas era de uma ingenuidade assustadora, até porque nas cadeiras de alguns modelos de avião há entradas de rede permitindo a conexão de um computador. Há inclusive relatos sobre isso, embora não confirmados.

Ninguém precisa ficar assustado e deixar de viajar de avião por causa disso, pois o nível de risco foi considerado baixo, e, de acordo com as fabricantes, conhecido. Eles também disseram que sistemas dos jatos mais modernos, também mais dependentes de computadores, foram construídos com segurança como prioridade. Temos que dar-lhes o benefício da dúvida, até porque até o momento nenhum evento ocorreu. O grande problema, em minha opinião, baseado em artigo publicado no site Avionics, é a incapacidade dos fabricantes em corrigir eventuais vulnerabilidades nos sistemas de um avião comercial. Primeiro pelo custo em alterar um desses sistemas, por mais simples que seja a correção. Segundo porque paralisar toda uma frota de uma companhia aérea poderia levar as menores à falência. Essas limitações representam um paradigma que não pode ser ignorado, e está levando os desenvolvedores de aviônicos, como são chamados os sistemas a bordo das aeronaves, a desenvolver sistemas específicos de segurança, uma espécie de detector de intrusos específico e especializado.

É importante notar que essa discussão é independente daquela sobre a segurança dos sistemas de controle de tráfego aéreo, ou mesmo dos intrincados sistemas de reserva e gestão de aeroportos e companhias aéreas, mais tradicionais por assim dizer, apesar de proprietários no caso do controle aéreo. Mas mesmo neste caso temos as práticas e padrões para proteção de sistemas industriais e infraestrutura. O cerne da questão é realmente os aviônicos, um “mundo” ainda não abordado. Pode-se dizer até desconhecido. O tema surge justamente no momento em que fabricantes aeronáuticos começam a pesquisar e pensar seriamente em aviões autônomos, sem pilotos, como forma de reduzir o risco de acidentes, e obviamente, o custo do transporte. Hoje, confiamos nos pilotos, mais que nos aviões, para levar-nos de um ponto a outro. Confiar inteiramente no avião será outra história.

Esse desafio não é só da indústria aeronáutica, é importante dizer. Cada vez mais todos os segmentos de negócio estão aumentando sua dependência da automação e comunicação, e não estou aqui apenas falando de carros e caminhões autônomos. Por outro lado, os estrategistas de segurança continuam a confiar no conhecido, e confiando cegamente em procedimentos e tecnologias criados para ataques de dez ou vinte anos atrás. Precisamos nos preparar, e preparar nossos negócios, para lidar com ameaças desconhecidas, e com o inconveniente fato de que em algum momento alguém irá invadir a rede de nossa empresa, usando ataques ou métodos inesperados.

O problema para todos reside em um ponto: custo. Para preparar-se para o desconhecido é necessário primeiro abster-se de produtos e pensar segurança como um todo, em todos os cenários. “Se minha rede de escritório for invadida, o intruso terá acesso à minha rede de operação ?”. Essa é uma das perguntas a se fazer. E porque o problema é custo? Porque a busca por redução de custos reduz o tamanho das equipes, ao mesmo tempo que reduz o orçamento para a contratação de especialistas externos. O resultado que vejo são muitas empresas adquirindo produtos sem saber exatamente o nível de cobertura que tem, ou terão. Nem precisamos ir muito longe para buscar um exemplo. Muitos profissionais responsáveis pela proteção de suas empresas ficaram surpresos por seus firewalls de próxima geração não bloquearem o Wannacry. Eles estavam preparados para o conhecido, não para a nova geração de ransomware apresentada. Agora várias empresas estão se preparando para novas versões dele, porém provavelmente os hackers estão preparando algo novo.

Fica então esse pensamento para 2018: preparar-se para o desconhecido. É possível. Irei aprofundar esse tema em meu próximo artigo aqui na RTI.