Seria impossível iniciar um texto
sobre o desconhecido sem citar a famosa frase do ex-secretário de Defesa dos
Estados Unidos, Donald Rumsfeld, no governo de George W. Bush, em tradução
livre:
“Relatórios que afirmam que algo não
aconteceu sempre me interessam, porque como sabemos, há os “conhecidos
conhecidos”, aquilo que sabemos que conhecemos. Nós também sabemos que há
“desconhecidos conhecidos”, no sentido que sabemos que há coisas que não conhecemos.
Mas há também os “desconhecidos desconhecidos”, aqueles que não sabemos que
desconhecemos.... é essa última categoria que tende a ser a mais complicada”
Não que Rumsfeld tenha criado algo
inédito. O poeta persa Ibn Yamin já dizia, no século XIII, que “aquele que não
conhece, e não sabe que não conhece, irá viver eternamente perdido na
ignorância”. Mas, saindo da segurança nacional e da filosofia e vindo para a
segurança da informação, como se defender de algo que nem ao menos conhecemos?
Antes de começar, é importante dizer
que segurança da informação, ou TI, não é assim tão diferente de “outras”
seguranças. Isso é algo que reforço há muitos anos. Os conceitos, os
princípios, são os mesmos. Até hoje me lembro quando expliquei meu trabalho ao
meu filho na porta do meu edifício. Há três portas em sequência além de uma
portinhola para entrega da pizza, e carros e funcionários possuem um cartão de
identificação. O pessoal da segurança fica em uma sala monitorando as câmeras,
há sensores no muro, etc. Está tudo lá, nós é que nos esquecemos disso.
O primeiro conceito, primordial, é
não confundir ausência de evidência com evidência de ausência. A frase não é
minha, mas é perfeita. No fundo, todos nós, além de nossos chefes e chefes de
nossos chefes queremos a mesma coisa: que não aconteça nada. Nada é um
excelente sinal. Está tudo funcionando, ataques do dia a dia, um ou outro
acesso bloqueado, os vírus do momento, e por aí vai. Essa ausência de evidência
também nos leva à zona de conforto, à sensação de estar protegido, o que é
muito diferente de estar preparado. Mas em nossa área não existe evidência de
ausência. Seria segurança total, e isso não existe.
Já que ficaremos sempre na zona de
desconforto, o primeiro passo é buscar por informação, ou conhecimento. Alguém estar
na ignorância não significa que o mundo inteiro está. Outro pode conhecer
coisas que o primeiro desconhece. A isso chamo de inteligência, e felizmente
está disponível, mesmo a quem não pode pagar por ela. Há talvez uma dezena de
sites abertos patrocinados pelos grandes players
do mercado, incluindo o TALOS da Cisco e o X-Force da IBM. Há também os colegas
de outras empresas, e recomendo a todos criar algum tipo de fórum ou reunião
para discutir abertamente ameaças e soluções. Esqueça a concorrência, isso é
para os negócios. Os bancos brasileiros fizeram isso há mais de dez anos, via
Febraban, e todos nós agradecemos. E nenhum cliente mudou de banco por conta
disso. Só há vantagens.
Em seguida conhecer sua rede,
sistemas além de usuários e seus acessos. Podemos nos dar o direito de não
saber qual será o próximo ataque em massa, e nem quando, mas somos obrigados a
conhecer a fundo nosso ambiente. Sempre me assusta empresas em que o pessoal de
segurança não sabe ao certo a topologia ou as interligações de seus sistemas. É
mais do que essencial, e há vários produtos que nos ajudam. Sem isso é
impossível detectar sinais de intrusão, ou anomalias. Anomalia é uma diferença
em relação a um estado conhecido, logo, se não conhecemos o tráfego da rede, ou
o perfil de acesso dos usuários à Internet, nada será anormal. É verdade que
poderá haver suspeitas, mas o tempo de investigação será sempre maior, as vezes
longo demais.
As anomalias ou suspeitas entram na
categoria dos “sinais”, indicações que necessitam ser interpretados o mais
rápido e corretamente possível. Estou evitando apontar soluções técnicas,
produtos, que existem e facilitam todo esse trabalho, porque antes dos produtos
vem a iniciativa e o treinamento para fazê-lo. O pior cenário é comprar um
produto e esperar por um milagre. O leitor pode estar pensando que sugiro um
estado de paranoia. Bem, paranoia é uma palavra um pouco exagerada. Eu diria
atenção constante, mas é melhor ser paranoico que deixar um ataque interromper
as operações da empresa.
O terceiro e último é estar
preparado para quando ocorrer o evento inesperado. O impacto será proporcional
ao nível de conforto da equipe de segurança com a ausência de evidência. Essa
preparação pode ser traduzida em um plano de resposta a incidentes. Já falamos
bastante em outras edições, e aqui vão os pontos principais. Um bom plano deve
envolver várias áreas, incluindo marketing e departamento legal. Marketing caso
o ataque venha a público, jurídico porque pode envolver vazamentos de dados de
clientes ou outros que exponham a empresa a ações na Justiça. As áreas técnicas
devem saber exatamente o que fazer, sem recorrer ao botão pânico ou apagar os logs
que poderão ser usados pela equipe de forensics se necessário. Construir esse
plano requer experiência, normalmente externa, mas é algo se que investe uma só
vez, precisando apenas de ajustes ao longo do tempo.
Um fator primordial e muito
esquecido são os testes, tal qual os de incêndio. Também já comentei com
detalhes em outros artigos aqui na RTI. O que mais gosto é de simular um
ataque, algo como um teste de invasão garantido, sem que as equipes saibam o
que irá ocorrer em detalhe, requerendo que tenham que acionar o plano e
interromper a invasão, como se fosse uma situação real.
Irei comentar mais do assunto em
outros artigos, mas resumindo os primeiros passos: saia da área de conforto
pois ausência de evidência infelizmente não significa nada. Busque por
informação fora, e por conhecimento dentro. Aprenda a interpretar os sinais,
principalmente anomalias, e esteja sempre preparado via um plano de resposta a
incidentes.