Os artigos refletem a opinião pessoal do autor, e não de seus empregadores.

quarta-feira, 25 de julho de 2018

O Desconhecido - parte II

No último post comecei a comentar sobre o “desconhecido”, o grande problema da segurança da informação atualmente, na minha opinião, e o despreparo de muitas empresas para lidar com isso. É esse o principal motivo de tantas terem sido afetadas pelo último grande ataque, o Wannacry em maio do ano passado, apesar dos milhões gastos em produtos e serviços. É necessário reconhecer os erros para que eles possam ser corrigidos, e nosso trabalho aperfeiçoado.
A ação das áreas de segurança se inicia sempre pelas vulnerabilidades e ameaças conhecidas, e não há nada errado nisso. Ao fazer isso mais de 90% do problema está resolvido, e é sempre bom lembrar que muitos ataques ainda usam técnicas de vários anos de idade, inacreditavelmente ainda efetivos em invasões. A falha está em parar por aqui, preparar-se tanto em tecnologia como em processos somente para o que está documentado, e cair na típica crença que a ausência de evidência é um sinal de que o risco está baixo, embora o fato do risco estar baixo hoje não significa muita coisa. Passado e presente não são garantias de futuro, como nos alertou Bertrand Russel.
O filósofo, para exemplificar as falhas do método de pensamento indutivo, criou o famoso conto do peru de Natal (ou de Thanksgiving nos Estados Unidos). Indução para a filosofia é a conclusão de uma verdade considerada definitiva a partir de experiências ou da observação do passado. Na estória um peru observa que, chova ou faça sol, calor ou frio, ele é alimentado regularmente. Após meses ele conclui que terá uma vida longa e tranquila, com comida e conforto garantidos, até que chega a véspera do Natal. A moral da história é que nem sempre as experiências passadas nos levam a conclusões corretas, pois nunca temos certeza de que observamos todas as ocorrências possíveis. O mais interessante disso é que muito facilmente ludibriamos a nós mesmos. Só porque adquirimos o conhecimento e os produtos para proteger-nos do Wannacry, e que desde então não fomos afetados por novos ransomware, não significa que estamos seguros contra qualquer outro ataque no futuro. É algo lógico, mas nos deixamos enganar e passamos a acreditar que há uma evidência de ausência de novos riscos.
Há três estratégias para blindar-nos contra as incertezas do futuro, que apesar de poderem ser adotadas isoladamente, se complementam e trabalham melhor em conjunto. Todas são independentes de fabricante ou produto, e é até possível implementá-las com ferramentas de software livre.
A primeira é visibilidade, e o que considero como mínimo, essencial. O conceito é simples. É comum a análise do tráfego de rede em pontos específicos, estratégicos, como o perímetro e a intersecção entre segmentos, sendo esta análise normalmente especializada, como a executada por um firewall ou IPS. A proposta é a extensão desse conceito, tanto horizontal como verticalmente. O primeiro é que todo o tráfego de rede deve ser inspecionado em busca de anomalias em relação a padrões conhecidos, assim como para tráfego suspeito, similar ao comportamento de ataques. Tráfego direcionado à países com os quais a empresa não possui conexões comerciais, sobretudo se normalmente associados a atividade hacker, deve também ser investigado. À primeira vista tal tarefa parece extremamente complexa e fora do alcance de empresas de pequeno e médio porte. Nada mais errado. Esse nível visibilidade se consegue através de informações de tráfego conhecidas por flow, ou netflow, embora esse seja o nome do padrão da Cisco, o criador do protocolo, originalmente para o intuito de gerencia de rede, mas hoje servindo totalmente à segurança. A maior parte dos switches modernos geram informações de flow, que podem ser enviados a sistemas de análise fornecidos por diferentes fabricantes, vários de software livre. Basta uma busca no Google. Se o equipamento de rede não gerar os dados, é possível instalar geradores conectados a ele. Verticalmente porque também firewalls e IPS modernos podem e devem ser utilizados para mapear o tráfego de redes que passa por eles.
A segunda estratégia é contexto, ou análise de contexto do tráfego. Contexto é a correlação de vários dados a respeito do tráfego, os quais irão depender das fontes disponíveis. Uma dessas fontes são sistemas de autenticação ou diretório. Entre os dados que podem ser usados estão: (1) quem está acessando (o usuário mais que o endereço IP), (2) de qual computador (o normalmente usado pelo usuário ou não); (3) de qual sistema operacional (é o que ele possui em seu computador ou não); (4) de qual localidade (dentro ou fora do escritório); (5) quando (dentro do horário de trabalho ou comumente usado) e (6) o que está fazendo na rede (está acessando algum servidor ou serviço fora do seu padrão). Quanto mais dados a se correlacionar, melhor será a análise e a conclusão, elevando ou reduzindo o grau de suspeita. Parece mesmo com o que fazem administradoras de cartão de crédito. Outro ponto importante é que quanto mais fidelidade, mais se pode automatizar o processo, caso algum sistema para tal esteja disponível. Novamente a tecnologia está disponível para qualquer empresa, tanto por soluções comerciais como por livres.
Já a terceira estratégia é inteligência. Inteligência é conhecimento, é primeiro saber o que há em sua rede. Por “rede” considero tudo conectado local ou remotamente: funcionários, equipamentos, dispositivos de infraestrutura como câmeras e controle de ar-condicionado, prestadores de serviços, parceiros, etc e etc. Segundo, o que está ocorrendo em geral na Internet, para se precaver e se preparar antecipadamente. Este é razoavelmente fácil de obter, dado a variedade de provedores, a grande maioria grátis. Já o segundo requer trabalho e interação com outras áreas da empresa. Mas é essencial, e ajuda a definir os padrões de tráfego que por sua vez definirão as anomalias.

Mas, se tantas empresas falham no básico, como esperar que elas tratem com sucesso os ataques ainda não conhecidos? Essa é sem dúvida uma pergunta válida, porém as técnicas descritas aqui ajudam a detectar qualquer ataque, e acabam por levantar o nível de proteção como um todo.