No último post comecei a
comentar sobre o “desconhecido”, o grande problema da segurança da informação
atualmente, na minha opinião, e o despreparo de muitas empresas para lidar com
isso. É esse o principal motivo de tantas terem sido afetadas pelo último
grande ataque, o Wannacry em maio do ano passado, apesar dos milhões gastos em
produtos e serviços. É necessário reconhecer os erros para que eles possam ser
corrigidos, e nosso trabalho aperfeiçoado.
A ação das áreas de segurança se
inicia sempre pelas vulnerabilidades e ameaças conhecidas, e não há nada errado
nisso. Ao fazer isso mais de 90% do problema está resolvido, e é sempre bom
lembrar que muitos ataques ainda usam técnicas de vários anos de idade, inacreditavelmente
ainda efetivos em invasões. A falha está em parar por aqui, preparar-se tanto
em tecnologia como em processos somente para o que está documentado, e cair na
típica crença que a ausência de evidência é um sinal de que o risco está baixo,
embora o fato do risco estar baixo hoje não significa muita coisa. Passado e
presente não são garantias de futuro, como nos alertou Bertrand Russel.
O filósofo, para exemplificar as
falhas do método de pensamento indutivo, criou o famoso conto do peru de Natal
(ou de Thanksgiving nos Estados Unidos). Indução para a filosofia é a conclusão
de uma verdade considerada definitiva a partir de experiências ou da observação
do passado. Na estória um peru observa que, chova ou faça sol, calor ou frio,
ele é alimentado regularmente. Após meses ele conclui que terá uma vida longa e
tranquila, com comida e conforto garantidos, até que chega a véspera do Natal. A
moral da história é que nem sempre as experiências passadas nos levam a
conclusões corretas, pois nunca temos certeza de que observamos todas as
ocorrências possíveis. O mais interessante disso é que muito facilmente
ludibriamos a nós mesmos. Só porque adquirimos o conhecimento e os produtos
para proteger-nos do Wannacry, e que desde então não fomos afetados por novos
ransomware, não significa que estamos seguros contra qualquer outro ataque no
futuro. É algo lógico, mas nos deixamos enganar e passamos a acreditar que há
uma evidência de ausência de novos riscos.
Há três estratégias para blindar-nos
contra as incertezas do futuro, que apesar de poderem ser adotadas
isoladamente, se complementam e trabalham melhor em conjunto. Todas são
independentes de fabricante ou produto, e é até possível implementá-las com
ferramentas de software livre.
A primeira é visibilidade, e o que
considero como mínimo, essencial. O conceito é simples. É comum a análise do
tráfego de rede em pontos específicos, estratégicos, como o perímetro e a
intersecção entre segmentos, sendo esta análise normalmente especializada, como
a executada por um firewall ou IPS. A proposta é a extensão desse conceito,
tanto horizontal como verticalmente. O primeiro é que todo o tráfego de rede
deve ser inspecionado em busca de anomalias em relação a padrões conhecidos,
assim como para tráfego suspeito, similar ao comportamento de ataques. Tráfego
direcionado à países com os quais a empresa não possui conexões comerciais,
sobretudo se normalmente associados a atividade hacker, deve também ser
investigado. À primeira vista tal tarefa parece extremamente complexa e fora do
alcance de empresas de pequeno e médio porte. Nada mais errado. Esse nível
visibilidade se consegue através de informações de tráfego conhecidas por flow,
ou netflow, embora esse seja o nome do padrão da Cisco, o criador do protocolo,
originalmente para o intuito de gerencia de rede, mas hoje servindo totalmente
à segurança. A maior parte dos switches modernos geram informações de flow, que
podem ser enviados a sistemas de análise fornecidos por diferentes fabricantes,
vários de software livre. Basta uma busca no Google. Se o equipamento de rede
não gerar os dados, é possível instalar geradores conectados a ele.
Verticalmente porque também firewalls e IPS modernos podem e devem ser
utilizados para mapear o tráfego de redes que passa por eles.
A segunda estratégia é contexto, ou
análise de contexto do tráfego. Contexto é a correlação de vários dados a
respeito do tráfego, os quais irão depender das fontes disponíveis. Uma dessas
fontes são sistemas de autenticação ou diretório. Entre os dados que podem ser
usados estão: (1) quem está acessando (o usuário mais que o endereço IP), (2)
de qual computador (o normalmente usado pelo usuário ou não); (3) de qual
sistema operacional (é o que ele possui em seu computador ou não); (4) de qual
localidade (dentro ou fora do escritório); (5) quando (dentro do horário de
trabalho ou comumente usado) e (6) o que está fazendo na rede (está acessando
algum servidor ou serviço fora do seu padrão). Quanto mais dados a se
correlacionar, melhor será a análise e a conclusão, elevando ou reduzindo o
grau de suspeita. Parece mesmo com o que fazem administradoras de cartão de
crédito. Outro ponto importante é que quanto mais fidelidade, mais se pode
automatizar o processo, caso algum sistema para tal esteja disponível. Novamente
a tecnologia está disponível para qualquer empresa, tanto por soluções
comerciais como por livres.
Já a terceira estratégia é inteligência.
Inteligência é conhecimento, é primeiro saber o que há em sua rede. Por “rede”
considero tudo conectado local ou remotamente: funcionários, equipamentos,
dispositivos de infraestrutura como câmeras e controle de ar-condicionado,
prestadores de serviços, parceiros, etc e etc. Segundo, o que está ocorrendo em
geral na Internet, para se precaver e se preparar antecipadamente. Este é
razoavelmente fácil de obter, dado a variedade de provedores, a grande maioria
grátis. Já o segundo requer trabalho e interação com outras áreas da empresa. Mas
é essencial, e ajuda a definir os padrões de tráfego que por sua vez definirão
as anomalias.
Mas, se tantas empresas falham no
básico, como esperar que elas tratem com sucesso os ataques ainda não
conhecidos? Essa é sem dúvida uma pergunta válida, porém as técnicas descritas
aqui ajudam a detectar qualquer ataque, e acabam por levantar o nível de
proteção como um todo.
