Segurança em um mundo complexo e ambíguo

Segurança em um mundo complexo e ambíguo

O artigo de outubro tratou dos desafios da segurança da informação em um mundo marcado pela volatilidade, incerteza, complexidade e ambiguidade (VUCA em inglês). Para quem não teve a oportunidade de acompanhar o artigo, VUCA é o acrônimo criado pelo Army War College dos Estados Unidos em 1987 para definir a nova realidade do mundo e suas ameaças. No artigo de novembro comentei sobre os desafios da volatilidade e incerteza dos ataques, e nesse artigo irei tratar da complexidade e ambiguidade.

Apesar de ambos os termos parecerem autoexplicativos, cabe uma rápida análise sobre o que eles significam dentro do conceito VUCA. Por complexidade entende-se a existência de múltiplas variáveis, ou “forças envolvidas”, a confusão de diferentes problemas, nem sempre em uma cadeia de causa e efeito, além da natural complexidade que envolve a organização ou empresa. Já a ambiguidade refere- se à falta de clareza da realidade, ou do que está ocorrendo, o potencial para erros de interpretação dos eventos e das relações de causa e efeito. Todos esses significados aplicam-se à segurança da informação, e permitem ainda algumas extensões.

Segurança é por si só complexa, tanto do lado dos atacantes como dos defensores. Apesar de falarmos sempre de eliminar a complexidade, o mais correto seria reduzi-la. Para dizer a verdade, a cada ano a complexidade aumenta. Há muitos anos o perímetro das redes era o link com a Internet, e todos os sistemas ficavam por trás dele, protegidos por um firewall. Com o passar do tempo o perímetro foi desaparecendo, em um processo que culminou na transferência de sistemas críticos para os ambientes de nuvem. Também há uma década atrás as equipes de segurança preocupavam-se apenas com computadores – pessoais e servidores, para proteger. Há mais ou menos cinco anos surgiu as políticas BYOD para tratar a multiplicação de dispositivos móveis, incluindo os pessoais, até chegar na quantidade atual de dispositivos “não-informáticos”, como sistemas de controle de temperatura e máquinas de venda, entre muitos outros, conectados à rede. Não há como reduzir toda essa complexidade, mas não precisamos nos perder em meio a ela.

O outro lado da complexidade vem dos atacantes, os hackers. Costumo dizer que eles têm todo o tempo do mundo, além de uma montanha de dinheiro, para desenvolver suas técnicas e programas de invasão. Os últimos ataques foram realizados com o emprego de múltiplas técnicas, algumas delas antigas e repaginadas. Não é exagero dizer que um ataque poderia ser realizado a partir de um drone pousado no jardim, a ser usado para conectar via wi-fi as câmeras de vigilância para, a partir delas, acessar e instalar malware nos computadores alvo, e que, no meio do ataque, algumas delas poderiam lançar um DDoS contra outros servidores a fim de despistar a equipe de resposta a incidentes.

O meio de reduzir a complexidade é o entendimento, ou conhecimento, do ambiente de negócios e TI da empresa, e de toda a correlação que existe entre cada um dos seus componentes. Há relações de causa e efeito entre sistemas que podem ser mapeadas, e que serão vitais para a rápida resposta, além de permitir a eliminação de redundâncias e complexidades desnecessárias. A empresa precisará também de especialistas – próprios ou terceirizados – que a ajude a compreender a fundo cada pedaço de cada componente. Alguns desses especialistas estarão fora da área de redes ou TI, nos departamentos de negócio. Especialistas em ataques avançados também serão necessários para tratar as ameaças reais e potenciais, e ainda mais fundamentais na hora de responder ou mitigar um desses ataques, ajudando a interpretar eventos correlacionados por sistemas de gerência de ataques ou SIEMs.

Já a ambiguidade é a prima da complexidade. Quanto menos entendimento, menos clareza quanto ao que está ocorrendo e às próximas ações a executar. Ou seja, mais ambiguidade. O remédio é portanto, conhecimento, aliado à experimentação e testes. Como experimentação me refiro à análise dos impactos de uma nova tecnologia de acesso ou de um novo negócio na segurança. Em uma situação que a empresa decide migrar alguns de seus sistemas para um provedor de nuvem, a área de segurança deveria realizar todas as simulações dos efeitos da mudança na estratégia de defesa. A análise deverá ir além do óbvio ou aparente, buscando relações não imediatas. Eventualmente um teste de vulnerabilidade/risco pode ser executado para identificar cenários possíveis de ataque. O segundo teste comum é o conhecido teste de invasão, ou penetration test em inglês, mas não como a maioria das empresas o executa. Já há oito anos defendo que os testes de invasão realizados hoje são quase inócuos, e que a abordagem deveria ser diferente.

Os testes comuns hoje são os chamados “testes cegos”, em que o consultor possui o mínimo de conhecimento prévio do seu cliente a fim de executar a invasão. O primeiro problema é que o consultor terá um tempo fixo para realizar seu trabalho e nem sempre irá testar todas as possibilidades. Além disso o teste cego é uma foto no tempo, e nada garante que no dia seguinte, ao fim das provas, uma nova técnica não seja desenvolvida.

A abordagem que considero mais correta é confirmar se a empresa sabe o que fazer se for invadida. Esse método é parecido com uma simulação de incêndio em um edifício. Não se põe fogo no prédio, mas se testa alarmes, rotas de fuga, tempo de evacuação do prédio, pontos de encontro e organização da brigada de incêndio. Em TI significaria uma invasão controlada, mesmo que para isso fosse plantada uma vulnerabilidade no servidor, com o objetivo de testar os mecanismos que a empresa instalou para detecção e prevenção de intrusos. O objetivo final é testar o plano de resposta. Essas simulações servirão como treinamento para todos os envolvidos, ajudando a entender o ambiente e dessa forma reduzir ambiguidades.

Seja qual for o ataque, o tempo e precisão da resposta serão vitais na redução e contenção dos danos, e esses são proporcionais ao nível de preparação e treinamento de todos os envolvidos. Deixar isso para o calor do momento é ajudar a quem menos precisa: o hacker.

Essa é uma seleção de conteúdo da Reed Exhibitions Alcantara Machado sobre o mercado. Matéria publicada originalmente em Aranda Net.

Facebook Comments