A frase acima é atribuída ao orador irlandês John Philpot Curran (1750-1817). Está baseada na reflexão sobre a necessidade de se monitorar continuamente os eventos que acontecem na sociedade e entre nações para que sejamos capazes de identificar ameaças pró-ativamente e em suas fases iniciais. Desta forma, eventos que possam levar a instabilidade social, revoluções e perda de direitos estabelecidos, seriam neutralizados.
Tal frase cabe perfeitamente para o estado atual da segurança da informação dentro de uma corporação. Vou explicar ao leitor o porquê, mas por enquanto, preciso fazer um hiato no raciocínio e trazer outro assunto à tona.
Onde está a sua informação e quem pode acessá-la?
Creio que seja do conhecimento de todos que as redes, atualmente, não possuem mais bordas delimitadas. Afinal, com o advento das redes wireless, do “Bring Your Own Device” e da globalização, os usuários não estão mais necessariamente dentro de perímetros protegidos por firewalls, sistemas anti-malware e outras tecnologias.
Eles estão em todo lugar e nem todos os lugares oferecem uma segurança adequada de rede, isto quando oferecem alguma!
Soma-se a isto o advento das redes sociais. Quem não possui uma conta no Fabebook, Google+ ou Linkedin?
Algo errado aqui? Não, claro que não, mas a exposição por muitas vezes é demasiada e o cuidado com as informações postadas é quase sempre precário. Aqueles que buscam invadir uma empresa sabem disto. E eles se aproveitarão deste fato.
Casos como os dos ataques à Sony, Target, Home Depot, JP Morgan e muitos outros são exemplos dos efeitos desastrosos de um ataque cibernético, que por muitas vezes teve início através da infecção de um computador de um colaborador, fora dos perímetros da rede corporativa.
A explicação para isto é fácil, afinal, é muito mais simples para uma pessoa interessada em atacar uma instituição reconhecer um funcionário ou um prestador de serviços, verificar sua rotina, identificar seus gostos e a partir daí infectar seu smarphone, tablet ou notebook usando algum e-mail atraente com um link falso que irá descarregar aquele malware especialmente desenhado para enganar o antivírus instalado. Depois é só ser paciente e esperar o usuário se conectar com a rede interna.
É claro que ainda existem muitos ataques diretos à infraestrutura (negação de serviços, exploração de vulnerabilidades de serviços, entre outros) e é mais óbvio ainda que soluções como firewalls, sistemas de prevenção de intrusos, anti-malwares e outras plataformas de segurança são críticas para a continuidade das organizações, mas elas não são (e é aqui onde quero chegar) as balas de prata que irão manter as empresas seguras de forma automatizada e continua.
Mas por quê?
Por que o preço da segurança é o eterno monitoramento
Voltando ao tema original, agora fica claro que alguns ataques não podem ser prevenidos. Isto hoje é uma verdade aceita mundialmente, mas caso o leitor ainda resista a ela, sugiro que leia a fundo sobre os ataques às empresas que citei anteriormente neste artigo, entenda como os ataques aconteceram e você notará que sempre existirá algum elo fraco na corrente, e que cedo ou tarde ele será explorado.
Mas, se alguns ataques não podem ser prevenidos de forma proativa, o que podemos fazer? Detectá-los rapidamente e mitigar o ataque antes que ele cause maiores danos. É nessa parte que as instituições falham.
Existem diversas tecnologias e processos atualmente que ajudam a área de segurança ou TI (quando a segurança é de responsabilidade da TI) que ajudam a detectar comportamentos anômalos na rede.
Alguns exemplos de sinais que indicam que um ataque avançado (conhecido como APT) está em andamento:
- Um computador da área de RH iniciou uma transmissão de arquivo às duas da manhã, para um servidor localizado na Ásia. Por quê? Sendo que a empresa nem possui contratos com empresas desta região!
- Pico de tráfego na rede wireless destinado às redes internas, basicamente sempre na mesma porta TCP;
- Arquivos cuja análise não é permitida em soluções do tipo “sandbox” são encontrados na rede de forma mais frequente;
- Arquivos que tentam se conectar diretamente com unidades USB (Pen-drive, por exemplo) são localizados;
- Aumento de acessos negados no FW de tráfego originado ou destinado a servidores;
- Conexões VPN realizadas em horários fora do padrão;
Todos os exemplos citados aqui foram encontrados em um ou mais ataques, mas as equipes foram incapazes de relacioná-los com um incidente de segurança.
Por que isto ainda acontece?
O excesso de eventos de rede torna impossível a missão dos administradores de identificar a “agulha no palheiro”. É necessário automatizar a tarefa de análise de logs para uma plataforma adequada.
Um sistema pode identificar uma anomalia de rede, mas por muitas vezes ela não será classificada como um evento de ataque e cabe ao administrador investigar todos os casos. O que ocorre é a descrença na plataforma (ah, esta solução está aqui faz 30 dias e não achamos nada ainda!) e a consequente falta de uso.
Falta mão de obra para trabalhar com respostas a incidente. Muitas vezes, o profissional que faz a resposta a incidentes é o mesmo que atua na implantação de novos serviços, que dá suporte aos usuários, entre outras atividades. Obviamente, a resposta a um incidente irá perder importância.
Ausência de processos na implantação de serviços. Cada vez mais, novos serviços são adicionados à rede e de forma mais ágil e automatizada, mas a segurança, frequentemente, fica para depois. E o depois se torna nunca.
O que fazer para não ser o próximo da lista?
Existem algumas decisões e entendimentos que podem ajudar.
Primeiramente, compreender que segurança é um processo e que este é composto por camadas. Camadas de tecnologia como as citadas anteriormente e camadas humanas, uma não irá funcionar adequadamente sem a outra.
Esses processos exigem monitoramento e revisões constantes, afinal de contas, revisões e melhorias na maneira como se fazem as coisas, deve ser uma parte integrante do dia-a-dia.
Avalie novas soluções de forma constante. No mundo atual, novas ideias e conceitos são apresentados continuamente. Não fique preso a conceitos antigos. Abra sua mente para novas possibilidades.
O usuário é parte chave do processo. Ele deve ser mais do que isso, deve se sentir responsável pela segurança da corporação e como tal, deve ser responsabilizado pelas suas ações.
Monitoramento de tudo. Automação do que pode ser automatizado.
Segurança exige atenção e dedicação.
Dedique-se.
[Crédito da Imagem: Segurança da Informação – ShutterStock]