O artigo de outubro tratou dos desafios da
segurança da informação em um mundo marcado pela volatilidade,
incerteza, complexidade e ambiguidade (VUCA em inglês). Para quem não
teve a oportunidade de acompanhar o artigo, VUCA é o acrônimo criado
pelo Army War College dos Estados Unidos em 1987 para definir a nova
realidade do mundo e suas ameaças. No artigo de novembro comentei sobre
os desafios da volatilidade e incerteza dos ataques, e nesse artigo irei
tratar da complexidade e ambiguidade.
Apesar de ambos os termos parecerem autoexplicativos, cabe uma
rápida análise sobre o que eles significam dentro do conceito VUCA. Por
complexidade entende-se a existência de múltiplas variáveis, ou “forças
envolvidas”, a confusão de diferentes problemas, nem sempre em uma
cadeia de causa e efeito, além da natural complexidade que envolve a
organização ou empresa. Já a ambiguidade refere- se à falta de clareza
da realidade, ou do que está ocorrendo, o potencial para erros de
interpretação dos eventos e das relações de causa e efeito. Todos esses
significados aplicam-se à segurança da informação, e permitem ainda
algumas extensões.
Segurança é por si só complexa, tanto do lado dos atacantes como
dos defensores. Apesar de falarmos sempre de eliminar a complexidade, o
mais correto seria reduzi-la. Para dizer a verdade, a cada ano a
complexidade aumenta. Há muitos anos o perímetro das redes era o link
com a Internet, e todos os sistemas ficavam por trás dele, protegidos
por um firewall. Com o passar do tempo o perímetro foi desaparecendo, em
um processo que culminou na transferência de sistemas críticos para os
ambientes de nuvem. Também há uma década atrás as equipes de segurança
preocupavam-se apenas com computadores – pessoais e servidores, para
proteger. Há mais ou menos cinco anos surgiu as políticas BYOD para
tratar a multiplicação de dispositivos móveis, incluindo os pessoais,
até chegar na quantidade atual de dispositivos “não-informáticos”, como
sistemas de controle de temperatura e máquinas de venda, entre muitos
outros, conectados à rede. Não há como reduzir toda essa complexidade,
mas não precisamos nos perder em meio a ela.
O outro lado da complexidade vem dos atacantes, os hackers. Costumo
dizer que eles têm todo o tempo do mundo, além de uma montanha de
dinheiro, para desenvolver suas técnicas e programas de invasão. Os
últimos ataques foram realizados com o emprego de múltiplas técnicas,
algumas delas antigas e repaginadas. Não é exagero dizer que um ataque
poderia ser realizado a partir de um drone pousado no jardim, a ser
usado para conectar via wi-fi as câmeras de vigilância para, a partir
delas, acessar e instalar malware nos computadores alvo, e que, no meio
do ataque, algumas delas poderiam lançar um DDoS contra outros
servidores a fim de despistar a equipe de resposta a incidentes.
O meio de reduzir a complexidade é o entendimento, ou conhecimento,
do ambiente de negócios e TI da empresa, e de toda a correlação que
existe entre cada um dos seus componentes. Há relações de causa e efeito
entre sistemas que podem ser mapeadas, e que serão vitais para a rápida
resposta, além de permitir a eliminação de redundâncias e complexidades
desnecessárias. A empresa precisará também de especialistas – próprios
ou terceirizados – que a ajude a compreender a fundo cada pedaço de cada
componente. Alguns desses especialistas estarão fora da área de redes
ou TI, nos departamentos de negócio. Especialistas em ataques avançados
também serão necessários para tratar as ameaças reais e potenciais, e
ainda mais fundamentais na hora de responder ou mitigar um desses
ataques, ajudando a interpretar eventos correlacionados por sistemas de
gerência de ataques ou SIEMs.
Já a ambiguidade é a prima da complexidade. Quanto menos
entendimento, menos clareza quanto ao que está ocorrendo e às próximas
ações a executar. Ou seja, mais ambiguidade. O remédio é portanto,
conhecimento, aliado à experimentação e testes. Como experimentação me
refiro à análise dos impactos de uma nova tecnologia de acesso ou de um
novo negócio na segurança. Em uma situação que a empresa decide migrar
alguns de seus sistemas para um provedor de nuvem, a área de segurança
deveria realizar todas as simulações dos efeitos da mudança na
estratégia de defesa. A análise deverá ir além do óbvio ou aparente,
buscando relações não imediatas. Eventualmente um teste de
vulnerabilidade/risco pode ser executado para identificar cenários
possíveis de ataque. O segundo teste comum é o conhecido teste de
invasão, ou
penetration test em inglês, mas não como a maioria
das empresas o executa. Já há oito anos defendo que os testes de invasão
realizados hoje são quase inócuos, e que a abordagem deveria ser
diferente.
Os testes comuns hoje são os chamados “testes cegos”, em que o
consultor possui o mínimo de conhecimento prévio do seu cliente a fim de
executar a invasão. O primeiro problema é que o consultor terá um tempo
fixo para realizar seu trabalho e nem sempre irá testar todas as
possibilidades. Além disso o teste cego é uma foto no tempo, e nada
garante que no dia seguinte, ao fim das provas, uma nova técnica não
seja desenvolvida.
A abordagem que considero mais correta é confirmar se a empresa
sabe o que fazer se for invadida. Esse método é parecido com uma
simulação de incêndio em um edifício. Não se põe fogo no prédio, mas se
testa alarmes, rotas de fuga, tempo de evacuação do prédio, pontos de
encontro e organização da brigada de incêndio. Em TI significaria uma
invasão controlada, mesmo que para isso fosse plantada uma
vulnerabilidade no servidor, com o objetivo de testar os mecanismos que a
empresa instalou para detecção e prevenção de intrusos. O objetivo
final é testar o plano de resposta. Essas simulações servirão como
treinamento para todos os envolvidos, ajudando a entender o ambiente e
dessa forma reduzir ambiguidades.
Seja qual for o ataque, o tempo e precisão da resposta serão vitais
na redução e contenção dos danos, e esses são proporcionais ao nível de
preparação e treinamento de todos os envolvidos. Deixar isso para o
calor do momento é ajudar a quem menos precisa: o hacker.
Marcelo Bezerra é gerente técnico de segurança para
América Latina da Cisco. Com formação nas áreas de administração e
marketing, Bezerra atua há mais de 15 anos em redes e segurança de
sistemas. E-mail: marcelo.alonso.bezerra@gmail.com.