Este curto post está no meu backlog há mais de um ano. Resolvi publicá-lo pela importância de reforçar a necessidade de uma abordagem mais moderna, inovadora e criativa dos problemas relacionados à segurança de informação em grandes empresas.
Sabemos que os desafios enfrentados por uma equipe responsável por responder incidentes de segurança em uma organização (pública ou privada) moderna são inúmeros. Os clientes internos de um grupo de resposta a incidentes (CSIRT) incluem - mas não se limitam - às áreas de auditoria, recursos humanos, anti-fraude, segurança patrimonial, inspetoria, jurídico e governança. Isto sem falar dos desafios inerentes à Tecnologia da Informação e proteção dos ativos críticos da empresa.
Múltiplas abordagens e diferentes ferramentas são utilizadas para tentar aumentar a visualização das ameaças reais para diminuir o tempo de resposta e o impacto. Conscientização interna, metodologias de desenvolvimento seguro e de testes de segurança de aplicações, implementação de dispositivos de segurança de rede como firewalls e IDS/IPS, hardening e configuração segura de sistemas operacionais e serviços, correlação de eventos de negócio e segurança com ferramentas SIEM, redução da superfície passível de ataque, proteção de endpoints com anti-vírus, DLPs, NACs, e várias outras siglas que nascerão e desaparecerão com o tempo..
O conceito de segurança em profundidade (defense in depth) há muito mostra as vantagens do modelo de camadas de proteção para redução dos problemas advindos de incidentes de segurança. Outro conceito importante é o de segurança baseada em tempo (TBS) que objetiva identificar um incidente a tempo de minimizar seu impacto dentro de um ambiente.
Porém qualquer um que já trabalhou em um ambiente real que possui todas ou várias destas soluções implementadas conhece o desafio real de se gerenciar tudo isto e de se manter a atenção focada no risco real para o negócio e nos incidentes mais críticos. Primeiro, precisamos considerar que a barreira do "perímetro" já não existe da mesma maneira, isto sem falar da massa imensa de dados a ser analisada, processada e digerida para que decisões adequadas possam ser tomadas tempestivamente.
Muitas empresas mantém grupos de resposta a incidentes (CSIRTs) e analistas responsáveis por monitorar a rede, os registros de ativos de segurança, logs de aplicações, etc.. eles estão fazendo o seu trabalho corretamente, mas sabemos que mesmo empresas grandes e bem organizadas - como o Google - são surpreendidas por ataques com impactos colossais, quando bem orquestrados. Por que isto acontece?
Bem - primeiro por causa da elementar vantagem do atacante versus o defensor no campo cibernético - mas além disto, devido e a necessidade de atenção seletiva que esta situação gera (e isto inclui não só homens/hora, mas valores de investimento / planejamento / etc).
Mesmo quem tem equipes trabalhando adequadamente e olhando 24x7 para as consoles de todas as soluções listadas acima, está sujeito a ser surpreendido por não conseguir tratar o inesperado adequadamente.
Para ilustrar a minha argumentação, faça o teste de atenção seletiva proposto no vídeo abaixo:
Agora imagine que as suas soluções de segurança estejam configuradas adequadamente e que seu time esteja adequadamente as monitorando (as passagens de bola entre os jogadores de camisa branca)...
A implementação do conceito de "consciência situacional" é fundamental para evitar que mesmo monitorando milhões de logs, controlando os múltiplos dispositivos de segurança e respondendo a todos os incidentes conhecidos, algo de alto impacto e de fundamental importância não passe desapercebido pela equipe por não estar previsto pelas ferramentas e procedimentos já implementados.
Tudo isto não serve de nada se a nossa atenção está presa a conceitos fixos e resultados esperados, os maiores problemas serão sempre os que não estão no radar, e por isto a utilização de tecnologias que permitam aumentar a visibilidade e a "consciência situacional" são fundamentais.
Em um post futuro (parte 2/2) abordarei algumas destas tecnologias e de que forma elas podem auxiliar a diminuir a desvantagem do defensor diante dos desafios reais que grandes empresas enfrentam hoje.
Posts Relacionados:
Posts Relacionados:
- http://sseguranca.blogspot.com/2010/01/china-vs-google-e-cia-ou-nao-ha-como.html
- http://sseguranca.blogspot.com/2009/07/risco-vulnerabilidade-ameaca-e-impacto.html
- http://sseguranca.blogspot.com/2009/03/ghostnet-possivel-espionagem.html
- http://sseguranca.blogspot.com/2009/01/conficker-downadup-de-um-erro-de.html
- http://sseguranca.blogspot.com/2009/04/vazamento-de-informacoes-e-dlp-como.html
Belo post Sandro, parabéns !! Ansioso pela 2º parte.
ReplyDeletePost nota 10! Ansioso pela 2º parte, 3ºparte..rsrs,tema interessante, feito de uma maneira peculiar do Sandro, ou seja, com riquíssimo conteúdo.
ReplyDeleteBoa Sandro! Muito bom o post.
ReplyDeleteTambém fico na espera pela 2º parte e pelos posts que estão no seu backlog...
Valeu Sandro! É sempre bom reviver o tema e trazê-lo para atualidade.
ReplyDeletelegal o teste do video.. impressionante..
ReplyDeletemuito bom o blog tb!
LTS
Sandro, parabéns pelo post. Muito interessante.
ReplyDeleteObrigado pelos comentários,
ReplyDeleteA segunda parte da série foi publicada hoje.
Segue o link:
http://sseguranca.blogspot.com/2011/02/atencao-seletiva-e-resposta-incidentes.html
[ ]s!