Parte 1:
Parte 2:
Como comentamos no primeiro artigo da série, infelizmente, a maioria das organizaçōes – mesmo as que mais investem em segurança da informação - se limita a simples proteção dos principais ativos e a detecção de ataques já conhecidos e esperados.
O gerenciamento de risco é uma atividade que pretende avaliar o presente e se preparar adequadamente para o futuro. Mais especificamente, a análise de risco operacional e de fator humano são atividades fundamentais para direcionar a decisão executiva de investimentos e o enfrentamento de problemas que envolvem a segurança da informação.
O objetivo do artigo de hoje não é explorar os componentes da equação de risco tradicional. Leia sobre isto em “Risco, Vulnerabilidade, Ameaça e Impacto”. Hoje, vamos falar dos processos de proteção da informação e detecção de incidentes de segurança e discutir sobre a importância da reação adequada a eles. No enfrentamento do risco, o foco costuma estar na correção de vulnerabilidades que foram encontradas e na mitigação dos impactos que já foram previstos. Isto não é suficiente. O foco deve estar nas ameaças.
Um problema comum na geração de métricas e informações durante uma análise de risco é a dependência de checklists, entrevistas e formulários estáticos. Apesar prodzir dashboards impressionantes e apresentações impactantes, esta abordagem não resolverá o problema a que se propôe, e – pior – é capaz de gerar uma falsa sensação de conhecimento e dever cumprido em relação aos riscos a serem enfrentados.
Do ponto de vista tecnológico, testes de invasão (pentests) são úteis para mostrar que os mesmos requisitos que nos fazem competitivos e velozes na atual economia (conectividade, extensibilidade, complexidade), nos fragilizam e podem causar perdas de imagem e financeiras.
Quem já passou por esta experiência, sabe que dois testes de invasão feitos por grupos diferentes de especialistas fornecerão resultados muitas vezes diversos, mostrando a facilidade de exploração de vulnerabilidades reais porém aleatórias dentre as muitas existentes em uma organização. Ou seja, você investirá tempo e dinheiro para corrigir vulnerabilidades existentes, mas exploradas por ameaças fictícias, que podem ou não ser similares aos problemas e explorações reais que atuam em sua organização.
Em outras palavras, saber que alguém pode conseguir “root” em máquinas internas utilizando vulnerabilidades desconhecidas (“0day”) é importante e implementar as contra-medidas necessárias é fundamental. Mas não deixe que esta sensação de vitória o impeça de conhecer as ameaças reais a que você está exposto.
Muitas vezes os bons recursos da área de segurança da informação que trabalham em grandes organizações ficam tão fascinados com as maravilhas técnicas que envolvem o mercado de vulnerabilidades, pentests e exploração de 0days que se esquecem que estão ali para proteger o negócio.
A existência de um processo ou tecnologia de proteção para a última exploração "0day" pode ser menos importante que entender quem são e como atuam os adversários, muitas vezes silenciosos, que roubam informaçōes e recursos da sua organização.
Uma organização moderna precisa ser capaz de responder a incidentes de segurança que tenham sido detectados ou notificados por áreas internas ou externas. E é durante este enfrentamento que o conhecimento sobre as ameaças reais que prejudicam o negócio deve emergir.
Esta situação ocorre de forma acelerada quando impacto de imagem de um incidente de segurança é maior - como depois de uma desfiguração de um site ou quando há um vazamento público de informações internas. Costuma ser mais fácil priorizar ações de contenção e reação nestes casos.
Porém, é necessário perceber que muitas vezes seus adversários reais usam técnicas menos elaboradas, mas que aproveitam as brechas nos procedimentos e a boa-fé (engenharia social) de pessoal interno. Isto sem contar a ameaça constante vinda dos usuários privilegiados, que estão acima das monitorações tradicionais. Estas fontes de ameaça podem gerar impactos instantâneos menores, mas causam um prejuízo contínuo e menos perceptível.
Esta situação é muito prevalente e se manifesta de forma diferenciada dependendo da vertical de atuação da organização (fraude financeira interna, roubo de informações de clientes, vazamento de know-how). O objetivo de nossos adversários podem ser diversos, mas os mais bem sucedidos costumam preferir co-existir com nossas medidas de segurança tradicionais e atuar de forma invisível, causando perdas frequentes e imperceptíveis ou mesmo perdas tão grandes que inviabilizam o próprio negócio.
Para piorar a situação, a maioria das organizações nem chega a investir em mecanismos de detecção adequados. Dentre as poucas que investem, a maioria se limita a aspectos puramente tecnológicos e frequentemente se perde na configuração adequada destes e diante da quantidade de registros a monitorar e da dificuldade de identificar ações indevidas e que ferem as regras de negócio da organização.
Outro fator a considerar é que a complexidade inerente de nossos negócios, a conectividade que nos aproxima de clientes e fornecedores e a extensibilidade das nossas tecnologias - somadas ao aumento da competição entre empresas e governos - resulta em uma crescente superfície de exposição e eleva o "apetite ao risco" nas organizaçōes modernas.
A falta de visibilidade da eficiência (métricas) das medidas de proteção e detecção (como firewalls, IDS/IPS, anti-virus e congêneres) pode ser resultado de decisões estratégicas de implementação que deveriam nos proteger. Um exemplo é o conceito de "segurança em camadas" ou “segurança em profundidade”. Sua utilização é importante, mas facilita a co-existência de tecnologias antiquadas e/ou mal implementadas.
Teoricamente, uma solução deve funcionar caso a outra não atue ou falhe. Assim a responsabilidade pela ineficiência destas iniciativas fica diluída - até que uma "nova solução" de proteção ou detecção seja implementada. Este ciclo vicioso tende a se manter – a não ser que a organização seja capaz de reagir adequadamente, buscando a autoria e a materialidade de evidências que possam vir a ser utilizadas em processos internos ou externos de identificação e punição dos responsáveis.
Mesmo as equipes mais preparadas estão tão preocupadas em monitorar as vulnerabilidades conhecidas que simplesmente não enxergam ou não sabem como reagir quando um incidente inesperado de alto impacto ocorre diante dos seus olhos. Uma situação que lembra a experiência de atenção seletiva presente no vídeo do primeiro artigo da série.
Os esforços de proteção e detecção são importantes, mas é fundamental perceber que nunca conseguiremos prever o que os nossos inimigos, internos ou externos, irão fazer. Infelizmente os nossos adversários sabem o que a maioria das empresas faz para se proteger e estão preparados para explorar isto.
Sabemos que - na maioria das vezes - o fraudador ou cibercriminoso que visa ganhos financeiros é bem sucedido quando coexiste com as medidas de proteção da organização que ataca. Frequentemente, ele se preocupa em voar abaixo do radar de detecção (muitas vezes óbvio) inimigo.
A vantagem do atacante sobre o defensor no domínio cibernético é tão grande que esta situação pode ser comparada a um jogo de xadrez em que seu adversário já sabe suas duas ou três próximas jogadas. Se você se preparar extremamente bem, ganhará de adversários medianos (ataques comuns). Mas nem o Kasparov e Deep Blue juntos são capazes de vencer um adversário que fez seu dever de casa (ataques internos ou de adversários avançados – exemplo: China vs Google).
O crime organizado lucra cada dia mais aproveitando a miopia dos responsáveis pela segurança em diferentes níveis e organizações pelo mundo. O despreparo e incapacidade de reação das empresas e órgãos públicos e a falta de legislação adequada construiram um ambiente perfeito para a proliferação e profissionalização de nossos adversários. A equação “risco-recompensa” favorece o atacante.
Por isto, a organização precisa estar preparada para responder mesmo quando não foi capaz de detectar a ameaça. Este é o caso quando a notificação é externa (judicial, parceiros, mídia), ou interna (serviços de denúnica anônima, RH). Idealmente, os registros de sistemas, sessões de rede relacionadas e resultados de investigações devem ser preservados adequadamente para que uma ação de reação adequada possa buscar a identificação da autoria, materialidade, causa-raiz e demais esclarecimentos necessários.
A regulamentação é importante. Mas sobram exemplos de empresas que passaram por auditorias de compliance com as regulamentações PCI/DSS ou Sarbes Oxley e logo depois sofreram um incidente de segurança que demonstrou a fragilidade de sua postura de segurança no tocante a identificação e preparação para uma persecução criminal adequada.
As ameaças que afetam o negócio da organização precisam ser prontamente identificadas e combatidas. Sem a adequada melhoria na reação ao cibercrime - em todos os níveis (técnico, gerencial, legal, governamental) e em todas as esferas (desde a corporação até a persecução transnacional) – a vantagem, que já é dos nossos adversários, continuará a crescer.
Outro problema a ser considerado é a distância do mindset das àreas internas de Tecnologia da Informação / Segurança da Informação e das áreas de Governança/Auditoria/Risco/Anti-fraude. Este é um inimigo interno muito comum para um enfrentamento adequado das ameaças reais que afetam uma organização.
Além disto, um erro comum cometido por organizações modernas não está na tecnologia, mas na falta de investimento na rastreabilidade e capacidade de comprovação de autoria das ações ilícitas que ocorrem em suas redes.
A importância da aplicação de punições está documentada desde a antiguidade e remonta ao Código de Hamurabi, que foi escrito em 1700 AC. Um adequado investimento na capacidade de rastreabilidade e punição dos responsáveis pode evitar novos ataques por “mandar uma mensagem” que afeta a equação risco-recompensa dos criminosos.
Os dashboards, documentos executivos e apresentações de impacto, relacionados ao risco real a que a organização está exposta, pode ser gerados a partir da fase post-mortem do tratamento de incidentes reais que a empresa enfrenta em seu dia-a-dia. Através de uma reação reação apropriada, podemos aplicar a máxima “Conheça seu inimigo”.
No ano 400 AC, o General chinês Sun Tzu, já sabia disto:
"Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas" (A Arte da Guerra).
Nos próximos artigos, iremos aprofundar a discussão através da apresentação de algumas tecnologias que auxiliam as empresas a manter o foco nas ameaças reais, melhorando a rastreabilidade, auditoria e investigação de ações ocorridas em seus sistemas.
As tecnologias de reação às atividades ilícitas e ao cibercrime que serão apresentadas ser divididem em dois grupos:
1 – Soluções de Consciência Situacional de Registros de Sistemas (1.1) e Rede (1.2);
2 – Soluções de Aquisição e Análise de Evidências Stand Alone (2.1) e Remotas (2.2);
Como características básicas, o primeiro grupo precisa ser capaz de guardar dados que indiquem que uma violação ou crime ocorreram, mesmo quando eles não foram adequadamente detectados pelas soluções tradicionais.
O segundo grupo de soluções precisa primar pela guarda adequada das evidências coletadas, para que estas possam servir de comprovação de autoria e materialidade da prova em um possível caso trabalhista, cível ou penal.
Até o próximo artigo,
Sandro Süffert, CTO
Techbiz Forense Digital