[ Update: 28/05/2013 ]
Mais de 4 anos depois de nosso artigo original, vem a confirmação do vazamento de vários projetos militares que causaram um prejuízo bilionário aos Estados Unidos. A China é mais uma vez acusada de ser responsável pelos ataques que possibilitaram o vazamento das informações de projetos de defesa.
A lista de empreiteras militares americanas possivelmente afetadas cresce a cada dia: Boeing, Lockheed Martin, Raytheon, Northrop Grumman.
Abaixo uma tradução livre do texto original do Washington post, citando uma autoridade militar norteamericana:
"Em muitos casos, eles (as empreiteiras militares) não sabem que eles foram invadidos até o FBI bate à sua porta. São bilhões dólares de vantagem de combate para a China. Eles pouparam 25 anos de pesquisa e desenvolvimento. É loucura."
[ Post Original: 23/04/2009 ]
Várias áreas dentro de uma empresa (pública ou privada) se preocupam - ou deveriam se preocupar - direta ou indiretamente com os efeitos de vazamentos de informações: Segurança de Informações, Auditoria, Anti-Fraude, Risco, Recursos Humanos, Governança e Compliance - para citar algumas.
O princípio é simples: evitar que informações estratégicas e/ou valiosas da empresa caiam em mãos erradas, diminuindo a lucratividade e a credibilidade da empresa. Alcançar um controle sobre este processo, porém, é uma tarefa muito difícil.
Se fosse fácil, não veríamos tão frequentemente notícias como a publicadas nesta semana pelo Washington Post: dados sensíveis do projeto do mais moderno jato da força aérea americana de 300 bilhões de dólares - o F-35 Lightning II fighter - foram obtidos por atacantes ainda não identificados (mais aqui e aqui). Segundo os repórteres do Washington Post e Wired, as informações vazadas possibilitam a um adversário se defender melhor do jato e estudar as suas vulnerabilidades.
Virtualmente todas as normas regulatórias de compliance como Sarbanes Oxley, PCI, HIPAA, Basiléia e GLBA exigem que as empresas tenham controle sobre suas informações sensíveis.
Estar compliance com estas regulações é apenas o começo, e obviamente não garante que você esteja imune a problemas de vazamento de informações - conforme a HeartLand aprendeu. O maior vazamento de números de cartões de crédito da história aconteceu em uma empresa que era "PCI Compliant".
Um vazamento de informações no âmbito corporativo pode ser igualmente temível, seja porque informações estratégicas irão voar para as mãos de um competidor, ou informações financeiras de clientes podem estar sendo obtidas por fraudadores - como no caso da HeartLand.
Há um ano atrás, escrevemos sobre o desafio em implementar com sucesso soluções de "Prevenção"/Proteção de Vazamento de Informações (DLP) em ambientes complexos.
O primeiro difícil passo continua sendo a de classificação adequada de informações. [ Em um levantamento feito pelo TCU em 2007, foi identificado que 80% dos órgãos do executivo analisados não fazem nenhuma classificação da informação ]. O cenário infelizmente não é muito diferente nas empresas privadas brasileiras.
Para conseguir iniciar um processo de classificação de informações é necessário conhecer/ classificar e controlar profundamente o estado e as alterações em suas aplicações e dados críticos. O visionário Dan Geer coloca sabiamente [tradução livre]:
- Se você não sabe nada, 'permit-all' é a única opção;
- Se você sabe algo, 'default-permit' é o que você pode/deve fazer;
- Se você sabe tudo, somente aí o 'default-deny' se torna possível.
- saber quais dados são sensíveis; e
- conhecer profundamente o ciclo de vida de todas suas informações sensíveis; e
- controlar e monitorar o acesso, leitura e escrita destas informações durante todo o seu processamento dentro da empresa; e
- desde a geração da informação, considerando todos sistemas que geram input para formar estas informações; e
- também no processamento da informação em todos os sistemas internos e externos, além de workstations clientes envolvidas daí em diante; e
- no momento de descarte desta informação, seja em forma de papel jogado fora (triture!) ou em máquinas antigas (faça wipe!) que estão sendo doadas; e
- na guarda autorizada desta informação em todas os possíveis lugares por onde ela trafega (servidores, banco de dados, intranet, workstations, notebooks, rede, etc..); e
- na maneira com que os colaboradores tratam estas informações (reunião com fornecedores via MSN?, Que tal disponibilizar um arquivo grande via P2P); e
- no momento do desligamento de um colaborador, que informações críticas ele leva junto?;
- na detectção da presença não autorizada desta informação em workstations, pen-drives, impressoras, sites externos, etc (DLP - data at rest) ; e
- na detecção do tráfego não autorizado destas informações em redes não autorizadas ou para a internet (DLP - data in motion); e
- monitorar toda a internet por possíveis informações da sua empresa que possam estar indevidamente disponíveis.
Para abordar este desafio, além da tradicional abordagem de segurança em profundidade, existem três tipos de tecnologia de DLP (Data Loss Prevention/Protection):
- Data at Rest (para identificação das informações de dados gravados - ou apagados - em HDs)
- Data in Motion (para identificação das informações em trânsito internamente e saindo da empresa)
- Data Classification (auxilia a classificação dos dados críticos)
Para mais informações, seguem alguns links de fornecedores de soluções de DLP e similares:
Outra referência é um livro muito interessante que fala sobre sobre o assunto: Network Extrusion Detection do Richard Bejtlich.
Para uma referência de casos de vazamento de informações, um site muito interessante que mantém um histórico é o datalossdb.org.