Você está preparado para o desconhecido?
Imaginem uma empresa, no Brasil, que tenha completado um estudo de riscos abrangente, de negócios e TI, no final do ano passado. É com absoluta certeza que se pode afirmar que não haveria entre os riscos listados uma pandemia como a que vivemos hoje. Mas se isso tiver ocorrido em alguma empresa, não foi absolutamente uma falha. O relatório “Riscos Globais de 2020” do Fórum Econômico Mundial não listou os riscos de pandemia entre os dez com mais possibilidade de ocorrer, e apenas considerou doenças como o décimo risco em termos de impacto, apesar de ter dedicado um capítulo inteiro sobre riscos ao sistema global de saúde. Falhas atuais? Não. Em 2001 a possibilidade de colapso das Torres Gêmeas após choque de um avião não era considerada por ninguém.
O exercício de prever riscos possui uma limitação de origem: imaginamos a partir de nosso conhecimento e de nossas experiências. Sempre foi assim. O poeta persa Ibn Yamin já dizia, no século XIII, que “aquele que não conhece, e não sabe que não conhece, irá viver eternamente perdido na ignorância”. Séculos mais tarde, Donald Rumsfeld, ex-secretário de defesa dos Estados Unidos durante o governo de George W. Bush, disse algo parecido:
“Relatórios que afirmam que algo não aconteceu sempre me interessam, porque como sabemos, há os “conhecidos conhecidos”, aquilo que sabemos que conhecemos. Nós também sabemos que há “desconhecidos conhecidos”, no sentido que sabemos que há coisas que não conhecemos. Mas há também os “desconhecidos desconhecidos”, aqueles que não sabemos que desconhecemos…. é essa última categoria que tende a ser a mais complicada”
Mas, saindo da segurança nacional e da filosofia e vindo para a segurança da informação, como se defender de algo que nem ao menos conhecemos?
O primeiro conceito, primordial, é não confundir ausência de evidência com evidência de ausência. A frase não é minha, mas é perfeita. No fundo, todos nós, além de nossos chefes e chefes de nossos chefes queremos a mesma coisa: que não aconteça nada. Nada é um excelente sinal. Está tudo funcionando, ataques do dia a dia, um ou outro acesso bloqueado, os vírus do momento, e por aí vai. Essa ausência de evidência também nos leva à zona de conforto, à sensação de estar protegido, o que é muito diferente de estar preparado. Mas em nossa área não existe evidência de ausência. Seria segurança total, e isso não existe.
Já que ficaremos sempre na zona de desconforto, o primeiro passo é buscar por informação, ou conhecimento. Alguém estar na ignorância não significa que o mundo inteiro está. Outro pode conhecer coisas que o primeiro desconhece. A isso chamo de inteligência, e felizmente está disponível, mesmo a quem não pode pagar por ela. Há talvez uma dezena de sites de instituições governamentais como o CERT dos Estados Unidos, ou institucionais como o CERT brasileiro, além de sites abertos por líderes de tecnologia em segurança, como TALOS da Cisco. Há também os colegas de outras empresas, e recomendo a todos criar algum tipo de fórum ou reunião para discutir abertamente ameaças e soluções. Esqueça a concorrência, isso é para os negócios. Os bancos brasileiros fizeram isso há mais de dez anos, via Febraban, e todos nós agradecemos. E nenhum cliente mudou de banco por conta disso. Só há vantagens.
Em seguida conhecer sua rede, sistemas além de usuários e seus acessos. Podemos nos dar o direito de não saber qual será o próximo ataque em massa, e nem quando, mas somos obrigados a conhecer a fundo nosso ambiente. Sempre me assusta empresas em que o pessoal de segurança não sabe ao certo a topologia ou as interligações de seus sistemas. É mais do que essencial, e há vários produtos que nos ajudam. Sem isso é impossível detectar sinais de intrusão, ou anomalias. Anomalia é uma diferença em relação a um estado conhecido, logo, se não conhecemos o tráfego da rede, ou o perfil de acesso dos usuários à Internet, nada será anormal. É verdade que poderá haver suspeitas, mas o tempo de investigação será sempre maior, as vezes longo demais.
As anomalias ou suspeitas entram na categoria dos “sinais”, indicações que necessitam ser interpretados o mais rápido e corretamente possível. Mas antes de apontar as soluções técnicas produtos da Cisco que facilitam todo esse trabalho, é preciso ter em emente que mais importante são iniciativa e o treinamento para fazê-lo. O pior cenário é comprar um produto e esperar por um milagre. O leitor pode estar pensando que sugiro um estado de paranoia. Bem, paranoia é uma palavra um pouco exagerada. Eu diria atenção constante, mas é melhor ser paranoico que deixar um ataque interromper as operações da empresa.
O terceiro e último é estar preparado para quando ocorrer o evento inesperado. O impacto será proporcional ao nível de conforto da equipe de segurança com a ausência de evidência. Essa preparação pode ser traduzida em um plano de resposta a incidentes. É um tema que vale um artigo inteiro, e aqui vão os pontos principais. Um bom plano deve envolver várias áreas, incluindo marketing e departamento legal. Marketing caso o ataque venha a público, jurídico porque pode envolver vazamentos de dados de clientes ou outros que exponham a empresa a ações na Justiça. As áreas técnicas devem saber exatamente o que fazer, sem recorrer ao botão pânico ou apagar os logs que poderão ser usados pela equipe de forensics se necessário. Construir esse plano requer experiência, normalmente externa, mas é algo se que investe uma só vez, precisando apenas de ajustes ao longo do tempo. Um fator primordial e muito esquecido são os testes, tal qual os de incêndio em edifícios. O que mais gosto é de simular um ataque, algo como um teste de invasão guiado, sem que as equipes saibam o que irá ocorrer em detalhe, requerendo que tenham que acionar o plano e interromper a invasão, como se fosse uma situação real.
No próximo artigo irei comentar os produtos da Cisco que ajudam na tarefa, mas esses são os primeiros passos: saia da área de conforto pois ausência de evidência infelizmente não significa nada. Busque por informação externa e por conhecimento dentro. Aprenda a interpretar os sinais, principalmente anomalias, e esteja sempre preparado via um plano de resposta a incidentes.
Tags:1 Comentários
Marcelo, esta é uma discussão excelente, e que falta à maioria dos negócios. E parabéns pela exposição isenta. Estou ansioso pela próxima publicação.