No último artigo (leia aqui) comentei sobre os desafios da segurança da informação em um mundo marcado pela volatilidade, incerteza, complexidade e ambiguidade (VUCA em inglês). Para quem não teve a oportunidade de acompanhar o artigo, VUCA é acrônimo criado pelo Army War College dos Estados Unidos em 1987 para definir a nova realidade do mundo e suas ameaças. Nesse irei me aprofundar em como planejar a segurança em um cenário de volatilidade e incerteza.
Volatilidade se define como a dinâmica dos eventos, inesperados tanto em sua natureza como em seu alcance. O oposto de volatilidade é a estabilidade, ou a quantidade de eventos e nível de criticidade considerado como padrão, e que a empresa enfrenta na maior parte do ano. Em um ambiente estável espera-se o que irá ocorrer, que é conhecido e, portanto, a resposta está documentada e treinada. No entanto, algo desconhecido e inesperado pode ocorrer a qualquer momento. Dizer que segurança é volátil é reconhecer que não há garantia de estabilidade nos elementos que estão fora do alcance de controle da empresa.
Incerteza é o grau de imprevisibilidade dos eventos. Como os grandes ataques mostraram, as técnicas, vetores e extensão da invasão são somente identificados após o inicio e, em alguns casos, após seu êxito. Em alguns casos as vítimas apenas perceberam que havia uma invasão em curso depois que os sistemas saíram do ar, os dados foram roubados ou o computador ficou inacessível. Os resultados de não saber o que está ocorrendo são a surpresa, não saber como reagir e a sensação de impotência. Volatilidade e Incerteza estão ligados. Um evento pode ocorrer a qualquer momento sem aviso prévio, e não temos como conhecer de antemão seus métodos e consequências.
A estratégia sai um pouco do senso comum de adquirir produtos ou serviços de segurança isolados, contando que eles irão eliminar o risco ou reduzi-lo a níveis aceitáveis. Mesmo um residual de risco de 1% pode tirar uma empresa do ar e afetá-la durante dias. Assim, o primeiro passo é estar preparado. Se não sabemos quando e como um ataque ocorrerá, e nem sua natureza e dimensão, mas concordamos que um ataque bem-sucedido em algum momento poderá e irá ocorrer, o primeiro passo é estar sempre preparado. O contrário infelizmente é impossível.
Estar preparado implica na empresa (não apenas TI) possuir um plano de resposta a incidentes (PRI) que defina as ações das diferentes áreas em uma hipotética invasão e dê ordem e agilidade à reação. O que farão TI, segurança e redes? Como as operações essenciais serão mantidas? O plano deve incluir as áreas de marketing e comunicações para monitorar eventuais repercussões com clientes e da área jurídica para eventuais processos decorrentes da afetação de serviços ou vazamento de dados de clientes. Um bom PRI requer equipes especializadas. Deve também sofre atualizações contínuas para acompanhar mudanças nos negócios e ser testado periodicamente.
Com o PRI a empresa não será pega de surpresa, mas não podemos esquecer que estar preparado não significa saber o que está acontecendo. Ataques são incertos, não dá para adivinhar como eles se desenrolam. Para isso há duas características essenciais que todas as empresas deveriam buscar em seu planejamento de segurança: visibilidade e contexto.
Visibilidade significa simplesmente ver tudo o que está trafegando em rede e acontecendo com suas aplicações. É comum a análise do tráfego de rede em pontos específicos, como os perímetros externos e internos, sendo esta análise executada por um firewall ou IPS. Visibilidade total significa inspecionar todo o tráfego de rede e aplicações em busca de anomalias ou tráfego suspeito, aquele que se comporta similarmente a ataques. Exemplo de tráfego suspeito é aquela direcionado à países com os quais a empresa não possui conexões comerciais, mas há muitos outros. Há soluções hoje disponíveis para todos os tamanhos de empresa, como produtos ou serviços fornecidos desde a nuvem. Devem também estar visível o tráfego de dispositivos de infraestrutura como câmeras e controles de ar-condicionado, dentre outros.
A análise requer contexto, a correlação de vários dados a respeito do tráfego: (1) quem está acessando (o usuário mais que o endereço IP), (2) de qual computador (o normalmente usado pelo usuário ou não); (3) de qual sistema operacional (é o que ele possui em seu computador ou não); (4) de qual localidade (dentro ou fora do escritório); (5) quando (dentro do horário de trabalho ou comumente usado) e (6) o que está fazendo na rede (está acessando algum servidor ou serviço fora do seu padrão). Quanto mais dados correlacionados, melhor e mais confiável a análise.
Notem que ambos, visibilidade e contexto, podem ser usados também na prevenção e detecção de ataques, o que nos leva ao quarto elemento da estratégia: antecipação. Não podemos adivinhar o que irá ocorrer, mas podemos aumentar nosso grau de alerta em resultado de ocorrências internas – detectadas pelos sistemas de visibilidade – e externas. Para este último devemos buscar inteligência em segurança. Inteligência é conhecimento e informação. Saber os ataques que estão ocorrendo no mundo e relacioná-los com a infraestrutura da empresa. Se algo está ocorrendo, mesmo que do outro lado do mundo, certamente chegará até você. Antecipe-se. Esteja preparado.
Também não estamos sozinhos no mundo. Os hackers compartilham informações o tempo todo, porque não nós? Convide pares de empresas de seu segmento e crie fóruns para intercambio permanente. Esqueça concorrência, pois nesse assunto os concorrentes são os hackers. Finalmente, nunca esteja em uma área de conforto. O invasor só precisa acertar uma vez. O defensor precisa acertar em todas.
Veja aqui como a Cisco Secure pode te apoiar.