Aqueles que apreciam História Contemporânea e Sociologia, gostam de olhar para as transformações que o mundo sofreu para entender melhor como chegamos até aqui. Uma vez observadas a passagem pela era industrial, a evolução das telecomunicações e o consequente processo de globalização, normalmente a conclusão a que chegamos é consensual: vivemos na era do conhecimento, cujo mecanismo principal é a sociedade da informação. Entre suas diversas características, destaco uma que me chama a atenção: a incrível disponibilidade de informação, sobre o passado e o presente, sendo atualizada em tempo real.
Essa disponibilidade de informação, com tanta velocidade, é o motor da nossa atual estrutura de sociedade mas, paradoxalmente, tem nos atrapalhado na medida em que depreda um dos valores mais cultuados nos processos empresariais: o foco. Com mensagens instantâneas e correio eletrônico chegando a uma taxa superior a que um ser humano consegue processar, o maior desafio de qualquer profissional é conseguir concentrar-se em um objetivo diante da ansiedade em lidar com uma demanda diversa e virtualmente impossível de atender na totalidade. Quem de nós não está atrasado na leitura e resposta de seus e-mails?
Se não conseguimos sequer processar esse volume, imagine o tamanho do desafio de proteger toda essa informação?
O paradigma com o qual muitos dos heads de Segurança da Informação ainda trabalham para proteger seus ambientes é o de IT-Compliance, isto é, de criar um padrão de configuração e atualização dos sistemas de software básico (sistemas operacionais e bancos de dados), perseguir a aderência e implantar uma governança de aceitação de risco para gerenciar as exceções.
Parece familiar? Infelizmente esse modelo é tão familiar quanto obsoleto, pois o volume de vulnerabilidades e não-conformidades está tão grande que inviabiliza a abordagem. O modelo simplesmente não funciona mais enquanto garantia de segurança e, convenhamos, nunca funcionou. Repito aqui um questionamento que fiz uma vez em um painel de debates com outros executivos de segurança:
“Alguém aqui já viu um relatório de vulnerabilidades todo verdinho?”
IT-Compliance é, na minha opinião, um processo comoditizado, que já poderia ser absorvido pela operação de TI, como prática importante de administração do ambiente, tão básico quanto fazer backup. Surge então a pergunta: Onde a Segurança da Informação pode agregar valor? Como a Segurança pode ajudar uma grande empresa a proteger-se contra transgressores internos e externos, intencionais ou não, com tamanho volume de informação e de ativos?
Se fizermos um exercício de, como dizem os executivos por aí, “sair da caixa”, e olharmos o mundo para fora dos nossos data centers, vamos encontrar um modelo organizacional que lida exatamente com esse problema há muitos séculos: o modelo militar.
Os militares sempre trabalham com a missão de proteger áreas muito maiores do que seus recursos são capazes de cobrir. Pense na segunda guerra mundial, onde todo o oceano atlântico constituía um gigantesco campo de batalha, juntamente com quase toda a extensão territorial da Europa. Não havia, e provavelmente nunca haverá, poderio militar suficientemente grande para proteger cada vulnerabilidade territorial em toda essa área. Neste tipo de cenário torna-se totalmente crítico para o sucesso, saber exatamente onde alocar suas forças para enfrentar o inimigo com superioridade tática em cada batalha, de modo a obter superioridade estratégica na guerra. A maneira de obter esse saber, foi batizada de Inteligência e é isso que é utilizado para se decidir onde alocar os recursos de batalha de modo a obter vantagem estratégica e vencer a guerra.
O leitor deve estar concluindo junto comigo, que o mesmíssimo paradigma se aplica à Segurança da Informação, onde o volume de ativos da informação é grande demais para que possamos cobrir todas as vulnerabilidades. O que proponho aqui, é que utilizemos um processo de Inteligência de Segurança da Informação, para poder sempre saber onde os invasores pretendem atacar intencionalmente ou tendem a atacar involuntariamente, de dentro ou de fora da nossa rede. Esse saber virá, sem dúvida nenhuma, da coleta de informações, correlação de dados, análise comportamental da rede e monitoramento dos atacantes externos.
Segurança da Informação não é mais prevenção contra todos os cenários, mas sim vigilância, para entender o cenário atual e nos prevenirmos contra o próximo estado das coisas, que pode se mostrar desfavorável estrategicamente para a defesa e, portanto, favorável ao atacante. Entender esse cenário é o que a teoria militar chama de consciência situacional.
Em Segurança da Informação, a consciência situacional passa necessariamente por responder perguntas como:
- Quais vulnerabilidades meus usuários podem estar explorando para vazar informações?
- Que controles de segurança podem estar sendo negligenciados pelos meus usuários para facilitar suas rotinas de trabalho?
- Que informações na minha rede interessariam a um concorrente e como um invasor poderia obtê-las?
- Há algum grupo externo planejando um ataque à minha rede? Por quais pontos pretendem entrar no perímetro?
- O que uma rotina de reconhecimento de fraquezas vindas de fora pode entregar de informações a um atacante?
- Existe algum comportamento ocorrendo na rede que desvie da média histórica, indicando uma atividade atípica?
- Existe algum agente invasor em minha rede?
Temos um bom nível de Consciência Situacional em Segurança da Informação quando sabemos onde estão os inimigos e quais seus próximos passos, ou seja, se estamos sob ataque, se a rede já está comprometida e onde, quais os pontos prestes a serem atacados interna e externamente, em ataque direcionados ou dispersos, para iniciar uma campanha ou para escalar um privilégio.
O caminho para obter esse nível de consciência situacional é deixarmos as ferramentas de defesa para a T.I. e nos concentramos nas ferramentas de monitoramento e vigilância como SIEM, Anti-APT, DLP, Big Data, etc. Segurança da Informação não precisa mais de gente operacional; precisa mesmo é de equipes de inteligência e monitoramento que consigam fazer com a rede, o que o Business Intelligence faz com o mercado.
Uma vez obtidas as informações de Inteligência de Segurança, o modelo proposto pela teoria militar é o chamado ciclo OODA. Ele propõe um processo cíclico de monitoramento e reação em quatro fases:
Observar: consiste em monitorar todos os aspectos da rede e dos usuários a fim de obter Consciência Situacional em Segurança da Informação. Utiliza as ferramentas citadas a cima e deve ser conduzida por uma área especializada em inteligência e cruzamento de dados, dentro da área de Segurança da Informação.
Orientar: consiste em comunicar cada área responsável pelas tecnologias ou ambientes que estão sob ataque ou na iminência de serem atacados, com sugestões de defesa através das ferramentas de proteção como Endpoit Protection, IPS, FIrewall, AntiSPAM, Proxy, etc. É também responsabilidade da área de Inteligência de Segurança.
Decidir: consiste em escolher a abordagem de defesa e prevenção mais adequada ao cenário de ataque desenhado pela área de inteligência. Cabe à área de T.I., responsável pela tecnologia ameaçada, em conjunto com o time de resposta a incidentes de segurança, que faz parte da Segurança da Informação. O time de resposta a incidentes deve manter o controle de todas as ações de defesa e cuidar da comunicação com o nível executivo da empresa.
Agir: consiste em aplicar todas as defesas preventivas e reativas ao ataque iminente ou em curso bem como reportar à área de resposta a incidentes de segurança o status das ações. Cabe às área de T.I. responsáveis pelas tecnologias ameaçadas.
Resta uma última reflexão sobre esse modelo: Qual o tempo desse ciclo? Em ambiente militar, esse tempo gira em torno de um dia. Com a velocidade com que o cenário muda em um ambiente tecnológico complexo, me parece razoável assumir que qualquer tempo acima de uma hora comprometerá as ações de defesa e, portanto toda a proteção da informação.
É guerra! Se não for assim, vamos continuar assistindo hackers adolescentes, com um mero Havij na mão, suplantar milhões de dólares em infraestrutura de segurança, bem debaixo de nossos narizes.
Um abraço e até o próximo post!
Publicado originalmente em Blog Ticiano Benetti