DevSecOps

4 jan, 2016

Hora de falar sobre segurança

Publicidade

Falar de segurança de sistemas de informação sempre foi meio tabu. Poucas empresas falam e compartilham informações sobre práticas, com medo de expor suas próprias deficiências. Ainda é comum a prática de “segurança por obscuridade” (ou security by obscurity, em inglês). Porém, isso parece estar mudando.

No último ano, ficaram famosos alguns casos de invasão de sistemas de grandes empresas, como Sony Pictures Entertainment e Ashley Madison. Esses dois casos são interessantes de forma bastante particular, porque eles ilustram um ataque mais tradicional, e outro inovador de uma forma um pouco assustadora para a comunidade de segurança internacional. Ambas as empresas falaram publicamente sobre o assunto, e compartilharam diferentes níveis de detalhe sobre os ataques.

Ashley Madison é uma plataforma para casos amorosos. O inusitado sobre essa plataforma é que o público-alvo são pessoas que queriam manter encontros casuais ou ter relacionamentos paralelos ao seu casamento ou relacionamento estável. Portanto, discrição está no topo das prioridades. Em julho deste ano, um grupo invadiu os sistemas da empresa e ameaçou publicar dados detalhados de todos os usuários da empresa, caso o website não fosse retirado do ar. Não foi, e o resultado foi a publicação de dados de quase 40 milhões de pessoas que usavam a plataforma.

Eu chamo esse ataque de tradicional porque aparentemente é motivado por discordância ideológica do que a empresa faz: uma plataforma para facilitar traições. No entanto, a plataforma ainda está no ar, as pessoas ainda estão usando, mas os dados foram roubados e o constrangimento público de milhares de pessoas aconteceu.

O caso da Sony Pictures é diferente não pela motivação, mas pela proporção das ações tomadas pelos invasores.

Indícios apontam que o propósito do ataque era impedir a Sony de lançar um filme no mercado, uma comédia que fazia piada com o líder da Coreia do Norte. Além de publicar dados pessoais de funcionários da empresa, os responsáveis pelo ataque instalaram software capaz de apagar todos os dados de milhares de computadores da empresa. E foram além do mundo virtual, ameaçando inclusive os cinemas que ousassem em mostrar o filme.

De uma hora para outra, os invasores fizeram com que milhares de computadores e servidores da Sony se tornassem inutilizáveis. Um impacto imenso nas operações da empresa. E também um trabalho quase que inimaginável de recuperar sistemas a partir do zero de um ponto de vista de engenharia.

Esse ataque é inusitado porque pela primeira vez, em grande escala, invasores não só roubaram dados, mas causaram uma grande destruição e interrupção das operações da empresa pelo período de tempo que a levou a recuperar seus sistemas.

Compartilhar informações sobre detalhes desses casos é importante para guiar uma reflexão e autocrítica do quão preparados os sistemas das nossas empresas estão, onde estamos investindo em matéria de segurança, e o impacto desses investimentos e mecanismos de segurança na cultura de cada empresa. Como aqui se fala de prevenção, é difícil falar em uma solução, porque o conceito do que é suficiente muda conforme a opinião do gestor sobre o assunto e também o orçamento disponível em cada empresa.

Nos dois casos citados, existem questões que pedem reflexão. Uma delas é a questão de equilíbrio no investimento, ou o famoso custo-benefício. Outra é o impacto de mecanismo de segurança na cultura das empresas. E também importante, especialmente tendo em mente o cenário da Sony, é pensar sobre “recuperabilidade” de sistemas de informação.

Em matéria de custo-benefício, acredito que começar com boas práticas operacionais levam a um sistema mais limpo. Isso não tornará os sistemas naturalmente mais seguros, mas certamente facilitará a criação de mecanismos de segurança e também recuperação de sistemas em caso de falhas, sejam elas causadas por problemas de segurança ou não. Computadores que são gerenciados centralmente, seja por uso de sistemas de distribuição de configuração ou gerenciamento de atualizações, tornam mais fácil a identificação de comportamento inesperado de sistemas.

Criação e teste de backups fazem com que a recuperação de dados seja testada. Todas essas práticas, que são por natureza mais operacionais, também colaboram para que o sistema como um todo seja mais previsível, e previsibilidade também pode significar uma melhor visibilidade sobre possíveis problemas de segurança.

Em termos de cultura, também é necessária atenção ao impacto. O atalho mais fácil é instaurar a cultura do “não pode”. E isso certamente tem um impacto relevante no sentimento de responsabilidade de cada um dos funcionários com relação à empresa como um todo. A cultura do “não pode” também pode afetar a velocidade de desenvolvimento e mudanças na infraestrutura da empresa, tornando-a mais lenta. Se enfrentado como um desafio de engenharia, a adoção de mecanismos de segurança pode ser feita sem criar impacto negativo na cultura da empresa.

Desafios de segurança no mundo digital estão se popularizando, porque o mundo dos negócios está cada vez mais migrando do mundo físico para o virtual, e os negócios, mesmo que sejam quase totalmente offline, fazem uso e, em grande parte, dependem de sistemas digitais.

Você já pensou em implementar mecanismos para evitar um vazamento de dados estilo Ashley Madison? Ou por onde começaria uma restauração da sua infra em caso de destruição de dados estilo Sony Pictures Entertainment?

Independentemente do grau de investimento financeiro que sua empresa está disposta a fazer, uma boa pedida seria começar com um brainstorm e uma lista de tarefas começando pelo básico de operabilidade dos sistemas, por backups e, quem sabe, discutindo sistema de detecção de invasões e níveis de acesso a dados de clientes. Pensar sobre segurança no mundo digital, assim como no ambiente físico, não é mais opcional. E falar sobre o assunto felizmente está se tornando a prática.