Wagner Elias - Think Security First

A cada dia me pergunto de quem é a culpa das ameaças e porque os ataques aumentam em números assustadores todos os anos. Ainda não consegui apontar um culpado nessa história mas já sei que não vai diminuir tão cedo.Os usuários sequer cairam em si que um e-mail é um envelope aberto na grande rede, e que seus dados podem facilmente serem interceptados e a indústria segue “construindo” novas caracteristicas baseadas em tecnologias inseguras. Se o e-mail é um problema o que podemos falar da dita convergência? Não sou contra a convergência, mas, gostaria que ela acontecesse baseada em coisas sólidas e bem planejadas, o que está acontecendo é que o número de implementações aumentam muito e os profissionais de security vão atrás remendando. Pouca gente sabe a brecha que o Skype abre em sua rede, não estou falando na possibilidade de as conversas serem interceptadas, porque essa todo mundo sabe, as ferramentas e artigos do tipo “how to” pipocam na internet, falo de vulnerabilidades sérias na sua infra-estrutura de rede e controle de acesso. As pessoas ainda não identificaram o risco do Skype em sí e a indústria já solta um aparelho wireless para skype. Imaginou? O skype inseguro junto com o wireless que apesar das mudanças de protocolos, algoritimos de criptografia e tudo, o sistema ainda é mal implementado. E os sistema de CFTV (Circuíto Fechado de Televisão) que já eram mal planejados e não acrescentavam muito em modo analógico agora estão convergindo para IP. Que ótimo então aquele ladrão pé de chinelo acessa suas câmeras e faz o que quer com elas. Quero meu atari e todas minhas velharias de volta.

Final de semana segurança física era o foco de minhas indagações, estudos...

Agradecer o Fernando Fonseca da Microsoft que vêm fazendo um trabalho importante na área de security da microsoft, iniciado pelo amigo Sergio Dias que voltou para Recife.

No CSO Meeting o Fernando fez contato com o Gilberto C. Padilha Donadio da Aceco TI que acrescentou muito ao nossos estudos e a apresentação que o Victor Bonomi havia feito.

Agradecer a todos e desejar boa sorte para o amigo Anchises que dentro de algum dias vai ser CISSP...

Deem uma passada no blog do Anchises, materiais bem interessante.
http://anchisesbr.blogspot.com/

Mais rápido que Bruce Schneier que após anos lançou um livro desmistificando o que ele havia falado sobre criptografia em um livro anos antes, eu após ler o artigo do Augusto na Security Review sobre vazamento de informações decidi comentar um post anterior.Quando falo em bloqueios falo somente em bloqueios sem métricas, baseado simplesmente em ferramentas, sem objetivos claros, consequentemente sem o retorno esperado. No post o foco principal foi o vazamento de informações e desperdicio de recursos com estratégias furadas, sem foco.Todo mundo sabe que o vazamento de informação se inibe com classificação da informação, treinamento, as ferramentas como quase sempre servem somente de apoio a estratégia de controle de informações.Recomendo uma leitura não só no artigo sobre vazamento da informação como em todos os outros escritos pelo Augusto.Augusto Paes de Barros
http://www.paesdebarros.com.br

Fui convidado para dar uma palestra na Faculdade Impacta.

Aos interessados:

Tema: Segurança da Informação. Como diminuir os riscos frente as ameaças da era digital.
Link: http://www.impacta.com.br/eventos/eve_eventos.asp
Data: 01/10/2005

Já faz tempo que segurança vêm ganhando espaço, sendo comentada e cobrada por diversos órgãos e setores mas, será que estamos no caminho certo? Estamos tratando segurança como ela deve ser tratada?Com diversos atentados contra a segurança das informações das empresas e ganhando a mídia regulamentações como Sarbanes Oxley, cobrando medidas para a gestão da segurança nas empresas, o mercado de segurança está aquecido.  Empresas investem alto em projetos de segurança, BS 7799, NBR ISO/IEC 17799, Análise de risco, BCP (Business Continuity Plan) entre outros, são tema de discussões constantes entre os executivos. Os profissionais precisam estar cada vez mais capacitados e preocupados com a conscientização, educação e treinamento dos ativos pessoas envolvidos nos negócios. Profissionais de segurança que estejam à volta puramente com segurança lógica, networking, firewall, antivírus, continuarão tendo seu espaço nas empresas, serão parte de um processo de gestão de segurança, apenas parte. Esses profissionais sozinhos não serão capazes de mitigar os riscos que atormentam as empresas. Ainda é difícil vender projetos que não sejam de infra-estrutura ou adequação a normas, quantas empresas têm investido no ciclo da segurança, o após implementação, os conceitos do PDCA (Plan – Do – Check – Act)? Segurança depende de um acompanhamento de indicadores, métricas para a gestão da segurança, um trabalho contínuo de acompanhamento e conscientização, mas geralmente as empresas investem apenas no planejamento e implementação, achando alto e desnecessário o custo com a gestão da segurança. O mercado têm que deixar de investir somente em soluções complexas de software e hardware e caminhar para soluções completas de segurança, planejamento, implementação, acompanhamento e atualizações constantes, o ciclo de segurança têm que ser um habito nas empresas, não um ato isolado.

Espiões, Jovens programadores, pesquisadores financiados por empresas fabricantes de antivírus, manifestantes, de onde vêm à infinidade de códigos maliciosos que batem em nossas portas todos os dias?

Cada dia causando mais danos e exigindo mais expertise dos usuários e administradores de ambiente. Esse mundo ainda têm muito a ser explorado, muitas coisas ainda continuam sem resposta.

O que é um Spyware? O que é um Malware? O que é um Trojan? O que é um Worm? Existem milhares de definições, qual é a correta ninguém sabe dizer. Sempre confiamos na fonte mais antiga e confiável, mais quem garante que ela é a correta? Ninguém.

O mais correto no meu ponto de vista é ter a simples definição “Código maliciosos”. Simples? O que é um código malicioso? É algo que me causa dano. Mas o que causa dano a você nem sempre vai causar dano a outras pessoas, hum... Entramos na mesma confusão das classificações anteriores.

Enquanto isso continuamos usando aquele arsenal de ferramentas, AntiSpyware, Antivírus, Personal Firewall e os mais avançadinhos ainda podem usar outras artimanhas como um TripWire analisando seus arquivos.

A verdade é que mesmo com tudo isso ainda não podemos fechar os olhos, as ameaças vão continuar e nenhuma ferramenta é 100% eficiente.

Vocês já experimentaram instalar vários antivírus? Cada antivírus que você instala encontra um vírus diferente e quando você formata a maquina e instala o antivírus e ele já encontra um vírus. Mesmo com o antivírus desatualizado e sem qualquer contato com a Internet. Será que isso é realmente certo?

E quando você baixa aquele AntiSpyware e ele varre a sua maquina e encontra inúmeras pragas, ele apaga 99% mas sempre sobram aquelas que você precisa da versão “PRO” que é paga. Será que isso é realmente certo?

Vocês já pensaram na quantidade de logs que temos para analisar nos ambientes e não analisamos? Firewall, ERP, Banco de dados, Sistemas Operacionais, entre outros, conheço profissionais extremamente competentes que sabem o que fazer com todos esses logs, agora também sou obrigado a dizer que a maioria não têm a menor idéia do que fazer com eles.Troubleshooting? Acompanhar anormalidades e identificar possíveis ameaças? Pois é muita gente não consegue responder essas perguntas, ou simplesmente respondem com um: eu não faço nada, deixo lá pra quando precisar; eu desabilito tudo (sábia resposta quando não se têm skill para analisar os mesmos).Se ainda não amadurecemos essa questão com os logs que temos hoje, porque procuramos incessantemente novas ferramentas para gerar mais log, IDS, IPS, Honeypot, XPTO, XPTE, x sei lá o que. Novamente, muitos profissionais conseguem atingir bons resultados com IDS, IPS, Honeypot (pesquisa), mas esses profissionais são exatamente os mesmos que citei no inicio do texto, sabem o que fazer com os logs do firewall, das aplicações, sistemas operacionais, têm procedimentos claros para o tratamento dos mesmos. Esses profissionais já estão procurando ferramentas para correlacionarem os dados, diminuindo esforço, quantidade de trabalho manual aumentando a eficiência na analise e não eliminando a necessidade do bom profissional. Então eu acho que os profissionais precisam investir no aprendizado de boas práticas para gestão do mesmo, antes de sair atrás de IDS, ou outras ferramentas para gerar mais logs. O mais interessante é que a maioria dessas ferramentas têm como principal objetivo gerar logs, informações para que você analise e ai sim faça planos de ação para corrigir, ajustar. Adotem o protocolo NSD (Não Sabe Deixa) enquanto não possuírem tal habilidade, preocupe-se em fazer um hardening em seus sistemas operacionais, configurar seus firewalls (duvido que consigam sem uma boa analise nos logs gerados).

Cansado de ouvir sobre controle de conteúdo, bloqueio de e-mail, bloqueio de Instant Messenger (MSN, ICQ, etc...), resolvi viajar um pouco por aqui, eu falei que ia falar um monte de besteiras, mas quem quiser ler, boa sorte... Os argumentos para bloquear tudo isso são pifeis, atrapalha a produtividade, usuários deixam vazar informações da empresa, e um monte de abobrinha que todo mundo está cansado de ouvir.Amigo, segurança está no todo e não em atitudes isoladas, se gasta dinheiro e tempo implementando e gerenciando essas ferramentas e os problemas continuam, vazamento de informação, falta de produtividade, etc...Mas aqui na empresa bloquearam tudo e a produtividade aumentou, os índices de infecções por códigos maliciosos diminuirão e todo mundo (da área de ti) está contente. Gente vocês conseguiriam isso e muito mais, com gestão de conhecimento, conscientização dos usuários, gestão de patchs, hot fixes e antivírus, sem invadir, sem coibir os usuários. Os usuários improdutivos continuam improdutivos e perigosos, eles deixaram de bater papo no MSN e agora ficam no telefone, vão ao banheiro 50 vezes ao dia, tomam a garrafa toda de café, ficam utilizando aquele proxy que ainda não foi barrado pela área de TI e que sabe-se lá a procedência e aquele executivo que fica com o laptop aberto e falando tudo pelo celular em um lugar comum como aeroportos. Bloqueios não resolvem, o que resolve é gestão das atividades, se alguém está fazendo algo improdutivo é porque não deram o que fazer a ele ou não estão cobrando o que ele tem pra fazer. Crie métrica de controle de produtividade, metas e não proíba quem sabe utilizar os meios que a empresa lhe oferece. Chega de revolta...rs...esses são meus pontos de atenção aos gestores e profissionais de segurança como eu.