Recentemente, durante um evento de segurança da informação em São Paulo, foram apresentadas novidades do mercado quanto a ataques às redes IPv6, expondo vulnerabilidades em dispositivos móveis e até um workshop específico para engenharia reversa em malwares do setor financeiro. Nota-se, porém, que apesar da grande maioria das apresentações divulgarem conteúdos avançados e relacionados a ameaças que ainda iremos ver disseminadas em um futuro próximo, a principal preocupação dos participantes continua sendo os problemas atuais.
Tópicos como proteção de perímetro, BYOD (bring your own device – uso de dispositivos pessoais nas redes corporativas), virtualização de segurança e SDN (Software Defined Network ou Rede Definida por Software),assim como proteção rotineira contra ameaças persistentes, continuam sendo prioritárias, refletindo a existência de muita preocupação com temas aparentemente já superados. Na realidade, o problema não está diretamente relacionado à existência de tecnologia para resolver estas questões e sim à falta de uma abordagem mais holística, fruto de uma educação viciada em resolver problemas pontualmente, ao invés de solucioná-los por múltiplos ângulos simultaneamente.
Um exemplo claro deste cenário pode ser observado pelos resultados de pesquisas de segurança, como a publicada pela Verizon em 2014 (Verizon's Data Breach Investigations Report, Mar/2014). O estudo mostra que mais de 35% de todas as ocorrências de vazamento de informações foram obtidas por meio de ataques a vulnerabilidades em aplicações, número que pode ser considerado alto quando lembramos das diversas medidas de segurança já existentes nesse nicho, como ciclo de desenvolvimento seguro, análise de código fonte automatizada, gerenciamento de patches e "soft patchs" utilizando a tecnologia de IPS (Intrusion Prevention System – sistemas que barram a ação de invasores), entre outras. Alinhada a esta visão, temos o relatório do projeto OWASP (Open Web Application Security Project), que informa que mais de 95% de todos os websites já foram alvos de ataques SQL Injection(técnica de ataque a sites conhecida desde 1998) e XSS, assim como a manutenção de 50% das mesmas vulnerabilidades em seu ranking TOP 10 (vulnerabilidades mais comuns encontradas em aplicações Web), desde sua criação em 2003, há mais de 10 anos.
As ameaças mencionadas anteriormente não são novidade para quem trabalha com segurança da informação, bem como diversas outras encontradas diariamente por qualquer SOC (Centro de Operações de Segurança) ao redor do mundo: ataques de negação de serviço (que derrubam sites), ações com malwares direcionados utilizando como meio de replicação de phishings (golpes virtuais) cada vez mais convincentes, tudo isso sobre uma camada de criptografia que dificulta a análise tradicional realizada pelas soluções de segurança.
Uma maneira de minimizar o impacto das velhas e ainda eficientes ameaças, assim como das novas e desconhecidas (mas não por isso necessariamente mais complexas em sua execução), é a análise do ambiente como um todo, considerando soluções que possam afetar o funcionamento dos ataques em múltiplos níveis com diferentes técnicas.
Um dos maiores desafios dos gestores de segurança é a capacidade de prover a visibilidade da informação sob diferentes aspectos (por exemplo, um usuário que foi autorizado a acessar a internet pela regra de firewall, mas tem seu controle restrito com filtragem web e controle de aplicação, além de ataques monitorados com um IPS) tudo isso funcionando de forma integrada. Tal cenário possibilita minimizar erros operacionais e agregar diferentes tecnologias na análise do tráfego de modo simplificado, mas ainda assim efetivo.
Um efeito comum na abordagem de soluções pontuais, que é a manutenção de perfis de proteção no 'default', tornando a solução apenas mais uma caixa cara na rede que futuramente vai ser alvo de preocupação do gestor de segurança pode ser combatido usando esta arquitetura integrada.
Finalmente, apesar dos problemas mencionados, é bom lembrar que nunca é tarde para começar a melhorar sua postura de segurança, efetuando o uso das tecnologias existentes. Desta forma, é possível sair de uma situação de alto risco e, com uma análise do ambiente, customizar as proteções para que sejam efetivas em seu cenário. O resultado final será um ambiente com um nível de proteção alto, garantido pela pesquisa e desenvolvimento das empresas de segurança no decorrer dos vários anos de maturação do mercado e uma visibilidade nunca antes imaginada. A tecnologia existe, basta utilizar.
Michel Barbosa, engenheiro de sistemas da Fortinet Brasil.
