O ciberataque sofrido há poucos anos por uma grande varejista nos Estados Unidos alertou toda comunidade de segurança mundial para a natureza complexa do crime virtual perpetrado por intermédio de terceiros. Certo, há muito se sabe que prestadores externos de serviços representam um risco adicional – sejam os terceiros os próprios atacantes, coniventes ou apenas outra vítima. E tanto faz se eles trabalham fisicamente nas suas instalações ou remotamente. Mas o que chamou a atenção no caso específico foi o nível de sofisticação dos atacantes, o que faz com que qualquer terceirizado, por menor que seja o seu aparente risco, seja considerado uma porta de entrada que pode levar a uma verdadeira tragédia corporativa. O caso ensinou que todo terceiro importa; não é porque um terceirizado é responsável “apenas pela manutenção de um sistema de ar condicionado” (como era o caso do varejista) que seu risco é negligenciável.
Assim, a gestão de riscos de prestadores de serviços deve ser item de especial atenção. Avaliar e conhecer os riscos é vital; assim como mitigá-los adequadamente.
Sistemas de controle de acesso baseados no princípio de “mínimo acesso necessário” devem ser amplamente usados. Exemplos são os mecanismos de Gerenciamento de Identidades e de Controle de Acesso – podendo inclusive utilizar múltiplos fatores de autenticação (biometria, tokens etc). Rastreabilidade e não-repúdio são elementos adicionais que devem ser usados para assegurar que os terceiros utilizem os sistemas e suas prerrogativas de acesso de forma devida, apenas para atender aos objetivos do negócio, e apenas durante o prazo contratual. Controles devem existir para assegurar que os acessos dos terceiros sejam revogados tão logo o contrato esteja fora de vigência.
Mas é preciso ir além. Atualmente, a sofisticação dos criminosos e suas ferramentas de ataque demandam novos mecanismos de defesa. Malwares e Ramsonware podem ser infiltrados no ambiente de tecnologia corporativo por terceiros desatentos ou corrompidos e facilmente deslocar-se lateralmente por trás dos mecanismos tradicionais de segurança perimetral, buscando alvos de alto valor, como bases de dados com informações sensíveis. Trabalhar com Escopo de Confiança Reduzido (Reduced Scope of Trust ou RSOT), segundo o Gartner, é a melhor alternativa para fazer frente aos desafios trazidos por redes corporativas atuais que são acessadas por terceiros, dentro ou fora das instalações da organização.
Já temos alternativas no mercado que permitem reduzir escopo ou círculos de confiança como proposto, ou seja, com o uso intrínseco de criptografia em uma camada de abstração sobre a infraestrutura existente. Uma dessas alternativas usa técnicas de microssegmentação definidas por software. Cria redes (seguras) definidas por software, com custo de implementação baixo e que abstrai a infraestrutura subjacente – podendo, portanto, aproveitar todo o investimento já realizado em hardware e software de rede. Por não ser uma solução que requer transformação na rede atual, pode ser implementada de modo paulatino – identifica-se um caso de uso prioritário com um conjunto inicial de usuários ou sistemas e pode-se crescer ao longo do tempo.
Outra vantagem é o baixo custo operacional, pois sendo definidos por software, os círculos de confiança microssegmentam sistemas e podem isolar os terceiros de modo simples, com agilidade para reconfigurá-los. Terceiros são autorizados por meio de sua identidade, em função do mínimo que precisam saber, limitando a quem de direito o acesso de modo seguro e onde quer que eles estejam (no local ou remotamente), sem lidar com endereçamentos, regras de firewalls ou VPNs. Um manto criptográfico torna invisíveis aos usuários não autorizados os sistemas ali incluídos. Ou seja, para quem não tem direito de acesso, aquele escopo de confiança simplesmente não existe, tampouco seus usuários e sistemas, tornando-os imunes às técnicas de descoberta e varreduras usadas pelos cibercriminosos e malwares para reconhecimento de ambientes.
Assim, se a exemplo do citado caso da varejista um terceiro é atacado por criminosos cibernéticos, para ser usado de “ponte” até sistemas críticos de sua empresa, tudo o que o atacante teria visibilidade aplicando técnicas de varredura de rede seriam os sistemas do microssegmento do terceiro. No caso mencionado, o atacante identificaria na rede apenas os sistemas de ar condicionado, e mais nada. Sua varredura não identificaria ambientes sensíveis, como a base de dados de cartão de crédito. A varejista poderia sofrer algum dano, mas não a calamidade que viveu.
Como vimos, as empresas atualmente apresentam um fator de risco considerável, que é a utilização do trabalho de terceiros para atingir seus objetivos de negócio. Com modelos de serviços cada vez mais complexos, as conexões de rede e a forma de interagir com estes prestadores de serviços torna-se também cada vez mais intrincada, e um desafio para administradores de segurança. Exige-se uma nova abordagem para a segurança. A tendência e a recomendação de especialistas é de se trabalhar com escopos de confiança reduzidos, aproveitando algumas tecnologias inovadoras já disponíveis no mercado, com custo e risco de implementação baixos. Vale a pena refletir a respeito e repensar como tratamos segurança nas organizações em que atuamos.
Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.
