Quebramos a lei do silêncio sobre brechas de dados para mostrar como agem os agressores – e como você pode impedí-los
Dando continuidade ao post anterior, segue as outras 2 lições de Segurança da Informação:
2 – Complemente com controles secundários
Controles secundários como firewall interno, criptografia ou software de monitoramento de banco de dados podem ajudar as equipes de seguranças emitindo avisos ou impedir ataques quando os agressores contornarem os controles primários.
Infelizmente, raramente vemos implementação eficaz de controles secundários.
Por exemplo, existem empresas que distribuem uma linha complementar de firewalls dentro da rede para isolar melhor sistemas críticos, o que é uma prática que encorajamos, no entanto, é comum encontrar firewalls internos com configurações de política falha que simplesmente permitem tráfego total, ou com regras complicadas que ninguém entende por falta de documentação. Nós tivemos alguns casos em que o firewall interno teria impedido o ataque se tivesse sido configurado corretamente.
As empresas inteligentes irão identificar onde podem usar segmentação para isolar melhor sistemas ou dados confidencias e críticos, e criarão controles de sistemas secundário e terciário baseados na segmentação. É perguntando “O que nos prejudicaria mais caso fôssemos comprometidos?” Então, os fabricantes podem adicionar camadas de segurança ao redor de sistemas que armazenam designs de produtos e linhas de controle. Um serviço pode segmentar sistemas de controle. Um processador de pagamento ou comercial deve ser focado no sistema que processa pagamentos.
Mas não pare após implementar os controles secundários e esqueça-os. Tome cuidado com as políticas que facilitam operações gerais, mas neutralizam absolutamente os valores do controle para redução de riscos. Configure, documente e monitore esses controles. Dedique recursos para examinar os relatórios desses sistemas de controle com freqüência e observe mudanças ou atividades anormais.
Se feito certo, esses controles complementares podem te salvar; se feito errado, prejudicam o ambiente enquanto oferecem uma falsa sensação de segurança.
3 – Conheça seus limites
A terceira lição é entender os limites do seu sistema de segurança. Nós temos antivírus, firewalls, sistemas de detecção de intrusos em redes e hosts, autenticação, ICP, VPNs, NAC, rastreador de vulnerabilidades, ferramentas de prevenção de perda de dados, informação de segurança, plataformas de gerenciamento de eventos – e mesmo assim, as brechas ainda resistem.
Isso porque os controles não acompanham os progressos dos agressores. Nós trabalhamos em vários casos em que sistemas com antivírus completamente atualizados falharam e não detectaram cavalos-de-tróia ativos, key loggers e sniffers (farejadores). Muitos dos ciclos de desenvolvimento de assinatura de antivírus ainda funcionam com base em uma suposição antiga de que um pedaço de malware vai se espalhar e permitir que o desenvolvedor tome consciência dele e construa uma nova assinatura. Os agressores usam pacotes para esconder o malware dos antivírus.
Rastreadores de vulnerabilidade também não estão em dia com as novas vulnerabilidades e não podem rastrear os aplicativos de forma eficaz. Detecção de intrusos e prevenção sofre do mesmo mal que os antivírus.
O que a equipe de TI deve fazer? Para começar, identifique o nível de segurança de uma tecnologia – e só. Não espere que seu antivírus encontre malware comum. Use rastreadores de vulnerabilidade apenas como um teste secundário para garantir que seu sistema de gerenciamento está funcionando. Acredite que seu firewall irá bloquear scans automáticos, mas que um agressor habilidoso conseguirá ultrapassar a área protegida.
Sistemas de detecção de intrusos e prevenção podem ser úteis às vezes, mas descobrimos que os dados de Netflow do roteador e os relatórios das permissões do firewall oferecem uma visão melhor do caminho percorrido pelos agressores e ajudam a medir a extensão da brecha.
Do ponto de vista operacional, considere implementar tecnologia de gerenciamento de eventos para entender a atividade dos sistemas múltiplos ou, pelo menos, implemente gerenciador centralizado de relatórios para ajudar a pesquisar, revisar e armazenar relatórios.
Considere também a habilidade e a motivação do seu adversário e quais controles podem ser necessários para detectar sua presença. Entender sua capacidade é extremamente importante.
No próximo post, continuaremos apresentando as outras 2 lições aprendidas.