top of page

A Equação de Segurança


Toda conversa cujo o assunto é segurança deveria começar com a seguinte pergunta:

O que você está tentando proteger?

Crackers, (ou hackers black hat), tem recursos ilimitados e múltiplas chances de conduzir um ataque. Eles só precisam acertar uma única vez. Por outro lado, as organizações muitas vezes têm poucos recursos, pouco tempo e precisam estar certos o tempo todo. O trabalho de proteger cada ativo de rede, até mesmo os que não pertencem a organização (tendência BYOD), sempre será muito maior que o esforço para comprometer a segurança deste ambiente. E isso além de ser um problema de recursos tecnológicos, é também um problema cultural e vai desde o desinteresse das pessoas no investimento em seguro de vida até o clique do botão "atualizar mais tarde". O problema é que esse tarde, de fato, pode ser tarde demais.

Um exemplo recente que revela esse problema cultural da falta de investimento em segurança, ocorrido dia 12 de Maio, é o WannaCray, que explorava uma vulnerabilidade no protocolo SMBv1, que foi identificada e corrigida pela Microsoft, (MS17-010), inclusive para sistema legado, dois meses antes do ataque atingir uma escala global e trazer um prejuízo financeiro muito maior do que qualquer investimento em uma solução de proteção de ameaças, uma configuração básica no firewall para impedir a comunicação externa para as portas TCP 139 e 445 utilizadas pelo protocolo em questão, ou até mesmo a simples atualização do sistema. E eu aposto que muitos desses fazem parte daquele problema cultural do "atualizar mais tarde". Surpreendemente um outro problema surgiu pouco tempo depois, no final de Junho, e acredite, utilizando a mesma vulnerabilidade do WannaCry, o Nyetya.

E esses ainda não são os únicos problemas existentes. Aliado a ameaças avançadas (APTs), há uma falta de mão-de-obra capacitada na área de segurança da informação, e o pior de tudo: há uma estatística negativa associada ao setor, devido ao emprego de pessoas sem qualificação para esses cargos, tornando o desafio de gerenciamento de segurança, mais desafiador e complexo ainda.

“Em 2015, a Frost & Sullivan havia previsto uma escassez de 1,5 milhão trabalhadores em segurança da informação em 2020. À luz dos ataques recentes e mudanças na dinâmica da indústria, a projeção foi revista para cima: 1,8 milhão em 2022”.¹

Você provavelmente não se sentiria seguro voando em um avião feito de 50 outros aviões, certo? E se eu disser que muitas empresas possuem essa quantidade de equipamentos de diferentes vendedores para compor sua estratégia de segurança? Esse é o problema crônico da falta de soluções integradas na indústria. Conforme o tempo foi passando e a tecnologia foi evoluindo as empresas adquiriam soluções pontuais para problemas diferentes e uma "pilha de soluções pontuais" foi criada. Com isso, a falta de comunicação entre as soluções, SLAs com diferentes fabricantes, capacitação para utilização das ferramentas, enfim, tudo foi se acumulando junto com centenas de outros problemas, e a segurança era vista apenas como um centro de custo. O tempo para se detectar uma ameaça com soluções que não se comunicam e compartilham informações é muito maior, e quanto mais tempo uma ameaça permanece em um ambiente sem ser descoberta, maior o escopo do dano, que nesta altura pode ser tanto tangível quanto intangível.

Novos ataques continuarão surgindo, muitas pessoas continuarão clicando em "next-next-finish", e o trabalho de conscientização vai continuar. Essa equação de segurança sempre será desfavorável para os defensores, por isso a visibilidade é necessária e o conhecimento é fundamental. O risco sempre irá existir, cabe a nós, administradores de rede, entendermos quais são, e qual o nível de risco aceitável para os negócios.

 

Flávio Costa é Virtual Systems Engineer da Cisco Systems, Alumnus do programa de desenvolvimento de início de carreira mais cobiçado do mundo, o CSAP (Cisco Sales Associate Program). Formado em Gestão de TI pela Uninove em 2012, foi eleito como melhor aluno dos cursos de tecnologia. Possui pós-graduação em Arquitetura e Gestão da Infraestrutura de TI pela FIAP, e é certificado CCNP R&S, CCNA Security, CMNA e Cisco Security White Belt Advanced

bottom of page