Mitos sobre segurança que devem ser derrubados

Mitos sobre segurança que devem ser derrubados. Separar a verdade dos mitos pode diminuir as suas chances de se tornar a próxima vítima. Vivemos na era da violação dos dados.

Todos os dias há uma nova história sobre a invasão de uma rede, que termina no roubo de informação confidencial ou sensível. Números de cartões de crédito, dados pessoais, enfim, há uma miríade de informações que podem ser extraídas de forma criminosa de algum site ou serviço online. E tanto a indústria quanto a sociedade em geral não deixam de buscar uma saída para esse problema, que pode causar prejuízos na casa dos milhões. Estima-se que, no Brasil, este número ultrapasse os R$ 20 bilhões anuais.

Mesmo com o avanço da tecnologia, ainda é difícil evitar o roubo de dados. Muitos especialistas pregam que é impossível ter um sistema a prova de vulnerabilidades, e que o foco deve ser a detecção e a resposta rápida, ao invés da prevenção.

Na verdade, não há uma resposta simples, e desistir não é uma alternativa viável. Entretanto, a própria indústria da segurança da informação criou alguns mitos quando o assunto é ataques e violações. Veja alguns deles:

Mito 1 – A maior parte das ameaças e ataques é muito sofisticada
O avanço na tecnologia das invasões –como os ataques de dia zero e os sofisticados ataques a um alvo- leva os administradores de segurança de rede à exasperação. Alguns profissionais da área dizem ser impossível parar esse tipo de crime, e que o melhor é preparar-se para agir quando eles ocorrem, e não tentar evitá-los.

É claro que é muito difícil tentar frear essas ocorrências, mas o fato é que, de acordo com o “Data Breach Report”, emitido pela Verizon neste ano, 99% dos ataques não são classificados como complexos. Na verdade, a maior parte deles pode ser dirimida com simples controles internos.

Para cada ataque de dia zero que chega à imprensa há outros 80 que ocorrem a partir de brechas e vulnerabilidades já conhecidas. Ou seja: a maioria é vítima de oportunistas, e não de ataques estruturados, com um alvo definido.

Mito 2 – Controles de rede são inúteis, já que todos os ataques acontecem no nível 7 das aplicações
Como os vendedores de aplicativos de segurança da informação adorariam que a gente acreditasse nisso! Mas, infelizmente, este é mais um mito sobre segurança da informação.

A maioria das tentativas de ataque entra pela porta 80 – a mesma utilizada para o tráfego na web–, e isso não significa que tecnologias existentes não poderiam ser utilizadas para bloquear esses ataques.Um firewall, por exemplo, pode ser usado para parar ataques via web.

Bloqueios via endereço IP, listas brancas de IP e outras técnicas de gerenciamento e configuração de firewall bloqueiam muitos ataques nível 7, apesar do mito –bastante popular- pregar exatamente o contrário.

Outra forma de parar ataques deste nível é entender qual é o caminho percorrido na rede até que o código malicioso encontre as informações de relevância. Ferramentas de análise de risco da rede podem auxiliar os administradores a visualizar os potenciais caminhos do ataque, e quais controles é possível ativar para evitar esse tipo de invasão.

Mito 3 – A minha tecnologia é lenta, antiga e obsoleta
Esse deve ser o maior mito em tecnologia da informação. Quantas vezes escutamos: “Meu computador não funciona direito” – variações desse mito incluem: “Minha tecnologia é muito lenta e muito antiga.”

Muitas vezes não é a tecnologia que poderia ter feito o milagre de proteger a rede – principalmente se estiver mal configurada. Sistemas e equipamentos mal configurados podem  limitar uma configuração de firewall, permitindo tráfego por uma porta ou IP que deveriam estar fechados.

Quem tem a permissão de acesso a esses tipos de arquivos e ativos na rede? Pode haver um servidor mal configurado, por exemplo, com permissões de arquivos definidas incorretamente. Erros de configuração podem acontecer, também, em uma ponta da rede, em um equipamento que não teve qualquer patch de correção sistêmica aplicado.

O simples fato de o sistema não estar configurado para updates automáticos pode resultar em correções não aplicadas. A falta de configuração é a principal razão para a existência de brechas no sistema, e não equipamentos obsoletos.

Mito 4 – É impossível prevenir os ataques; devo me concentrar somente na resposta
Existe uma tendência recorrente na indústria de segurança da informação que diz que brechas de dados e incidentes de segurança são impossíveis de serem evitados.

Em vez de colocar tantos esforços na prevenção ao vazamento de dados, a tendência é aumentar  recursos na descoberta de incidentes e na resposta aos ataques. A implicação de se empregar sistemas significantes apenas para responder invasões acaba fazendo com que essas ferramentas fiquem mais vulneráveis, o que requer mais tempo e esforços na detecção e na resposta ao incidente de segurança. A gestão de risco é que determina quais riscos são aceitáveis.

Mito 5: Se eu mantiver meus sistemas atualizados, posso prevenir todas as vulnerabilidades
Se isso fosse verdade, o mundo seria mais fácil. O simples fato de atualizar o sistema com todos os patches disponíveis já coloca a organização em risco. Na maior parte das empresas, não se pode aplicar uma atualização assim que é lançada. Deve haver um processo de qualidade que determina se essa correção não vai expor outras vulnerabilidades. Quando os testes deste novo patch terminam, outras atualizações já foram lançadas.

Lembre-se: o elo mais frágil no seu sistema de defesa está atrás do teclado. De nada adianta os mais sofisticados sistemas se os usuários não guardam a senha de forma apropriada, ou acabam permitindo que a rede seja infestada por malwares. Portanto, atualizar o sistema é uma das formas de se prevenir um ataque, mas não é a cura para todas as vulnerabilidades.

Por fim, ainda que seja um objetivo louvável tentar manter um sistema livre de vulnerabilidades, isso não é possível. O melhor caminho é entender como ocorrem, e separar a verdade dos mitos. Isso pode diminuir as suas chances de ser a próxima vítima. Ter controles básicos funcionando e fazer a gestão de forma apropriada, utilizando ferramentas de gestão de firewall, políticas de utilização e regras de segurança é a melhor forma de prevenção possível.

Fonte: CIO UOL

0 respostas

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *