2015 será o ano da Segurança da Informação? TI
Todo início de ano aparecem especialistas indicando as
tendências de mercado, principalmente em TI, e sempre citam que
naquele ano a Segurança da Informação será prioridade para as
empresas. Quem previu isso em 2014 errou feio.
O último ano ficou marcado como o ano em que os sistemas de
informação provaram ser inseguros por natureza, com múltiplas
vulnerabilidades sendo expostas e afetando quase todos os
sistemas operacionais e fornecedores.
"http://s.profissionaisti.com.br/wp-content/uploads/2014/05/seguranca-informacao-iso27001.jpg"
alt="Imagem via Shutterstock" width="620" height="321">
Imagem via Shutterstock
Entre as falhas mais graves, podemos citar:
Falha na biblioteca OpenSSL, que permitia que conexões
criptografadas pudessem ser expostas, afetou a maioria dos
sistemas operacionais Linux e BSD e consequentemente grandes
fornecedores como Facebook, Twitter, Amazon e aplicativos da
Oracle, IBM, VMware e muitos outros. Cogitou-se que
"http://www.wired.com/2014/04/nsa-heartbleed/" target=
"_blank">NSA já conhecia essa vulnerabilidade e a utilizava
para espionar conexões criptografadas e supostamente seguras.
"http://www.techtudo.com.br/noticias/noticia/2014/09/shellshock-entenda-falha-no-bash-e-saiba-como-proteger-mac-os-e-linux.html"
target="_blank">Shellshock
Vulnerabilidade no bash, responsável pelo acesso shell e
scripts no mundo Linux/Unix. Permitia que um usuário com um
pouco de acesso escalasse privilégios, afetando grandes
provedores de nuvem e praticamente todas as instalações Linux e
Mac. Afetou grandes provedores de nuvem como Amazon, Facebook,
Twitter, forçando o reboot de todos os servidores para aplicar
as correções. Também afetou versões do
"http://blog.fortinet.com/post/are-ios-and-android-vulnerable-to-the-shellshock-bug"
target="_blank">Android e iOS.
"http://www.tripwire.com/state-of-security/incident-detection/microsoft-windows-zero-day-exploit-sandworm-used-in-cyber-espionage-cve-2014-4114/"
target="_blank">Vírus via PowerPoint
Vulnerabilidade no Windows permitia infecção de vírus por
arquivos do PowerPoint. Normalmente inofensivos e conhecidos
por não portar vírus, os arquivos .ppt foram alvo de criminosos
para infectar computadores e ter acessos privilegiados.
NTP
"http://en.wikipedia.org/wiki/2014_celebrity_photo_hack"
target="_blank">The Fappening
Vazamento de fotos privadas de várias celebridades,
normalmente nuas. No início foi atribuído a uma falha de
segurança no iCloud (serviço de hospedagem e backup da
Apple), mas nenhuma evidência foi encontrada e a possível
explicação foi devido a senha fraca nos dispositivos dos
usuários, apesar de isso ser uma enorme coincidência.
"http://www.zdnet.com/article/cybersecurity-in-2015-what-to-expect/"
target="_blank">Vazamento de cartões de créditos
Vazamento de dados de grandes empresas americanas, totalizando
mais de 100 milhões de números de cartão de crédito expostos.
Também na
"http://en.wikipedia.org/wiki/Sony_Pictures_Entertainment_hack">
Sony, dados de clientes e funcionários foram expostos
devido a invasões.
Mais algumas vulnerabilidades são explicadas
nesse
target="_blank">resumo do CAIS, entre elas a
vulnerabilidade Poodle.
Como começou 2015
Esse ano não se mostrou diferente. Uma vulnerabilidade no
software
"http://www.dicas-l.com.br/arquivo/servidor_samba_pode_ser_alvo_de_ataques_de_execucao_de_codigo_remoto__cve-2015-0240_.php"
target="_blank">Samba, usado em servidores Linux para
acesso de estações Windows, permitia acessar os arquivos sem
autenticação, afetando algumas distribuições.
O mais recente
"_blank">FreakAtack ou
"https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204"
target="_blank">CVE-2015-0204 permite que conexões
sobre SSL (https) sejam descriptografadas, dependendo claro de
uma série de fatores, incluindo sistemas desatualizados, tanto
de servidores, quanto de clientes, e acesso em redes frágeis,
com o acesso a um HotSpot WiFi em um café, restaurante ou
aeroporto. Sites grandes como o 4shared.com, bloomberg.com,
mit.edu, tinyurl.com, groupon.com, entre outros, foram
afetados, colocando em risco os dados de milhões de
internautas.
O que mais será de 2015?
Não se espera nada diferente para esse ano. Com os
sistemas cada vez mais complexos, mais dados acumulados
nas bases de dados das empresas, maior velocidade de conexão
entre as redes e a falta de investimentos em segurança da
informação, a tendência é continuar igual ou piorar.
Pior que a falta de investimentos, são os investimentos feitos
em coisas erradas.
O que fazer no futuro?
Para evitar que sua empresa faça parte dessa estatística, é
importante efetuar os investimentos adequados, mas não apenas
comprar novos firewalls, IDS/IPS ou antivírus, mas também
investir em processos e pessoas.
As principais ações que podemos listar são:
Cuidar de processos de Segurança da Informação
"https://www.eventials.com/profissionaisti/elaborando-uma-psi-politica-de-seguranca-da-informacao/"
target="_blank">Criar uma Política de Segurança da
Informação, criar um modelo de
"http://www.bluesolutions.com.br/site/solucao/index/seguranca?categoria=servicos"
target="_blank">Análise de Riscos, aplicar continuamente
a Análise de Riscos, mitigar os riscos encontrados em um
ciclo PDCA, criar planos de Contingência de Negócio, estudar
a viabilidade e executar um Plano de Recuperação de Desastres
deveriam ser focos de investimentos, normalmente não custa
nada em termos de aquisição de equipamentos ou ferramentas,
apenas em tempo.
Treinar as Pessoas
Como parte do processo, o treinamento deve ser algo
constante. A maioria dos ataques parte de agentes internos,
mas mesmo os externos podem ter auxílio por descaso ou
desconhecimento de agentes internos. Ensinar as pessoas a
ficarem atentas para sinais de possíveis fraude, a não
divulgar sua senha para terceiros, não clicar em links
suspeitos, não divulgarem informações para desconhecidos
por telefone é um passo gigante rumo a segurança da
informação.
Resposta Rápida a Incidentes
As empresas devem ser capazes de reagir rapidamente a novas
ameaças, ter um Grupo de Resposta a Incidentes é o caminho mais
natural. Se não puder fazer esse investimento, pode contratar
uma empresa terceira para essa operação, normalmente um MSSP.
Esse grupo fica responsável por monitorar as principais ameaças
que são divulgadas em aplicativos e validar se elas aplicam ao
ambiente da empresa, em caso positivo, ações de mitigação dos
riscos são tomadas rapidamente.
Trabalhar a Confiança entre os Ativos e
Processos
Uma forma de proteger os ativos e processos é estabelecer uma
baixa relação de confiança entre eles, isto é, um sistema não
deve considerar que as informações que vieram de outro como
sempre corretas, e deve fazer sua própria validação de
segurança da mesma, isso em sistemas automatizados e mesmo
manuais. Isso é muito bem tratado no framework
"http://www.isecom.org/research/osstmm.html" target=
"_blank">OSSTMM, o Open Source Security Testing Methodology
Manual da ISECOM.
Conclusão
Enfim, depende de cada empresa e de cada indivíduo garantir que
aquele ano vai ser o ano de segurança da informação para si
próprio, o investimento em tecnologia está longe de ser a
solução correta, pois como já se mostrou no passado, novas
tecnologias trarão novas falhas e vulnerabilidades.
Criar um plano de melhoria contínua para segurança da
informação é com certeza a melhor saída.
Artigo original publicado no
"http://blog.bluesolutions.com.br/2015/03/2014-foi-o-ano-da-inseguranca-2015-sera.html"
target="_blank">Blog da Blue Solutions
0 comments:
Post a Comment