Tag Leonardo Carissimi

Esqueça o risco, foque na resiliência – Por Leonardo Carissimi

Os distintos modelos de Gestão de Riscos têm como desafio lidar com uma realidade complexa, em constante transformação. Disso resulta que, apesar da evolução e amadurecimento desta disciplina, ela apresenta limitações. Sem nenhum demérito, este tipo de desafio pode ser visto em quaisquer outras áreas do conhecimento humano em que se tenta colocar em uma planilha um mundo complicado, que muito muda e pouco entendemos. Os economistas e sua dificuldade de prever as grandes transformações econômicas que o digam.

Os crescentes ataques cibernéticos bem-sucedidos são uma boa evidência de que algo não está funcionando, apesar de contínuos esforços em Gestão de Riscos e implementação de controles por ela tão diligentemente indicados. Mesmo o mais bem estruturado programa de segurança corporativa está exposto.

Uma digressão sobre possíveis causas a estas frequentes manchetes é o coração da Gestão de Riscos.

Se aceita amplamente que Risco = Impacto x Probabilidade, para um dado evento de segurança. Isso pode funcionar bem para eventos conhecidos, mas o que dizer dos desconhecidos?

Consideremos os chamados “Cisnes Negros”. O termo foi criado por Nassim Taleb, filósofo, matemático e investidor libanês, para denominar grandes acontecimentos que são inesperados e que trazem grandes consequências. Como, por definição, não podem ser previstos, também não cabem na Análise de Riscos.

Para o propósito deste artigo podemos agregar um segundo grupo de riscos aos Cisnes Negros: eventos conhecidos, mas com probabilidade de ocorrência negligenciável. O famoso risco residual. Afinal de contas, a lógica da fórmula acima aponta que podemos negligenciar eventos de alto impacto, se sua probabilidade for muito baixa, pois o risco geral pode ser baixo e aceitável. A fórmula dá um critério objetivo para alicerçar a difícil decisão de quais projetos entram e quais não no programa de segurança.

Tanto os Cisnes Negros, como o risco residual, resultam igualmente perigosos à sobrevivência das empresas. São eventos resultantes de ataques novos e avançados, que nunca foram previstos ou que até já foram pensados, mas para os quais a probabilidade de ocorrência foi considerada desprezível.

Então, como preparar-se para enfrentar o imprevisível ou improvável, de modo eficiente do ponto de vista de alocação de recursos?

Acreditamos que a resposta é complementar a Gestão de Riscos com uma “rede de proteção”, focada em assegurar a resiliência. Quando o pior acontecer, como detectar o evento e responder imediatamente? Como limitar os danos?

Isso requer uma combinação de capacidades de detecção, com inteligência preditiva e de ameaças, e resposta automática. Ferramentas de correlação de eventos turbinadas com inteligência de ameaças, machine learning e algoritmos de analytics compõem o elemento de detecção, e boas plataformas também apoiarão a orquestração da resposta.

A tecnologia de microssegmentação definida por software é uma medida chave na resposta automática, podendo reduzir a superfície de ataque ou mesmo colocar em quarentena o sistema comprometido. Ao isolar imediatamente um sistema comprometido do restante da rede, atua-se na limitação do impacto e no aumento da resiliência. Não importa a natureza do ataque, ele estará contido em um microssegmento definido em segundos para detê-lo e de lá não poderá sair. É como o típico (bom) cofre de banco dos filmes: ao soar o alarme, grades baixam do teto ao chão isolando diferentes partes do cofre e o criminoso fica preso em um desses “microssegmentos”.

O que acabamos de descrever é uma implementação prática e provada do conceito de Arquitetura de Segurança Adaptativa, apresentado pelo Gartner. Acreditamos tratar-se de um conceito-chave para a sobrevivência das empresas no mundo em constante transformação digital que vivemos. Se não podemos antecipar todos os eventos e os riscos, devemos nos preparar assumindo o pior, não importa que natureza de vulnerabilidade e ameaça enfrentaremos. Para isso é preciso ir além da Gestão de Riscos e assegurar a resiliência dos negócios.

Leonardo Carissimi é Diretor de Soluções de Segurança da Unisys na América Latina.

Tags, , ,

7 lições do WannaCry – Por Leonardo Carissimi

6d4efd25eb7570a9b56b85b4208b0018

Nestes últimos dias, uma nova ameaça cibernética ganhou notoriedade, o WannaCry. Trata-se de um tipo de código malicioso classificado como ransomware, daqueles que “sequestram” dados de computadores para exigir um dinheiro em troca de devolver o acesso ao seu dono. Ou seja, uma vez infectada a máquina, ele encripta os arquivos e mostra uma tela na qual exige um resgate em dinheiro, tipicamente na moeda eletrônica bitcoins que, assim como o dinheiro vivo, não deixa rastros quando se movimenta e permite circulação de valores entre criminosos.

Interessante é que o WannaCry explora uma vulnerabilidade do sistema operacional Windows conhecida há pelo menos dois meses e que permite execução remota de um código através de uma vulnerabilidade no serviço SMB (Service Message Block).

O que o episódio nos traz de lições?

Crescimento das ameaças cibernéticas: as ameaças crescem em termos de magnitude e agressividade. Com a crescente conectividade, cada nova ameaça tem o potencial de infectar mais equipamentos.

O cibercrime está crescendo: essa nova ameaça também nos recorda que o cibercrime está crescendo, pois cada vez mais as ameaças tem motivação financeira. Elas se tornam mais perigosas, porque as organizações criminosas que as orquestram têm cada vez mais recursos. Podem desenvolver “armas” sofisticadas e agir globalmente com elas.

Impacto real nos negócios: tornaram-se comuns nos últimos dias notícias de empresas que foram contaminadas e tiveram que sujeitar-se a pagar pelo resgate. Outras decidiram por desligar computadores. Nos dois casos, torna-se claro o impacto em termos de custo (seja pelo pagamento pelo resgate ou, pior, pela perda de produtividade).

Prevenção é fundamental e começa com pequenas coisas: a vulnerabilidade é conhecida há pelo menos dois meses, quando a Microsoft publicou um boletim recomendando atualização dos sistemas Windows para corrigi-las. Um trabalho de Gerenciamento de Patchs, complementado de Gerenciamento de Vulnerabilidades, teria evitado a dor de cabeça. Realizar cópias de segurança frequentemente é outra prática bastante corriqueira que ajuda em situações de ransomware. São conceitos simples, mas que precisam ser realizados de forma consistente, com processo, ferramentas e pessoal treinado.

Microssegmentar a rede: a utilização de ferramentas para microssegmentação reduz o estrago. Ao isolar sistemas por microssegmentos, a movimentação lateral realizada pelo malware é contida e ele não contamina uma grande quantidade de equipamentos na rede. Opte pela microssegmentação por software, focando inicialmente em sistemas mais críticos. Isso vai permitir adoção rápida, sem impacto na arquitetura da rede e com custo reduzido. Em médio e longo prazo a técnica vai aumentar a segurança e permitir a simplificação da rede ao reduzir complexidade de firewalls internos e segmentação via VLANs.

Monitoração de Comportamento de Malware: a cada momento surgirão novas ameaças, as quais serão desconhecidas por ferramentas tradicionais de segurança que trabalham com assinaturas e padrões de malware conhecidos. A utilização de ferramentas de correção de eventos é controle necessário, mas não suficiente. Preparar-se para o malware novo requer um SOC (Centro de Operações de Segurança) mais inteligente, que identifique comportamentos anômalos mesmo quando for um ataque novo com assinatura desconhecida. No caso do WannaCry, a comunicação pela porta do SMB, o comportamento de movimentar-se lateralmente dentro da rede, e o endereço de seu “mestre” que tenta contatar, são indícios típicos de algo estranho está acontecendo e que permitiram um SOC inteligente detectar a nova ameaça a tempo.

Resposta a incidentes: Uma vez detectada a nova ameaça, requer-se pronta resposta. Respostas automáticas ou manuais poderiam bloquear tráfego suspeito e eliminar da rede equipamentos contaminados. A utilização de uma Arquitetura de Segurança Adaptativa é recomendada para responder de modo dinâmico, mudando a arquitetura de subredes à medida que contaminações são identificadas. Um exemplo é colocar em quarentena os equipamentos contaminados e evitar que os mesmos contaminem outros.

Leonardo Carissimi, Diretor de Soluções de Segurança da Unisys na América Latina.

Tags, , , ,