5 minute read
Segurança
A espada de Dâmocles
Certo dia o poderoso rei de Siracusa, Dionisio, decidiu dar a um de seus conselheiros, o invejoso Dâmocles, a experiência de ser rei por um dia. O pacote incluía o banquete à noite, onde o conselheiro poderia usufruir das comidas e bebidas mais caras do reino. Porém, ao sentar-se, Dâmocles perdeu o apetite. Sobre sua cabeça pairava uma brilhante e afiadíssima espada pendurada no teto por um único fio de crina de cavalo. Virou-se para o rei, que explicou que aquilo era para lhe lembrar, todos os dias, que mesmo uma posição tão poderosa como a dele é também vulnerável.
Não deixo de pensar nas dezenas (serão centenas?) de espadas de Dâmocles balançando sobre nossas cabeças à medida que vamos avançando em nossa sociedade e economia digitalizada. Mais cedo ou mais tarde um ataque ou uma falha nos lembra que, apesar de tudo e de todo o investimento em tecnologia, residimos sobre bases frágeis e não podemos descansar. Ou podemos, mas sempre preparados para reagir rapidamente, embora pareça ser esta uma tarefa a cada dia mais complexa. Não bastam os problemas técnicos, como vulnerabilidades e ameaças, temos ainda que lidar com a falta de profissionais, assunto que irei tratar em um próximo artigo.
A espada da vez foi a vulnerabilidade publicada no final de 2021 pela Apache em sua biblioteca Log4j para versões anteriores a 2.15.0, e que recebeu o código CVE-2021-44228 pelo MITRE. Seria mais uma falha dentre tantas se a biblioteca não fosse tão largamente utilizada, e a brecha considerada crítica e fácil de ser explorada. O nível de criticidade é alto por ela permitir a execução arbitrária de código pelo atacante. Vimos nas últimas semanas uma série de tentativas, bem-sucedidas ou não, em explorar a vulnerabilidade. O Cisco Talos e a Checkpoint apontaram um backdoor do PowerShell criado pelo grupo iraniano APT35, conhecido há vários anos como um ativo em invasões para roubo de informações e espionagem.
Nessas situações, a pergunta é sempre a mesma: “O que fazer?”. O fato é que não temos controle sobre as vulnerabilidades e muito menos sobre os grupos de invasores, alguns inclusive
suspeitos de serem mantidos por entidades governamentais em seus países, com orçamentos de pesquisa maiores do que os de muitas empresas usuárias. Dessa forma, seja para esta ou para qualquer outra falha, o primeiro passo é obter informações sobre a vulnerabilidade, sistemas afetados, correções, entre outros. Estas informações podem ser encontradas em diversos sites de inteligência. Eu recomendo sempre o do Mitre (cve.mitre.org) porque centraliza dados de diversos sites (https://cve.mitre.org/cgi bin/ cvename.cgi?name=CVE-2021-44228). As principais empresas de segurança mundiais também mantêm seus próprios sites, como o Talos da Cisco, X-Force da IBM e vários outros. Nos artigos, além dos detalhes da vulnerabilidade, instruções para mitigação, indicadores de comprometimento (IOCs) e a cobertura por produtos ou tecnologias de segurança.
Com os detalhes da vulnerabilidade, o próximo passo é executar as mitigações ou correções nos sistemas afetados. A tarefa pode ser, e normalmente é, mais complicada do que parece, pois primeiro é necessário identificar quais sistemas estão expostos, não esquecendo dos utilizados por terceiros. Há uma praxe de mercado em que os fabricantes de software devem ser os mais transparentes possível em avisar seus clientes sobre exposições de seus códigos. Há softwares que ajudam na tarefa, mas tampouco é definitivo. Assim, a complexidade dessa etapa irá variar, podendo ser até impossível em alguns casos, e exigindo medidas de mitigação através de produtos de segurança. Outro ponto importante a lembrar é que nos primeiros dias de divulgação e exploração de uma vulnerabilidade, os diversos blogs podem ser atualizados a qualquer momento, sendo necessário um acompanhamento constante.
Mas mesmo as empresas que conseguirem fazê-lo em tempo precisarão de uma ação de contenção, seja durante a correção enquanto nem todos os sistemas estão atualizados, seja para variantes que surjam com o foco de grupos hackers no estudo das técnicas de exploração, ou mesmo para evitar uma invasão no futuro, quando inadvertidamente alguém use uma versão antiga com a falha, algo que com certeza irá ocorrer. Hoje há registros de invasão por vulnerabilidades descobertas há dez anos.
É nesse ponto que ocorrem falhas de interpretação capazes de permitir uma invasão. Algumas tecnologias de segurança são completamente inócuas para alguns tipos de ataques, enquanto outras fornecem apenas uma visão
Esta seção aborda aspectos tecnológicos da área de segurança da informação. Os leitores podem enviar suas dúvidas para a Redação de RTI, e-mail: inforti@arandanet.com.br. A espada de Dâmocles balançando sobre a cabeça do profissional de segurança: apesar de todo o investimento em tecnologia, um ataque ou uma falha podem acontecer a qualquer momento
Deposit Photos
limitada, sendo necessário o cruzamento desses logs ou informações com outros produtos. Esses espaços escuros entre as diversas tecnologias, principalmente quando gerenciadas por equipes diferentes em uma empresa, são os que mais vantagem concedem aos invasores. É nessa toada que o Gartner, que sempre privilegiou a visão do best of breed; em outras palavras, de fragmentação da arquitetura de segurança escolhendo os melhores produtos de proteção em cada área, não importando quantos fornecedores uma empresa possua, publicou um artigo defendendo o que passaram a chamar de Cybersecurity Mesh, ou a consolidação de diversos fornecedores em arquiteturas integradas de produtos atuando em áreas distintas. Muito ainda será discutido sobre esse assunto, mas a mensagem principal é de que as empresas precisam aperfeiçoar sua gestão de segurança, em uma abordagem sem silos.
Por fim, precisamos estar preparados para reagir, desviar da espada e no máximo sofrer um arranhão. Para isso, precisamos contar com uma equipe de resposta a incidentes treinada, playbooks montados e software de apoio implementado. Sem isso é impossível uma ação organizada de resposta e contenção do ataque. Nem todas as empresas poderão se dar ao luxo de ter uma equipe interna, mas é possível contar com companhias especializadas, tanto na preparação dos planos como na ação efetiva de resposta a um incidente.
Marcelo Bezerra é gerente técnico de segurança para América Latina da Cisco. Com formação nas áreas de administração e marketing, Bezerra atua há mais de 15 anos em redes e segurança de sistemas. E-mail: marcelo.alonso.bezerra@gmail.com.
