Como proteger-se das ameaças internas
*Leonardo Carissimi
Os atentados terroristas dos últimos meses na França e Bélgica alertaram a todos para a natureza complexa do terrorismo perpetrado por gente "de dentro". Cidadãos dos próprios países atacados, convertidos a causas externas. Isso eleva a segurança antiterror a um novo patamar. Anteriormente, as forças de segurança podiam confiar em indivíduos baseando-se na sua nacionalidade. Hoje, não mais. É um claro exemplo de ambiente onde faz-se necessário revisar conceitos e círculos de confiança.
Este tipo de desafio é conhecido dos Gestores de Segurança da Informação. No mundo da ciber segurança, as pessoas são o elo mais fraco da corrente. Além de ser o alvo mais vulnerável, é um dos recursos mais abundantes dentro das empresas. Podem ser usuários bem intencionados da tecnologia, mas sem treinamento ou conscientização adequados. Em uma empresa com 10.000 usuários de tecnologia (sejam funcionários ou terceiros), uma campanha com efetividade de 98% ainda deixará 200 pessoas vulneráveis – sem mencionar o desafio da rotatividade. E não podemos descartar aquele percentual ainda menor que age de forma mal intencionada.
Portanto, como já é sabido no mundo da ciber segurança, a confiança não pode ser excessivamente depositada no simples fato do usuário ser alguém "de dentro". Entretanto, uma coisa é conhecer o risco e a outra é adequadamente mitigá-lo.
Sistemas de controle de acesso baseados no princípio de "mínimo acesso necessário" são largamente usados. Exemplos são os mecanismos de Gerenciamento de Identidades e de Controle de Acesso. Rastreabilidade e não-repúdio são elementos adicionais que podem ser usados para assegurar que as pessoas utilizem os sistemas e suas prerrogativas de acesso de forma devida e para atender aos objetivos do negócio.
Atualmente, a sofisticação dos criminosos e suas ferramentas de ataque demandam novos mecanismos de defesa. Malwares e Ramsonware podem ser infiltrados no ambiente de tecnologia corporativo por usuários desatentos ou corrompidos e facilmente deslocar-se lateralmente por trás dos mecanismos tradicionais de segurança perimetral, buscando alvos de alto valor como bases de dados com informações sensíveis. Trabalhar com Escopo de Confiança Reduzido (Reduced Scope of Trust ou RSOT), segundo o Gartner, é a melhor alternativa para fazer frente aos desafios trazidos por "ambientes hostis" como redes corporativas atuais que incluem ainda dispositivos móveis e componentes em nuvem.
Já temos alternativas no mercado que permitem reduzir escopo ou círculos de confiança como proposto, ou seja, com o uso intrínseco de criptografia em uma camada de abstração sobre a infraestrutura existente. Uma dessas alternativas usa técnicas de micro segmentação definidas por software. Cria redes (seguras) definidas por software, com custo de implementação baixo e que abstrai a infraestrutura subjacente – podendo portanto aproveitar todo o investimento já realizado em hardware e software de rede. Por não ser uma solução que requer transformação na rede atual, pode ser implementada de modo paulatino – identifica-se um caso de uso prioritário com um conjunto inicial de usuários ou sistemas e pode-se crescer ao longo do tempo.
Outra vantagem é o baixo custo operacional, pois sendo definidos por software os círculos de confiança micro segmentam sistemas e seus grupos de usuários de modo simples, com agilidade para reconfigurá-los. Usuários são autorizados por meio de sua identidade, em função do mínimo que precisam saber, limitando a quem de direito o acesso de modo seguro e onde quer que eles estejam, sem lidar com endereçamentos, regras de firewalls ou VPNs. Um manto criptográfico torna invisíveis aos usuários não autorizados os sistemas ali incluídos. Ou seja, para quem não tem direito de acesso, aquele escopo de confiança simplesmente não existe, tampouco seus usuários e sistemas, tornando-os imunes às técnicas de descoberta e varreduras usadas pelos criminosos e malwares para reconhecimento de ambientes. E alguém conseguiria invadir um sistema que não vê e que não sabe que existe?
Como vimos, as redes corporativas atuais apresentam ameaças internas abundantes e fronteiras cada vez menos claras, demandando uma nova abordagem para a segurança. A tendência e a recomendação de especialistas é de se trabalhar com escopos de confiança reduzidos. Já há tecnologias disponíveis no mercado para adotar o modelo, com custo e risco de implementação baixos. Não espere demais pois pode ser tarde. As ameaças internas são tão ou mais perigosas do que as externas.
* Leonardo Carissimi lidera a Prática de Segurança da Unisys na América Latina