#Desafio dos 10 anos

Esta seção aborda aspectos tecnológicos da área de segurança da informação. Os leitores podem enviar suas dúvidas para a Redação de RTI, e-mail: inforti@arandanet.com.br.


Marcelo Bezerra

Data: 07/02/2019

Edição: RTI Fevereiro 2019 - Ano XIX - No225

Compartilhe:

Algumas iniciativas bem inocentes têm o poder de se transformar em moda, ou em meme, nos dias de hoje. É o caso do Desafio dos 10 anos, proposto se não me engano pelo Instagram, para que seus usuários comparem fotos atuais com as de 10 anos atrás. Como era de se esperar, saiu de tudo e, portanto, vamos aqui fazer a nossa comparação com relação à segurança de TI e Internet.

Há dez anos falávamos de segurança de nuvem, de sistemas de virtualização para data center e sua segurança, da virtualização da própria segurança e de segurança para usuários moveis das redes 3G, cujo uso estava crescendo, assim como de seus riscos. Na época o Conficker trouxe à tona novamente o tema da segurança dos desktops.

Para quem não se lembra, o Conficker foi um worm lançado em outubro de 2008 direcionado aos Windows. Apesar de trazer pouco ou nenhum dano aos sistemas, sua taxa e eficiência de propagação trouxeram dores de cabeça para os administradores de rede e segurança. De acordo com algumas estatísticas, alcançou 190 países e infectou mais de 11 milhões de computadores. Alguns dados interessantes sobre o ataque, de fontes variadas:

Dez anos depois a situação parece não ter mudado muito. Estamos começando 2019 ainda discutindo segurança em nuvem, embora com um contexto um pouco diferente - pior na minha opinião. Em 2008/2009 a indústria e empresas estavam analisando e tateando o tema. Hoje, atropelados pela evolução tecnológica, estamos discutindo como correr do prejuízo. Em outras palavras, controle de acesso à nuvem, como restringir o acesso e a gravação de arquivos confidenciais em nuvens públicas, como monitorar o uso da nuvem e assegurar o cumprimento de normas regulatórias e como impedir a infecção de arquivos por malware. O fato mais concreto foi o surgimento da indústria de software CASB há poucos anos, em um mercado ainda em consolidação.

A segurança para usuários móveis continua também um tema atual. Só que o 3G ficou no passado; estamos no 4G caminhando para a próxima geração, em paralelo à evolução dos dispositivos móveis, cada vez com maior capacidade. Mais capacidade e mais velocidade significam também mais risco. No entanto, há poucas iniciativas concretas para um ambiente realmente seguro de computação móvel. E as existentes estão limitadas a fabricantes específicos. Computação móvel e computação em nuvem andam juntas em uma simbiose perfeita, uma vez que uma depende da outra para evoluir ainda mais. Entre as facilidades preferidas está a sincronização dos navegadores e o armazenamento de arquivos em nuvem para acesso a partir de qualquer dispositivo. Um método excelente de propagação de malware.

Enquanto vacilamos na nuvem e na mobilidade, o ambiente de computação virtual atingiu níveis de maturidade semelhantes ao seu primo físico. Hoje temos os mesmos recursos disponíveis para ambos e, em certo sentido, até mais segurança no ambiente virtual que no físico. O esforço veio tanto dos provedores de infraestrutura virtual como das empresas de segurança, uma vez que segurança no data center é algo de que nenhuma corporação abre mão. Infelizmente o mesmo zelo não é visto em outras áreas, como a nuvem.

E chegamos ao problema, talvez eterno, da segurança dos computadores pessoais. O Wannacry veio para mostrar que avançamos pouco. Demos alguns passos, mas nossos inimigos também deram os seus e a maior parte das empresas perdeu a disputa. Diferente do seu antecessor de quase dez anos, o malware tinha como intenção principal causar dano a quem não se dispusesse a pagar o resgate. Malware é um termo mais bonito que worm, mas na verdade é a forma adequada de se referir ao ataque, uma vez que ele combinou técnicas variadas de ataque. Muita coisa mudou nesses dez anos, mas talvez ficou faltando o principal: a visão da segurança e da gestão de risco, tema que discutimos em alguns artigos no ano passado, sobre o mundo VUCA (volatidade, incerteza, complexidade e ambiguidade).

As empresas não mudaram seu ponto de vista sobre gestão de risco porque continuam presas a modelos criados muito antes de 2008 e que levam anos para serem atualizados, preparando-se apenas para o que é conhecido, tentando a tarefa impossível de eliminar o risco. Assim todas se prepararam para o “próximo Wannacry”, só que este nunca existirá. Haverá outro ataque, com outras técnicas isoladas ou combinadas, usando outros vetores de ataque, ou os mesmos de outra forma, e que exigirá medidas de contenção para as quais as empresas mais uma vez não estarão preparadas. Os últimos anos também provaram que os criminosos do mundo digital estão cada vez menos se importando com a vida humana ao atacarem hospitais, em uma jornada contrária a um certo romantismo que existia no passado.

Mas é claro que a década trouxe também importantes evoluções e mudanças de atitude. Grandes vazamentos de dados, como os da Target e em redes de hotéis, afetaram os executivos principais das empresas, não apenas os gerentes de TI e segurança. O envolvimento do conselho diretivo das empresas significa mais prioridade e recursos e o entendimento de que segurança digital é um problema de negócio e não apenas de TI. Também se deve comentar a grande evolução na infraestrutura de segurança cibernética do Brasil, motivada pela Copa do Mundo de 2014 e dos Jogos Olímpicos em 2016. O Governo Federal, liderado pelo Exército, montou uma estrutura de primeiro nível, com integração e troca de informações com seus pares em outros países. Completado o balanço, a impressão é que dez anos são muito pouco em segurança.

Marcelo Bezerra é gerente técnico de segurança para América Latina da Cisco. Com formação nas áreas de administração e marketing, Bezerra atua há mais de 15 anos em redes e segurança de sistemas. E-mail: marcelo.alonso.bezerra@gmail.com.