Texto por Marcelo Bezerra.
Imagine seu primeiro dia em uma nova empresa ou função, e seu chefe lhe passa seu primeiro projeto. Você se sente nervoso até que ele informa o prazo para completá-lo: 200 dias. Ou o sempre penoso trabalho de conclusão de curso, em que o orientador diz para mudar quase tudo, mas diz que vai dar um prazo de 200 dias. É tanto tempo que você até respira aliviado. 200 dias é o período mínimo, em dias letivos, das escolas e universidades brasileiras. Se aprende todo um ano de disciplinas em 200 dias. 200 dias é muito tempo, e esse é o tempo médio em que um intruso passa dentro de uma rede invadida sem ser detectado, ou, em outras palavras, sem ser incomodado.
Em segurança cibernética, duzentos dias são uma eternidade. Seja qual for o tamanho da rede e da empresa, neste período um invasor tem muito mais tempo do que precisa para varrer tudo – redes, servidores, estações de trabalho, aplicações – e baixar o que quiser. É uma eternidade. E alguns nem são detectados. Simplesmente fazem o que vieram fazer – roubar dados, ou minerar criptomoedas – e aí bloqueiam tudo o que puder de estações e servidores no clássico ransomware, para sair com um bom lucro. E que lucro. Alguns chegaram a 10 milhões de dólares, o que dá 50 mil dólares de faturamento por dia, isso se o invasor se dedicar a uma só vítima.
Quando comparamos esse tempo com os investimentos em segurança, percebemos que algo está errado, ou no mínimo, que algo precisa ser mudado. Os americanos gostam e usam há muito tempo a expressão “pensar fora da caixa”, e é mesmo o que precisamos fazer. A cada ano o ambiente tecnológico e regulatório fica mais complexo, mas será que mudamos, ou adaptamos, nossa abordagem para a segurança digital? Eu diria que mudamos quase nada. Na verdade, seguimos modelos de riscos criados há pelo menos vinte anos. Tecnologicamente falando, ainda compramos produtos e soluções específicas para problemas, ou ataques, específicos; o famigerado “anti”. É nesse contexto que iniciativas como o Movimento CyberTech Brasil são mais do que importantes, são essenciais, ao estimular a discussão aberta e sem conceitos pré-concebidos, além da inovação.
Há alguns exemplos desses modelos antigos. Muitas empresas ainda perdem mais tempo e dinheiro fazendo com que seus usuários mudem suas senhas a cada 30 dias que em sistemas de single sign-on e múltiplo fator de autenticação. Deve-se mudar a senha periodicamente, mas é inútil só contar com isso. Talvez não fosse quando alguém a documentou como “boa prática”, há mais de duas décadas. Mas hoje, de maneira isolada, é inútil, apesar de muitos a usarem como se assim não fosse, desconhecendo que os últimos debates abordam a senha como um problema de segurança a ser resolvido, incentivando a indústria a investir na autenticação sem senha e, no meio tempo, em reduzir a fraqueza da senha como mecanismo de segurança.
Mas podemos ir além, e o próprio modelo de risco pode ser repensado. Trabalhamos ainda com o conceito de medir o risco, mitigar a maior parte dele e tratar o que não pode ser mitigado como risco residual ou risco aceitável, que poderia então ser transferido, via um seguro por exemplo. Mas é impossível medir o risco, pois não conhecemos de fato seus componentes. Não conhecemos todas as vulnerabilidades (novas descobertas são anunciadas todos os dias) e não controlamos as ameaças (não temos a menor ideia do que está sendo pesquisado pelos grupos de hackers). Somente conhecemos, ou temos a capacidade de conhecer, o valor dos nossos ativos e os prejuízos caso sejam comprometidos. Dessa forma, não podemos achar que o risco desconhecido é menor que o conhecido. Nessa mesma linha, é um equívoco medir os riscos cibernéticos futuros com base nos passados.
Acredito que uma mudança no modelo de tratamento de risco deve se iniciar com uma mudança de princípio: esquecer a pretensão de medir o risco, partindo para uma abordagem prática de mitigar as ameaças conhecidas – que irão mudar diariamente de acordo com novas vulnerabilidades e técnicas de invasão; e preparar-se para detectar e reagir rapidamente aos desconhecidos, reduzindo o tempo de detecção. Vejam que aqui há uma mudança de postura: ao invés do “estou protegido” para “posso ser atacado a qualquer momento”. Nessa nova postura, não ficamos contentes com o fato de que não há alertas nas consoles de gerência, porque, como imortalizado por Nassim Taleb, “ausência de evidência não é evidência de ausência”. Sabemos também que o conhecimento de ataques passados, e suas técnicas, nos ajudam a proteger-nos de novos, até porque os hackers costumam reutilizar técnicas, mas não podemos esperar que os novos ataques sejam sempre idênticos. Aqui se encaixa o primeiro Programa de Inovação Aberta do Movimento CyberTech, para detecção de ameaças, resposta a incidentes e threat hunting. Mais que desenvolver ferramentas, o Programa irá fomentar a discussão sobre o tema.
O componente mais importante para a redução do tempo de uma invasão é a detecção. Esta também é uma inversão das práticas adotadas. Pensamos mais em bloqueio que em detecção, porque é isso que no fim desejamos – bloquear ataques. No entanto, o bloqueio automático é viável apenas para ameaças conhecidas. Para as desconhecidas, primeiro precisamos detectá-las, e o desafio está justamente nisso, em detectar uma atividade maliciosa que ainda não vimos. A respostas estão nos sinais – os quais aparecerão como atividades de comportamento não usual. De repente um usuário que sempre usou Windows se conecta a partir de um Linux, ou um computador que sempre se comunicou com sistemas internos começa a enviar e receber tráfego da Internet, e de um país com o qual não temos nenhum negócio. Usei a palavra sinais para se diferenciar de eventos, porque estes acabam sendo gerados por ataques conhecidos, aqueles com nome e sobrenome, e a detecção não pode estar restrita a eles. Ela precisa expandir-se para a detecção de sinais. Mas o inferno mora nos detalhes, e eles estão no requerimento de visibilidade. A ideia é até simples, “não se detecta aquilo que não se vê”, mas a implementação não. Há vários pontos cegos na monitoração de segurança que precisam ser cobertos.
Essa capacidade de ver e detectar sinais é importantíssima porque as primeiras horas e dias de uma invasão são os mais importantes. O invasor pode ter conseguido seu acesso via credenciais ou computador de um usuário com poucos privilégios, e em seguida ele irá tentar obter mais privilégios e a alcançar sistemas e computadores mais relevantes. É esse o melhor momento de detectá-lo, porque é quando mais sinais são gerados. Uma vez estabelecido, o invasor poderá trabalhar com calma e ir omitindo seus sinais de atividade. Além disso, os sinais terão que ser interpretados rapidamente, o que, dependendo do tamanho da empresa, será tarefa inviável para um ser humano, exigindo tecnologia. Os sistemas modernos usam inteligência artificial, o que sempre nos dá a impressão de algo caríssimo, mas o uso está bastante disseminado e custa muito menos do que pensamos.
Além da I.A., necessitamos também de cooperação entre os produtos instalados. Sinais vindos da rede podem fazer mais sentido quando cruzados com os sinais vindos do correio eletrônico, e a determinação de que a atividade é maliciosa irá depender de usar sinais de ambos. As vezes precisaremos também dos sinais emitidos pelo proxy web, ou do sistema de DNS Seguro. Esses dois elementos – visibilidade e cooperação – são primordiais para que um dia o tempo médio de detecção seja de algumas horas.
Marcelo Bezerra atua há mais de 25 anos como especialista em segurança da informação, palestrante internacional e escritor. É autor do livro Jornada da Segurança, publicado em 2018, e mantém coluna mensal na Revista RTI. Mantém ainda o blog Segurança Digital. Como palestrante participou de conferências no Brasil, Argentina, Chile, Colômbia, México e Estados Unidos. Atualmente é gerente sênior de engenharia de segurança da Cisco na América Latina na Cisco Systems, liderando a equipe de arquitetos de segurança na América Latina. Antes da Cisco, Marcelo liderou a equipe de vendas técnicas na America Latina para a FireMon, Crossbeam (adquirida pela BlueCoat) e Internet Security Systems (adquirida pela IBM).
