....Como disse Cypher, em Matrix, "A ignorância é maravilhosa". No âmbito da Segurança da Informação, eu diria que a ignorância é maravilhosa e causa um falso senso de segurança.
Nos últimos tempos, temos executado com maior frequência nossos serviços de Gestão de Logs e Eventos. Esse trabalho consiste basicamente em monitorar em tempo real os eventos maliciosos que ocorrem nos sistemas das empresas.
Entenda que uma coisa é definir políticas de acesso à Internet e de acesso à rede interna, por exemplo, e configurar mecanismos de segurança, que controlarão quem vai para onde. Esse é mais ou menos o papel dos seguranças nas entradas das empresas, nas portarias dos edifícios, ...
Outra coisa completamente diferente é saber se o que está passando pelos mecanismos de segurança carregam consigo uma intenção maliciosa ou não.
Garanto que na grande maioria das empresas, uma vez que você recebe o direito de entrar, os seus passos dentro das instalações não são monitorados.
No mundo virtual a realidade não é muito diferente.
Só para vocês terem uma idéia, no último mês fizemos uma trabalho em um cliente que chamamos de "Degustação de monitoramento de eventos maliciosos". A única diferença entre essa degustação e o serviço contratado pelos clientes é que a análise não é obrigatoriamente executada em tempo real.
Bom, em 5 dias de coleta dos logs do Firewall e de alguns servidores de aplicação nós registramos mais de 16000 eventos classificados como maliciosos.
Esses eventos tinham diferentes objetivos, entre eles: Estudo do firewall, do sistema operacional dos servidores, das portas abertas nos servidores, dos serviços, das aplicações, do banco de dados.
As tentativas de furar as aplicações foram muitas. Os "hackers", de forma não coordenada, fizeram uma verdadeira análise da infraestrutura de servidores da empresa.
Os IPs de origem vinham de lugares geograficamente distantes.
Após assistir a apresentação do relatório, o CIO da empresa ficou meio sem chão. Ficou tão preocupado que decidiu fazer uma análise para saber se todos os servidores ainda estavam sob a administração deles. Para ele, era fato que, com tanta gente atacando os servidores, alguém já poderia estar coadministrando algum servidor.
A imensa maioria dos Gestores de TI ainda imagina que se um servidor está funcionando bem é porque ele está seguro e ninguém o invadiu.
Quando um "hacker" tirar um servidor do ar, ou ele errou feio, ou é "menino" ou é ciberterrorista.
Quando um dos bons entra num servidor, ele, muitas vezes, procura torná-lo mais seguro. Para impedir que mais alguém invada e tenta ficar oculto o maior tempo possível.
No final das contas, fica cada vez mais claro que as empresas não fazem nem idéia de quantas vezes elas são atacadas, se estão seguras, se alguém já conseguiu invadir algum servidor, ..... A ignorânia é maravilhosa e perigosa.
Fico por aqui.
Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br
Tô no twitter, tuitando sobre tudo http://twitter.com/rodbramos
t+
saúde e paz
Legal Rodrigo!! :)
ResponderExcluir