Os Sistemas de Segurança não são mágicos

Algumas empresas acreditam que o simples fato de comprar ou baixar um software ou appliance para realizar funções de segurança é o passo definitivo para ter um ambiente seguro. Isso é falta de conhecimento ou resultado de uma fraca consultoria.

Em primeiro lugar, é necessário criar uma Política de  Segurança, que englobará todas as áreas da empresa e a forma com que elas  criam, acessam, tratam, transformam, encaminham, ... as informações. 

Com essa política em mãos, uma empresa especializada em Segurança da Informação, especificará os requisitos técnicos necessários para as ferramentas onde essas políticas serão implementadas, nas diferentes camadas da infraestrutura da empresa.

Alguns exemplos de políticas:

- Política de acesso à rede

- Política de acesso à rede por pessoas externas

- Política de acesso à Internet

- Política de acesso à Web

Em muitos casos as políticas precisam ser proibitivas, onde o que não estiver explicito é proibido.

Além das políticas e ferramentas, é extremamente importante um forte trabalho de conscientização dos funcionários.

Bom, é isso aí.

Continuem enviando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Tô no http://twitter.com/rodbramos

t+

saúde e paz

Tempo de resposta

Hoje em dia existe solução de TI para tudo no mundo. Voltando lá para 2003-2004, nós entrávamos nas empresas só porque tinhamos soluções, principalmente do mundo Open Source.

Hoje, deve existir pelo menos duas dúzia de softwares para a mesma demanda.

Quando um cliente me chama para questionar uma solução que nós implementamos, o meu discurso é quase sempre o mesmo.

A escolha deve ser baseada nos requisitos funcionais e de gerenciabilidade.

Tão importante quanto achar uma solução para  um problema, é conseguir e saber gerenciar a solução para impedir que ela faça parte do problema em algum momento.

Não é sempre que uma solução é gerenciável.

Como diz um amigo "O bom no bom é muito bom. Quero ver o bom no ruim". Traduzindo: Uma solução precisa ser boa em momentos de estabilidade e de instabilidade.

Na minha opinião, para ser completa, a solução deve ser capaz de  diminuir o tempo de resposta na resolução dos problemas. É lógico que essa capacidade não é mágica. Ter boa experiência em gestão de configuração, de incidentes, mudança, .... são requisitos básicos para alcançar o Menor Tempo de Resposta possível.

Vamos para um exemplo:

Todo serviço de email envia e recebe emails. Quando ele para de funcionar, em quanto tempo é possível descobrir porque ele parou? Será que ele fala abertamente onde está o problema? Quem for tratar o problema poderá precisar ter experiência com o serviço, com o sistema operacional, logs, TCP/IP, ....

Bom, é isso aí.

Continuem enviando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Também tô no http://twitter.com/rodbramos

t+

saúde e paz

Política de acesso ao servidor via Internet

Em meus sonhos, eu passo várias horas do mês varrendo a Internet para fazer uma breve avaliação da segurança das redes. É um sonho maluco, que já dura um pouco mais de 10 anos. Espero um dia dormir a noite inteira sem sonhar com isso.

Bom, algumas coisas simplesmente não mudam quando estou nas redes brasileiras. Senhas padrão em roteadores e em alguns sistemas são alguns exemplos.

Mas se tem uma coisa que acho uma grande loucura e que vejo com muita frequência, são os serviços de terminal (Terminal Service = TS ) com a cara na Internet. 

Sei que muitas vezes esses servidores estão na rede interna (não em uma DMZ), que não há sistemas, nem procedimentos para blindar o servidor ainda durante sua instalação e configuração, assim como sei que ninguém monitora os logs para saber se tem algum "hacker" tentando quebrar a senha do serviço para acessá-lo. Ou seja, o servidor está protegido pelo divino espírito santo.

Muitas vezes, quando conheço as empresas (mesmo em meus sonhos), pergunto o porquê, mas as respostas são as mais loucas possíveis.

Não sei qual a dificuldade de se implementar uma VPN para esses casos.

Uma VPN (Virtual Private Network - Rede Privada Virtual) possibilita conexões criprografadas entre o cliente e o servidor. 

O ideal é que o cliente se conecte na VPN e só depois seja direcionado para se autenticar no serviço de terminal.

Utilizando esse caminho, todo o tráfego entre o cliente e a empresa será criptografado e o serviço de terminal não precisará estar disponível na Internet para qualquer outro sonhador ficar tentando quebrar a senha ou se utilizar de algum furo não corrigido no serviço de terminal para acessar algum sistema da empresa.

O cenário ainda pode piorar se o "hacker" conseguir acessar o servidor e em seguida tiver acesso livre a outros servidores e informações na rede. Os sonhos de uns podem ser pesadelos de outros.

É isso aí gente, vamos criar Políticas de Segurança e deixar os arquitetos da segurança trabalhar....Ah simmmmm...liberem recursos.

Continuem enviando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Qq coisa tô no twitter http://twitter.com/rodbramos

t+

saúde e paz

Correlacionar é preciso

Já não é mais possível ficar tentando entender os problemas sem consultar o que dizem os roteadores, switches, servidores, sistemas operacionais, serviços e aplicações. Isso é fato.

As empresas que hoje têm uma estrutura para centralizar os logs dos sistemas (roteadores, switches, servidores, sistemas operacionais, serviços e aplicações) conseguem ser mais eficazes que as outras.

Alguns motivos:

- Conseguem identificar "pré problemas";

- Suas áreas de suporte à infraestrutura conseguem ser proativas;

- Conseguem rastrear problemas com maior facilidade;

- Eventos relacionados que ocorrem em diferentes sistemas podem ser detectados e analisados facilmente;

- Conseguem facilmente eliminar as pontos que não possuem relação com os problemas;

- Além das análises manuais, alertas podem ser enviados quando gatilhos forem disparados.

...Bom, tenho que correr para um reunião de última hora.

Vou falar mais sobre esse tema focando mais na segurança da informação.

Abração,

t+
saúde paz

A ignorância é maravilhosa e perigosa

....Como disse Cypher, em Matrix, "A ignorância é maravilhosa". No âmbito da Segurança da Informação, eu diria que a ignorância é maravilhosa e causa um falso senso de segurança.

Nos últimos tempos, temos executado com maior frequência nossos serviços de Gestão de Logs e Eventos. Esse trabalho consiste basicamente em monitorar em tempo real os eventos maliciosos que ocorrem nos sistemas das empresas.

Entenda que uma coisa é definir políticas de acesso à Internet e de acesso à rede interna, por exemplo, e configurar mecanismos de segurança, que controlarão quem vai para onde. Esse é mais ou menos o papel dos seguranças nas entradas das empresas, nas portarias dos edifícios, ...

Outra coisa completamente diferente é saber se o que está passando pelos mecanismos de segurança carregam consigo uma intenção maliciosa ou não.

Garanto que na grande maioria das empresas, uma vez que você recebe o direito de entrar, os seus passos dentro das instalações não são monitorados.

No mundo virtual a realidade não é muito diferente.

Só para vocês terem uma idéia, no último mês fizemos uma trabalho em um cliente que chamamos de "Degustação de monitoramento de eventos maliciosos". A única diferença entre essa degustação e o serviço contratado pelos clientes é que a análise não é obrigatoriamente executada em tempo real.

Bom, em 5 dias de coleta dos logs do Firewall e de alguns servidores de aplicação nós registramos mais de 16000 eventos classificados como maliciosos.

Esses eventos tinham diferentes objetivos, entre eles: Estudo do firewall, do sistema operacional dos servidores, das portas abertas nos servidores, dos serviços, das aplicações, do banco de dados.

As tentativas de furar as aplicações foram muitas. Os "hackers", de forma não coordenada, fizeram uma verdadeira análise da infraestrutura de servidores da empresa.

Os IPs de origem vinham de lugares geograficamente distantes.

Após assistir a apresentação do relatório, o CIO da  empresa ficou meio sem chão. Ficou tão preocupado que decidiu fazer uma análise para saber se todos os servidores ainda estavam sob a administração deles. Para ele, era fato que, com tanta gente atacando os servidores, alguém já poderia estar coadministrando algum servidor.

A imensa maioria dos Gestores de TI ainda imagina que se um servidor está funcionando bem é porque ele está seguro e ninguém o invadiu.

Quando um "hacker" tirar um servidor do ar, ou ele errou feio, ou é "menino" ou é ciberterrorista.

Quando um dos bons entra num servidor, ele, muitas vezes, procura torná-lo mais seguro. Para impedir que mais alguém invada e tenta ficar oculto o maior tempo possível.

No final das contas, fica cada vez mais claro que as empresas não fazem nem idéia de quantas vezes elas são atacadas, se estão seguras,  se alguém já conseguiu invadir algum servidor, ..... A ignorânia é maravilhosa e perigosa.

Fico por aqui.

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Tô no twitter, tuitando sobre tudo http://twitter.com/rodbramos

t+

saúde e paz