sysvalue, “the reliability company”

Março 2012

tendências em IT Security (e não só)ou “dos mainframes à web e de volta”

Business Breakfast - Março 2012 – Sheraton Hotel

2© SysValue 2012 (C)

agenda

porque é tão difícil e como garantir e promover segurança em continuidade?

1 – relação amor-ódio entre IT Management e IT Security

2 – como evoluiram as arquitecturas IT e como se tornaram mais complexas e inseguras

3 – tendências em IT Security para 2012

- Targeted Custom Malware

- Serious/Real Incident Response

- Improved Social Engineering e Social Media

- Compliance

4 – como ter tempo e meios para nos protegermos – uma visão do futuro de curto-prazo

- garantindo a continuidade de um parque informático alargado

- forçando a homogeneidade e integridade de sistemas operativos e aplicacionais

- libertando os gestores de IT das tarefas “do costume”

3© SysValue 2012 (C)

1 - Amor-ódio

4© SysValue 2012 (C)

onde está o amor-ódio?

... ou porque não são os dois os melhores amigos?

Ciclo de vida das aplicações

Gestão de utilizadores

Help-Desk

Suporte à análise funcional

Levantamento de requisitos

Gestão do Parque IT

Operacionalização do ciclo de vida dos dados

Operacionalização do âmbito de acções de salvaguarda

Negociação de Service Level Agreements (SLAs)

Responsabilização sobre os SLAs

.....

IT Manager Security Manager

Disponibilidade

Integridade

Confidencialidade

Classificação de informação

Credenciação

Auditoria

Definição do ciclo de vida dos dados

Definição do âmbito de acções de salvaguarda

Conformidade com a Lei

Responsabilização sobre “falhas de segurança”

.....

“quem manda

em quem?”

“deveria alguém

mandar?”

“deveria ser uma

só função?”

“deveria a

segurançasubir?”

5© SysValue 2012 (C)

onde está o amor-ódio?

as prioridades são por vezes conflituosas

• o PC avariou e o utilizador tem urgência (sempre) – faz-se a rotação de um equipamento ainda

não “preparado” ou espera-se pela realização do protocolo definido?

• todos os utilizadores têm uma necessidade diferente todos os dias – se lhes é feita uma

instalação especializada, tendencialmente torna-se eterna!

• a actualização multi-diária das assinaturas antí-virus perturbam os SLAs assumidos – que

opção tomar? aumentam as queixas de “lentidão da rede”ou a probabilidade de incidência de

malware?

• o armazenamento e troca de dados “localmente” entre os utilizadores é confortável,

transmite-lhes segurança e privacidade e é um pedido frequente – que fazer? Impedir tal ou

correr o risco de existirem dados críticos espalhados por toda a organização?

6© SysValue 2012 (C)

onde está o amor-ódio?

... e os IT Managers já não querem ser o “bastard operator from hell”

mas a gestão de um parque alargado de PCs, onde se sentam todos os dias eventualmente centenas ou milhares de utilizadores, todos com um telefone com um post-it do HelpDesk pode ser um pesadelo.

Torna-se frequente o recurso a expedientes de modo a acelerar a realização de algumas iniciativas.

Quem já não deu “o golpe” em situações banais e pontuais como:

Por outro lado, algumas tarefas mais estratégicas podem ser também uma ida ao inferno:

• Entrega de máquinas de substituição

• Instalação de aplicações supostamente temporárias;

• Fornecimento de acesso a dados ou redes também supostamente temporários

• Incorporação de regras em firewalls pessoais para “facilitar” o acesso a sistemas

• .....

• Migração do sistema operativo adoptado pela organização;

• Instalação de um pacote de produtos em todos os equipamentos da organização;

• Disponibilização de elementos de segurança (assinaturas AV, e.g.) como prática preventiva ou

de resposta;

• Substituição de milhares de equipamentos infectados ou aplicação de um patch

• .....

7© SysValue 2012 (C)

qual é o problema?

o problema é arquitectural!

De facto o elemento que está na base de todos os problemas identificados atrás é arquitectural e não derivado de práticas de gestão boas ou más nem da adopção de melhores ou piores produtos.

Distribuição dos meiosOs meios têm de ter acesso universal dada a dispersão geográfica das organizações. Adicionalmente, é hoje esperado que suportem a mobilidade intra-organização (não necessariamente apenas relativo a laptops).

Gestão localEmbora se utilizem hoje produtos (Altiris, SMS, MoM, Marimba, etc.) e práticas de gestão centralizada de segurança e administração IT, cada endpoint é tipicamente ainda um endpoint em isolamento com elementos próprios não voláteis (disco) e fisicamente não totalmente fiáveis (discos, fontes, etc.)

Administração “nem por isso” centralizadaOs elementos especializados na gestão e administração de parques informáticos e alargados não são omni-presentes pelo que embora seja esperado que façam uma administração centralizada, tal é relativamente errado pois apenas realizam centralmente uma gestão distribuída.

8© SysValue 2012 (C)

2 - Como evoluiram as arquitecturas IT e se tornaram mais complexas

...e intrinsecamente mais inseguras

9© SysValue 2012 (C)

como evoluiram as arquitecturas IT?

dos mainframes à web e de volta

Sem perda de generalidade, pode-se considerar que a computação passou pelas seguintes fases:

Mainframe

ttytty

tty

tty

ttytty

tty

ttyMainframe

tty

tty

tty

tty

tty

tty

tty

tty

Sistemasdistri.

Sistemasdistri.

Sistemasdistri.

Sistemasdistri.

Existia uma grande diferença entreIT Management e Security Management?

E aqui ... era a diferença substancial?

10© SysValue 2012 (C)

como evoluiram as arquitecturas IT?

dos mainframes à web e de volta

Sem perda de generalidade, pode-se considerar que a computação passou pelas seguintes fases:

PCs

PCs

PCs

PCs

PCs

PCs

PCs

PCs

Sistemasdistri.

Sistemasdistri.

Sistemasdistri.

Sistemasdistri.

Sistemascentrais

Sistemascentrais

Sistemascentrais

Sistemascentrais

Os PCs começam a serum pesadelo!

11© SysValue 2012 (C)

como evoluiram as arquitecturas IT?

dos mainframes à web e de volta

Sem perda de generalidade, pode-se considerar que a computação passou pelas seguintes fases:

PCs

PCs

PCs

PCs

PCs

PCs

PCs

PCs

Sistemasdistri.

Sistemasdistri.

Sistemasdistri.

Sistemasdistri.

Sistemascentrais

Sistemascentrais

Sistemascentrais

Sistemascentrais

Web Servers

Web Servers

Web Servers

Web Servers

E a mudança para um“mundo web” não

resolve tudo!

12© SysValue 2012 (C)

como evoluiram as arquitecturas IT?

dos mainframes à web e de volta

Qual é o próximo passo? Como endereçar a seguinte equação?

Ubiquidade

Heterogeneidade

Massificação

Riscos e ameaças

=

+

+

+

Complexidade = Insegurança

13© SysValue 2012 (C)

3 – Tendências em IT Security para 2012

14© SysValue 2012 (C)

tendências para 2012

como chocam estas tendências com a realidade descrita anteriormente?

Targeted custom malwareImproved Social Engineering e Social Media

Malware começa a ganhar formas muito profissionais, endereçadas às vulnerabilidades e particularidades das organizações, e irão explorar as dificuldades destas em gerir a threat landscape

Entidades mais vulneráveis:

Organizações densamente distribuídas

Com parques heterogéneos

Com gestão ineficiente (não necessariamente muita) que promova desactualizações

Com softwares desnecessários

Com utilizadores não sensibilizados

15© SysValue 2012 (C)

tendências para 2012

como chocam estas tendências com a realidade descrita anteriormente?

Serious/Real Incident Response

A estimativa do SANS Institute é que seja necessário um perito por cada 7500 endpoints (IP, por exemplo) numa organização.

Entidades onde esforço forense e de investigação será maior:

Organizações densamente distribuídas

Com parques heterogéneos

Com gestão ineficiente (não necessariamente muita) que promova desactualizações

Com softwares desnecessários

16© SysValue 2012 (C)

tendências para 2012

como chocam estas tendências com a realidade descrita anteriormente?

Compliance

Push regulamentar e demanda do mercado irão forçar organizações a alinharem o seu IT Management e a sua IT Security por normativos exigentes, rígidos, ambiciosos, orientados ao processo e a sistemas de gestão

Entidades onde esforço e custo de conformidade serão maiores:

Organizações sem gestão centralizada (no sentido discutido atrás)

Ou com gestão ineficiente

Com parques heterogéneos que implicam uma análise/gestão de risco mais complexa

Com arquitecturas cujo gestão de segurança (incluindo disaster recovery) é mais difícil

17© SysValue 2012 (C)

4 - uma visão do futuro de curto-prazo

18© SysValue 2012 (C)

uma visão de futuro

como podem o IT Management e o IT Security serem simultaneamente endereçados?

Redes locais

Desktop virtual

Stateless host

Desktop virtual

Stateless host

DataCenter

Servidor de Aplicações Virtuais

Aplicações virtuais

Aplicações virtuais

Servidor de Desktops Virtuais

•Confiando em redes locais e alargadas cada vez mais

performantes e resilientes como meros meios de

transporte

•Mitigando o risco, por via da eliminação do estado, na

componente distribuída das arquitecturas (os endpoints)

• Implementando uma gestão IT realmente central

•Promovendo-se uma total homogeneidade de

ambientes e aplicações, onde excepções são

obrigatoriamente notadas

•Centralizando os dados em ambientes mais facilmente

geridos e protegidos

19© SysValue 2012 (C)

uma visão de futuro

como podem o IT Management e o IT Security serem eficazmente concretizados?

•Com recurso a soluções de virtualização de desktops e de

aplicações superiores, eficientes e eficazes;

•Com adopção de soluções de storage adequadas ao propósito (entre

outros):

• Integração com tecnologias de virtualização

•deduplicação

•compressão

• ...

•Apostando na facilitada/necessária centralização da informação, pela

implementação de planos de continuidade IT e recuperação de desastres

tecnicamente simples e cost-effective.