porque a segurança técnica é a base da gestão de riscos
TRANSCRIPT
Porque a Segurança Técnica é a base da Gestão de Riscos
por Eduardo Vianna de Camargo Neves
02 de maio de 2009
Em qualquer mercado, sempre existe uma buzzword que toma a mídia especializada e as
conversas dos profissionais nas rodas de bate papo e início de reuniões. Nos últimos meses, o
conceito de Governança, Risco e Compliance (GRC) tem aparecido como uma das principais
iniciativas em Segurança da Informação, onde um framework muito bem estruturado, ajuda as
organizações a manterem o risco em seus ambientes dentro de níveis toleráveis por quem paga
a conta.
Isso é sensacional, e me deixa satisfeito de ver que a especialização que escolhi como carreira,
finalmente assume um papel estratégico. Porém, existe uma base que muitas vezes é esquecida
e até desprezada pelas empresas e profissionais que cuidam dos seus processos de segurança: a
segurança técnica. Apesar de ser a parte mais fundamental para a manutenção de um ambiente
seguro, este componente é continuamente colocado como item de segunda linha, ou que não
precisa de pessoas especializadas para ser adequado e administrado. Isto não é uma opinião
pessoal, existem fatos que deixam claro o quanto precisamos melhorar neste aspecto.
Camargo Neves RMS
Porque a Segurança Técnica é a base da Gestão de Riscos Página 2
A Repetição do Erro
Focando somente em vulnerabilidades em Aplicações Web, os resultados do OWASP Top 10
mostram que apesar de ter obtido em 2007 um crescimento de espantosos 43% em relação ao
ano anterior e ter gerado mais de R$ 6 bilhões somente no Brasil, a “cara” do comércio
eletrônico é mantida de forma quase amadora.
Um relatório publicado recentemente pela consultoria White Hat Security, concluiu que 90% dos
web sites estão vulneráveis a ataques diversos1. Este número pode até mesmo ser um exagero
ou uma tentativa de FUD, mas que tal analisarmos os resultados do OWASP Top 10 2007 que
variam pouco desde 2004?
A tabela abaixo deixa claro que pouca coisa mudou em três anos, e vulnerabilidades já
conhecidas e com processos corretivos publicados em diversas fontes na Internet, simplesmente
não são corrigidas.
OWASP Top 10 2007 Ranking OWASP Top 10 2004
Cross Site Scripting (XSS) 01 Unvalidated Input
Injection Flaws 02 Broken Access Control
Malicious File Execution 03 Broken Authentication and Session
Management
Insecure Direct Object Reference 04 Cross Site Scripting (XSS)
Cross Site Request Forgery (CSRF) 05 Buffer Overflows
Information Leakage and Improper
Error Handling 06 Injection Flaws
Broken Authentication and Session
Management 07 Improper Error Handling
Insecure Cryptographic Storage 08 Insecure Cryptographic Storage
Insecure Communications 09 Denial of Service
Failure to restrict URL access 10 Insecure Configuration Management
Além do que está apresentado na tabela, existem várias outras vulnerabilidades que são
facilmente exploradas por worms, crackers amadores e script kiddies. E as consequências podem
ir desde uma simples “derrubada” no web site da organização por algumas horas, até o acesso e
a modificação de dados de clientes e/ou parceiros comerciais, como pode ocorrer em alguns
ambientes na exploração do Cross Site Scripting (XSS) ou do SQL Injection, que não figura no
OWASP Top 10 mas é extremamente comum.
1 90% of public websites are vulnerable to attack em http://www.net-security.org/secworld.php?id=5939.
Camargo Neves RMS
Porque a Segurança Técnica é a base da Gestão de Riscos Página 3
O Fator Humano
Quando olhamos outra fonte confiável de informação sobre vulnerabilidades, podemos concluir
que o problema é gerado não só pela falta de cuidado dos fabricantes em lançar produtos com
configurações padronizadas que não são obrigatoriamente alteradas pelos seus clientes, e
manter a odiosa prática de senhas padrão para quase tudo.
Somado a isto tudo, temos os técnicos que não configuram de forma adequada os sistemas
pelos quais são responsáveis, e os usuários desta infraestrutura que por diversos motivos falham
em seguir procedimentos de segurança, estejam estes estabelecidos ou não.
Os dados apresentados no SANS Top-20 2007 Security Risks deixam claro que esta minha
afirmação está longe de ser uma conjectura. Web browsers vulneráveis a spoofing e scripts
maliciosos, aplicações de escritório que oferecem muito mais que um usuário comum precisa e
saem de fábrica carregadas de furos de programação, sistemas operacionais que precisam de
correções sucessivas. A lista é longa, e quase todos os items estão diretamente ligados à falta de
cuidado com a Segurança Técnica.
Mas antes de apontar o dedo e culpar os fabricantes, técnico e usuários, é preciso entender a
causa do problema e os motivos que levam estas listas a não se alterarem com o passar dos
anos. Estamos trabalhando da forma certa, quando o assunto é manter o ambiente com um
nível de risco aceitável?
A resposta é não. Estamos fazendo o que é necessário para os negócios andarem, e isto não
necessariamente significa que eles fiquem seguros. Quantos projetos de TI você conhece que
levaram a sério a etapa de avaliar a necessidade de controles, alocar recursos para que estes
sejam comprados/desenvolvidos/implementados, e um processo de auditoria independente
para revisar o produto final? Da minha parte, posso afirmar que de cada dez, talvez um pudesse
ser encaixado nesta categoria. E você?
Buscando Alternativas
A causa me parece muito clara, infelizmente ainda não existe na maioria das organizações o
entendimento do que é segurança, e como ela pode ser atingida de forma estruturada. Existem
pressões para o sistema de vendas ficar pronto, para o billing atender as mudanças de preço,
para o CRM incluir novos cadastros, mas e para que tudo isso funcione com estabilidade?
Pressões para um plano de continuidade fazer parte do processo, para o código das aplicações
ficar seguro contra ataques ou ainda para simplesmente treinar as pessoas a usarem os recursos
de forma certa, existem? Manter o ambiente com um nível de segurança aceitável significa
envolver toda a organização no processo, incluir uma cultura “segura” na cabeça das pessoas,
ter o apoio do corpo executivo. Isso é totalmente correto, mas é difícil de conseguir
rapidamente não só pela resistência natural que existe, mas também pela falta de priorização
que você vai encontrar e pela dificuldade de conseguir fundos para isto.
Porém, o primeiro passo de garantir a presença de controles de segurança técnica, é mais
rápido, mais simples e envolve muito menos gente. Se você trabalha em uma empresa de
pequeno ou médio porte, talvez a sua dedicação e um apoio mínimo da sua chefia sejam
suficiente para mudar as coisas. Existem empresas especializadas em segurança técnica, como a
Camargo Neves RMS
Porque a Segurança Técnica é a base da Gestão de Riscos Página 4
minha, e existem ainda recursos na Internet que custam só o seu tempo de ler, entender e
aplicar.
OWASP
O OWASP (Open Web Application Security Project) é uma iniciativa formidável que congrega
pessoas de todo o mundo em torno de um só trabalho: criar e disponibilizar práticas de
segurança técnica que possam ser usadas para criar um ambiente mais seguro. As pessoas que
trabalham no OWASP não ganham nada além da satisfação de contribuir para a comunidade e
aprender muito no processo. Lá você irá encontrar recursos que podem ajudar a:
Aprender sobre vulnerabilidades, ameaças, ataques e principalmente, como evitar tudo
isso no ambiente sob sua responsabilidade.
Conhecer como funcionam e aprender a evitar as vulnerabilidades mais comuns no
mundo web, que são listadas no OWASP Top 10 e foram traduzidas pelo Chapter Brazil
para o português.
Incluir etapas de segurança no processo de desenvolvimento de software, ou mesmo
revisar o que já tem pronto para descobrir se melhorias neste escopo são necessárias. O
CLASP (Comprehensive, Lightweight Application Security Process), o OWASP Guide 2.0 e o
OWASP Web Security Certification Criteria são recursos grátis, de excelente qualidade e
que estão disponíveis.
SANS
O SANS Institute é bastante conhecido pelas certificações técnicas que provê, porém nem todos
sabem que o site deles é um enorme repositório de conhecimento, onde existe desde material
de leitura acadêmica em segurança e guias para a criação de políticas de segurança, até formas
de evitar as SANS Top 20.
Um dos projetos que eles mantêm que mais gosto, é o Security Consensus Operational
Readiness Evaluation (SCORE). O SCORE tem como objetivo manter no site do SANS uma lista
de padrões e checklists voltados para a manutenção de níveis mínimos de segurança. Ainda
engatinhando, tem somente um documento disponível e muito mais voltado ao mercado norte-
americano, mas estão sendo desenvolvidos documentos para UNIX, handhelds e firewalls.
Contribuir para esta iniciativa, é sem dúvida uma excelente forma de aprender e compartilhar o
conhecimento com a comunidade.
Camargo Neves RMS
Porque a Segurança Técnica é a base da Gestão de Riscos Página 5
Concluindo
Impedir a ocorrência de problemas em Segurança da Informação é uma tarefa impossível, que
ninguém em sã consciência pode assumir de forma séria, porém, evitar que erros primários
gerem vulnerabilidades na infraestrutura de TI é uma tarefa simples, que exige do corpo técnico
somente boa vontade e capacidade mínima para administrar os controles de forma adequada.
Talvez na próxima vez que o seu gerente quiser falar sobre GRC, Identity Management, Risk
Management e outros processos avançados em Segurança da Informação, seja bom lembrar que
o básico não pode ser esquecido e o corpo técnico tem um papel tão fundamental no suporte
ao processo de gestão como os demais. Seguir as recomendações para evitar a ocorrência dos
problemas listados no OWASP Top 10 e SANS Top 20 é uma questão de bom senso, e
certamente irá evitar muitos problemas que custarão bem mais para serem resolvidos.
Sobre o Autor
Eduardo V. C. Neves, CISSP, trabalha com Segurança da Informação desde 1998. Iniciou sua
carreira profissional em uma das principais empresas de consultoria do mercado brasileiro,
posteriormente trabalhando como executivo de uma empresa Fortune 100 por quase 10 anos. Em
2008 fundou uma das primeiras empresas nacionais especializada em Segurança de Aplicações e
hoje se dedica a prestar serviços de consultoria nas práticas de Risk Management e Business
Continuity. Serve ainda como voluntário no OWASP e (ISC)2 e contribui para iniciativas de
evangelização nas práticas de proteção da informação para federações e associações no Brasil.
Pode ser contatado pelo e-mail [email protected].