SEGURANÇA DA INFORMAÇÃO – MSS/ DDoS
Transcrição
SEGURANÇA DA INFORMAÇÃO – MSS/ DDoS
EMBRATEL ENTREVISTA: Bruno Tasco (Frost & Sullivan) SEGURANÇA DA INFORMAÇÃO – MSS/ DDoS SEGURANÇA DA INFORMAÇÃO – MSS/ DDoS Em entrevista, Bruno Tasco, consultor sênior da Frost & Sullivan relata os principais temas relacionados à segurança O Brasil é hoje um dos maiores alvos globais do cibercrime. As empresas e órgãos públicos brasileiros estão preparados para esse tipo de “guerra cibernética”? Bruno: O Brasil é muito atacado e entendo que é por sermos um país emergente que tem atraído olhares do mundo todo, para novos investimentos. Apesar das questões de crescimento econômico, o País tem uma perspectiva em termos de adoção de dispositivos móveis, adoção de novas tecnologias. Só que não somos maduros o suficiente, e eu não diria nem em termos de adoção de soluções de segurança. O que acontece é que, quando se trabalha essa questão de segurança da infraestrutura, estamos falando ou de você mesmo instalando o seu antivírus ou de ter uma empresa te apoiando e fazendo uma avaliação. Mas o mercado peca muito em dois pontos: o primeiro, é deixar de fazer o básico, ou seja, deixar de atualizar o seu antivírus, não ter nenhuma gestão do seu parque de máquinas e de dispositivos. O outro ponto: supondo que há máquinas amparadas por uma solução de segurança gerenciada e que gere alerta quando há quebra de sigilo, alguém tentando invadir de alguma forma, seja através de um vírus, malware, ataque DDoS etc. A grande questão, que discuti com algumas empresas, é: a empresa tem uma solução, mas depois de gerado o alerta, o que fazer com ele? É muito mais processual do que uma questão de tecnologia. Então, olhando para essa situação, as empresas do Brasil estão preparadas? Eu não acho que estejam. Acho que a gente olha para um universo de estrutura interna muito fraca para a questão de segurança. Não acredito que estejamos em um patamar pronto, digamos assim, para atuar contra isso. No âmbito dos fornecedores, o Brasil está no mesmo patamar dos países mais desenvolvidos na oferta de soluções sofisticadas nessa área? Bruno – Não tenho a menor dúvida. O que acontece é que estamos em uma economia globalizada, não fazemos mais negócio local. Para você atender a uma empresa global, você precisa ter uma expertise global. Temos visto inúmeras parcerias de empresas locais com empresas globais, ou movimentos de aquisições com foco em segurança que têm mostrado essa questão da globalização e do entendimento das empresas de que é necessário que elas tenham essa expertise pra conseguir desenvolver soluções. Os ataques hoje têm um propósito muito mais definido e centrado. São mais sofisticados, mais complexos, a escala é muito maior. Até pela existência de mais dispositivos conectados na internet – estamos falando de mobilidade com smartphones, tablets - a frequência desses ataques tem aumentado. Então, é importante que as empresas firmem parcerias ou desenvolvam isso internamente. Estamos vendo uma evolução muito forte de aplicações e negócio baseadas em web e o tempo todo você vai estar conectado numa rede, na internet, e é necessário que você tenha um acompanhamento mais adequado e mais próximo da segurança com relação a todos esses dispositivos que circulam na empresa. Antes da Copa do Mundo, havia uma expectativa de ataques em grande escala a órgãos governamentais e a empresas de alguma forma ligadas ao evento. Aparentemente, isso não se confirmou. As empresas e o país não estão tão vulneráveis como se supunha? Bruno: Talvez os ataques tenham se confirmado, mas não tivemos conhecimento porque empresas trabalham para impedir esses ataques. O mercado sempre foi reativo para investimento em solução de segurança. O pensamento predominante é: “Não fui atacado, não tive nenhum tipo de prejuízo em termos financeiros ou de disponibilidade de infraestrutura etc, não houve nenhum dano, então, por enquanto, não invisto em segurança”. Mas conforme vêm ocorrendo invasão a jornais, a sites do governo, a e-mail da Presidente, passamos a ter ou viver essa iminência de ataques. Assim, empresas mais expostas – e no caso da Copa do Mundo imagino que esmpresas tenham se preparado passam a investir muito mais. E aí é importante dizer que, quando se fala de ataques, não estamos nos referindo só a um tipo. A complexidade ou a extensão que um ataque pode tomar é muito ampla. Eu conversei com algumas empresas de segurança para fazer um estudo recente e ouvi, por exemplo, que na área de segurança estratégica para logística, porque tudo hoje é conectado, atacantes podem acessar o controle central da empresa e desviar um caminhão que esteja fazendo o transporte para onde for mais conveniente, para que eles possam roubar a carga. Temos por exemplo, o DDoS, que tem implicações na disponibilidade de serviço, ou seja, na perspectiva de derrubar um site. Isso tem acontecido com algumas empresas e envolve também a disponibilidade de rede. Se você controla a rede, tem um domínio, entendimento e monitoramento da rede, acho que isso te dá uma vantagem competitiva. Porque você consegue fazer o acompanhamento do fluxo da informação que está trafegando nela. Ataques de negação de serviços têm acontecido muito. Existem pessoas vendendo ataques de DDoS na internet. Eu não diria que é algo que está fugindo do controle, mas é uma realidade, todo mundo sabe, tem conhecimento disso. É algo que há algum tempo atrás não acontecia. Quais as principais fraquezas nas abordagens atuais das empresas para se proteger contra esses ataques de DDoS? Bruno: Conversei com algumas pessoas e chegamos ao consenso de que não existe empresa 100% segura. Tem o fator humano, tem tendências ou surgimento de novas soluções para facilitar o trabalho colaborativo pela internet que precisam ser avaliadas quanto à segurança para as informações das empresas. A questão do fator humano é extremamente importante. Vejo que a cabeça dos executivos está realmente mudando, no sentido de como eles pensam tecnologia, de como eles investem e onde eles estão colocando seus esforços. Ter o controle da informação, da gestão da sua infraestrutura, da segurança e de tudo o mais sempre foi uma regra para equipes de TI. Em contra partida, sempre ouvimos o discurso de foco no core business, de trocar Capex por Opex. Esse sempre foi um discurso do mercado, e continua sendo, mas acho que agora está começando a fazer efeito. Estamos evoluindo muito rápido, passamos de um modelo de comercialização de licença para um modelo móvel, com consumerização, todo mundo trazendo seu dispositivo pra dentro da empresa, acessando aplicações na web, compartilhando informação. Então, é tudo mais dinâmico, mais rápido do que era há cinco anos. As empresas tem que se adaptar de uma maneira ou de outrapara responder as novas ameaças e modelos de negócio. Na questão do fator humano, por exemplo, é preciso ir além da implementação e gestão de senhas de acesso, é preciso lidar com o fato de que o funcionário está trazendo seu dispositivo particular para o trabalho e fazendo uso de ferramentas de colaboração que não são teoricamente permitidas pela empresa. Isso gera um risco e traz uma questão bem preocupante no sentido de como monitorar e gerenciar tudo isso garantindo uma boa experiência do usuários com segurança sem comprometer a infraestrutura da empresa. Esse novo comportamento abre um pouco a margem para uma série de problemas, mas ao mesmo tempo é quase impossível impedir que isso aconteça. Ainda são poucas as empresas que monitoram os aparelhos e dispositivos pessoais que estão conectados na rede da empresa? Bruno: Acho que poucas empresas têm essa solução implementada realmente, mas já há uma quantidade importante de provedores com essa oferta. Mas como já disse antes, continua a ser reativo e o pensamento que prevalece é “Vou começar a investir quando realmente sentir que houve uma perda importante das minhas receitas”. Começamos a ver um investimento muito massivo em empresas de e-commerce, bancos etc. Essas empresas que têm uma dependência, digamos assim, maior, da utilização de internet, para comunicação, vendas, para fazer o seu negócio girar, essas sim, vão ser as early adopters que vão "drivar" os principais investimentos em segurança. Ainda sobre tendências como BYOD, mobilidade e computação em nuvem, como elas podem agravar os ataques virtuais? Bruno: A empresa pode garantir a segurança dentro da rede dela. Por exemplo, quando o empregado traz seu dispositivo para dentro da empresa e o conecta na rede corporativa, não está usando uma rede WiFi aberta, e sim criptografada, protegida, com todos os níveis de segurança que a empresa requer para quem utiliza sua rede. Assim, teoricamente se está em ambiente seguro e sem prejuízo devido a ataques ou acesso indevido às informações. Só que hoje é possível ir a um restaurante e utilizar redes grátis de WiFi. Quem garante a segurança dessa rede? Na verdade, o atacante não precisa ir direto na empresa para acessar o dispositivo do empregado. Ele pode fazer um mapeamento de onde está a pessoa que é seu alvo, que tipo de dado ele está tentando acessar e por uma rede mais vulnerável acessar esse dispositivo. Quando o empregado volta para a sua empresa e conecta seu dispositivo na rede corporativa, o hacker consegue fazer o ataque de maneira mais eficiente, sem precisar passar diretamente pelas barreiras de segurança da empresa. Essa possibilidade gera uma preocupação maior com gestão de rede, de dispositivos, de links de internet. Segurança se tornou um negócio muito mais complexo e amplo do que era. E aí entra a necessidade de o CIO ser mais estratégico. Apesar de ele ainda passar mais da metade do tempo dele cuidando da infraestrutura, ele é o executivo que tem que trabalhar para que o negócio não pare, dentro de um ambiente muito mais complexo do que era há ulguns anos atrás. Quais as vantagens da abordagem de MSS (managed security services) para incrementar a segurança da informação das empresas? Bruno – Vou elencar os benefícios com as principais dificuldades do mercado hoje. Já citei a evolução tecnológica, a complexidade, escalabilidade e sofisticação dos ataques. Imagine que isso está ficando maior, mais inteligente, mais robusto. Para acompanhar e responder a tudo isso, a empresa precisa estar atualizada. Hoje não existe só ataque de vírus. Tem DDoS, malware, vírus e uma série de outras situações para se preocupar. Para estar apta a fazer isso dentro de casa, a empresa precisa investir em infraestrutura, ter um SOC, uma equipe treinada, investir em soluções e atualizações. Quando se fala em contratar um provedor terceiro para cuidar de sua segurança, ainda que ele vá fazer isso remotamente, fora das instalações da empresa, no que a gente chama de modelo de outsourcing, é muito mais vantajoso. Porque estamos falando de empresas que têm certificação, expertise, que conhecem dados diários de novos ataques, novos malwares, e conseguem realmente se posicionar. Empresas que investem ano a ano milhões de dólares em P&D para conseguir combater os atacantes. Então, a chave é buscar um parceiro preparado e com experiência em garantir segurança. Até porque, o negócio da sua empresa não é segurança e é cada vez mais importante focar na atividade core e contar com parceiros para responder a questões específicas. O foco de uma construtora, por exemplo, é planejar, construir e vender imóvel. Ela não tem de se preocupar em ficar investindo milhões de dólares para garantir a segurança. Ela contrata alguém que realmente tem a capacidade, que seja especialista certificado, que tenha background de mercado para fazer isso por ela. Assim, ela consegue trabalhar tranquilamente em seu negócio principal. A redução de gastos é de fato importante nos investimentos de segurança? Bruno: Os gastos são tangíveis e intangíveis. A empresa pode investir por conta própria em segurança, mas como esse não é o core, não é possível garantir que esteja fazendo da maneira mais adequada possível e mais dificil ainda é quantificar quanto um ataque vai pode custar. Quando a empresa não faz sua própria solução ou faz só uma parte, existe custo que não aparece no papel. A redução de custo ocorre se comparada a situação de se fazer internamente ou contratar um provedor com toda uma estrutura capacitada por trás, monitorando, gerenciando e mantendo atualizada toda a sua base de soluções de segurança para poder garantir o andamento do negócio. Quais serviços são os mais demandados? Bruno: Segmentamos esse mercado em monitoramento e gerenciamento de ativos. Este sem dúvida é o principal. Envolve correlação e análise de eventos, a questão da notificação, da geração de alertas em cima da gestão de ativos, se a rede está sendo infectada, invadida. É o mais demandado por ser o mais simples. O mercado ainda está na base da pirâmide em termos de investir em soluções de segurança. De forma geral, as empresas que estão adotando mais (MSS) são de e-commerce e bancos, mas toda empresa que tem aplicação web ou trabalha com website é um alvo potencial para sofrer ataque mais forte, principalmente de DDoS. Estamos vendo demandas pontuais nas áreas de logística e construção civil. Analistas afirmam que fatores como ataques mais direcionados e sofisticados; compliance e regulamentação; e convergência e integração de redes empurram as empresas para o MSS. Poderia comentar cada um dos drivers? Bruno: Muitas empresas investem em MSS por compliance (algumas regulamentações demandam, principalmente no ambiente financeiro). Um ponto importante é a questão da convergência – demandas como colaboração, vídeo em dispositivos móveis entrando nas empresas, adoção de novas tecnologias, big data, nuvem, mobilidade etc. A convergência de TI, hardware, software e serviços traz uma necessidade muito maior (de MSS), pela complexidade que tudo isso gerou nos últimos anos, com o avanço de novas tecnologias dentro do segmento corporativo. Também há a questão de que, quanto mais dispositivos conectados à internet, maior facilidade de acessar a internet via WiFi espalhada pela cidade. Ou seja, como o pessoal de segurança costuma dizer, quanto mais queijo você tem, mais buracos e menos queijo. Maior facilidade de acesso implica mais riscos para a segurança. Redes abertas de WiFi que não têm controle, monitoramento e gestão de segurança, podem gerar ataque mais facilmente. Em favor de soluções de MSS, o que dizer a um CIO/CEO/CFO que tem dúvidas devido a dificuldades em justificar investimento e qualificar o ROI? Bruno: É difícil justificar financeiramente o investimento em alguma solução de tecnologia. As métricas normalmente são mais qualitativas como tempo de resposta e ganho de performance de uma determinada aplicação, por exemplo. Talvez, em um modelo como serviço, essa equação comece a ser melhor estruturada. Entendo que as empresas são cobradas por números, lucratividade e é natural que os executivos busquem métrica quantitativas em seus investimentos de TI, mas no caso de segurança é mais complicado, pois estamos falando de investimentos que vão te proteger de uma possível perda e não é simples quantificar isso. Qual a vantagem de se adquirir serviço de segurança (como solução anti-DDoS) de operadoras de Telecom, em lugar de empresas globais de TI ou de provedores puro-sangue? Bruno: Ataque DDoS significa derrubar uma operação online fazendo estourar a capacidade de banda. E quem faz monitoramento dessa banda são as telcos. Elas, melhor do que ninguém, conseguem monitorar o tráfego na rede, o tráfego no link, o tráfego na solução de conectividade que elas oferecem, Então, eu vejo como uma vantagem competitiva extremamente importante exatamente por isso. Ela faz esse monitoramento do que está acontecendo na rede, em cima da banda que oferece. E consegue quase que prever, digamos assim, um ataque, baseada nesse monitoramento. Pode-se considerar a segurança da informação como um dos legados importantes da Copa do Mundo? Bruno: Os investimentos em telco ficam como legado realmente importante para nós usuários de serviços de telecom. Estamos inciando conversas com empresas para entender um pouco o que aconteceu na realidade, em termos de número de ataques que ocorreram, quantos foram barrados, quais foram os tipos mais comuns – imagino ataques de DDoS tenham sido bem comuns. Mas não há dúvida nenhuma de que o legado de TI e telecom que ficou para nós é extremamente importante.