23 maio 2016
Darwinismo em Segurança da Informação: Adapte-se ou morra
“Não é a espécie mais forte que sobrevive, mas sim a mais adaptável à mudança.”-Charles Darwin
Faz tempo que não entro em um dos meus tópicos favoritos aqui – o futuro da Segurança da Informação, esse post mudará isso. Prepare-se para muitas palavras – nenhuma muito estranha – sobre o que há de mais novo no setor de TI, desde tecnologias, mercado ou tendências, além de alguns fatos e visões pessoais. Pipoca na mão e aí vamos nós.
Vou escrever sobre Segurança da Informação ideal e como esta indústria busca evoluir nessa direção (assim como o que está sendo desenvolvido para alcança-la), e como tudo pode ser explicado por meio da teoria da evolução das espécies de Charles Darwin. Como seleção natural leva, certas espécies à dominância, ao passo que outras caem por terra – tornando-se resquícios históricos para os paleontólogos. Também, trataremos de simbiose e parasitismo.
Começarei com alguns conceitos…
Quase-perfeição em um mundo imperfeito.
Proteção perfeita – segurança 100% eficiente é impossível. A indústria de segurança da informação deve buscar a perfeição, criando nesse processo os melhores sistemas protegidos possíveis. Contudo, cada aproximação aos 100%, não importa se forem em números decimais, resulta em custos exponencialmente maiores – atingindo o ponto em que o custo para proteção excede os danos causados por ataques bem-sucedidos.
A partir disso, é lógico fornecer a seguinte definição para uma proteção mais realista (possível) e ideal (do ponto de vista de vítimas em potencial): proteção ideal é aquela em que o custo de hackear o sistema protegido é maior que o dano potencial. Olhando sob a perspectiva dos criminosos temos uma definição um pouco distinta: proteção ideal é aquela na qual o custo de um ataque bem-sucedido é maior que o lucro obtido pelo hacker.
Claro que existirão situações nas quais o preço do ataque não importará para o agressor; por exemplo, em situações de guerras cibernéticas financiadas por governos. Mas isso não é motivo para desistirmos.
Então como desenvolvemos um sistema de segurança que fornece proteção realista (possível) e ideal (máxima)?
Modern defenders vs traditional: think about adversaries not incidents, by @johnlatwc #TheSAS2016 pic.twitter.com/gss5MITuO1
— Eugene Kaspersky (@e_kaspersky) February 8, 2016
A sobrevivência dos mais capazes em segurança da informação – a teoria.
Um dos pilares do Darwinimos é a variabilidade genética. Por meio de recombinação de genes, mutações e outras razões desconhecidas, os organismos passam novas características às gerações seguintes. Com o passar do tempo, os sortudos com as novas características (os mais adaptados) permanecem, mas os menos adaptados são marginalizados em direção ao esquecimento e extinção. Por isso, os ursos do Ártico são brancos e os de Kamchatka marrons.
Algo similar ocorre no setor de segurança em TI: cibercriminosos estão encontrando constantemente novas vulnerabilidade em sistemas computacionais e inventando novos métodos de ataques para roubar dados e dinheiro de pessoas e empresas que utilizam esses sistemas computacionais.
Seja lá qual for o mais rápido ou engenhoso grupo de ciberciminosos – o mais adaptado – esses lucrarão mais por meio de suas habilidades e alcançarão posições de mais prestígio no submundo do cibercrime. O grupo evolui em algo maior e mais forte, enquanto outros desaparecem. A única diferença desse cenário com a evolução Darwinista é a velocidade da mudança. No lugar de milênios, lidamos com meses.
Para criar um sistema de segurança superior que forneça proteção ideal (máxima) logo no começo, os desenvolvedores precisão prever os piores cenários possíveis – panoramas tão terríveis que é pouco provável que eles ocorram (é o que esperamos pelo menos). Desenvolver medidas de proteção tendo versões apocalípticas em mente garante a eliminação completa daquele otimismo perigoso. Além do mais, no início, auxilia não apenas no reconhecimento do problema, mas também no entendimento de sua escala e por fim, no desenvolvimento de estratégias adequadas em resposta. Se você conhece sua fraqueza, você não é mais a presa; torna-se o caçador.
Muito bem, tudo isso é bem legal e lógico na teoria, mas como podemos colocar isso em prática? Como é possível estar à frente dos criminosos e responder aos seus próximos passos?
Adapte-se ou morra.
A jogada inteligente para se manter em um sistema onde o caos tende a reinar é produzir um modelo de conduta adaptativa. Um começo interessante é partir para análises baseadas em situações/ambientes possíveis fundados nos poucos dados confirmados (algumas vezes, sem dados nenhum) e em hipóteses diversas. Cada iteração do ciclo “análise – ação – resultado” reduz a ambiguidade, e aumenta a racionalidade, performance e outros parâmetros interessantes para empresas dessa conduta.
Começamos a utilizar esse modelo em Segurança de TI em 2013. No ano seguinte, descobrimos que essa abordagem concorda com a visão de Gartner de “arquitetura de segurança adaptativa”. Ela se baseia na aplicação cíclica de ferramentas de quatro domínios relacionados a ciberataques distintos: preventivo, detectivo, retrospectivo e previsível. Adotar esse modelo permite criar proteção otimizada que faz frente ao ciclo de vida dos ciberataques – um modelo capaz de se ajustar rapidamente a mudança de condições externas.
Fonte: Designing an Adaptive Security Architecture for Protection from Advanced Attacks, Gartner (Fevereiro de 2014)
Desde 2013, a arquitetura de segurança adaptativa tem sido o alicerce da estratégia de nossos produtos. Por mais que tenhamos passado por problemas relevantes no começo, persistimos. Sabíamos se tratar da abordagem correta em prol de uma proteção mais eficiente para redes corporativas e para a dissolução de seus problemas de segurança persistentes. Apesar de pouco tempo ter passado, atingimos o objetivo da implementação de nossos planos.
Houston, nós temos um problema
Então, como andam as coisas agora que a arquitetura de segurança adaptável está de fato aplicada no mundo corporativo?
Sendo perfeitamente honesto, não andam bem.
Por outro lado, existem pouquíssimos fabricantes capazes de viabilizar todos os elementos de um ciclo ininterrupto de segurança adaptativa. Peças diferentes do quebra-cabeça mostram-se incompatíveis com outras e é extremamente complicado combinar tudo em um único sistema central de controle.
Por outro lado, clientes tendem a ter por foco um domínio específico do ciclo (principalmente de prevenção), por isso, podem desprivilegiar os outros e o complexo como todo. Essa visão errônea por parte dos consumidores foi intensificada por fabricantes que anunciam a criação de uma solução única e absoluta para qualquer ciberameaça existente.
No fim, temos a ilusão de segurança e até faltam palavras depois do último incidente, é um ciclo vicioso de emergência-incidente-triagem e ameaças constantes para empresas, levando ao aumento em gastos com segurança da informação (que não contribuiu para sua efetividade), apenas degrada o valor agregado de sistemas de TI.
No Darwinismo, a mudança é uma das forças propulsoras do desenvolvimento biológico. A mudança também serve de força propulsora em Segurança da Informação – impulsionando-a a se manter à frente dos caras malvados, e se uma mudança de paradigma é necessária que seja feita. Essa transformação está a caminho: tanto a indústria de segurança de TI quanto os clientes reconhecem o problema (o “primeiro passo” necessário) e estão no caminho certo. Na KL, nossa abordagem em resposta à essa mudança central é a seguinte.
Hora de reabastecer e preparar o turbo – mas nada de queimar a largada.
Primeiro de tudo, lançaremos uma grande diversidade de serviços para fortalecer nossa posição em todos os domínios do modelo. Agora nosso portfólio contêm o seguinte: treinamento de pessoal em qualquer nível, inteligência de ameaças, testes de penetração, análises de incidentes e recomendações voltadas para correções pós-ataques, além de diversos outros itens capazes de fornecer o ciclo completo de “prevenção, detecção, reação e previsão”.
Do ponto de vista do produto, complementamos nossa posição tradicionalmente forte no domínio da “prevenção” com uma solução no domínio da “detecção” para proteger contra-ataques direcionados (Kaspersky Anti Targeted Attack Platform), e sua integração com os sistemas SIEM. Em um futuro próximo, teremos o lançamento de uma solução completamente funcional para EDR (Endpoint Detection and Response), que será agregada em um cenário mais amplo de eventos ao longo de máquinas em uma rede.
Então, logo estaremos entregando um espectro completo de produtos e serviços para a criação e continuidade de suporte de arquitetura de segurança adaptativa. Sua característica principal é o sistema de análise supersensível: com sensores em toda a rede, todos os nós, somos capazes de apresentar ao cliente dados que permitam a tomada de decisões mais informadas. Alie isso a nossa expertise baseada em máquinas e recursos humanos, e a efetividade da nossa luta contra-ataques complexos e específicos será significantemente maior.
A questão principal: clientes não precisam – e não devem – se importar com os detalhes técnicos do sistema de segurança a ser implementado. Deve ser implementado em estágios, com estabilidade – de maneira evolutiva, de acordo com a teoria de Darwin as peculiaridades da empresa em questão, sua infraestrutura de TI e outros detalhes específicos da demanda. Experiências mostram que clientes preferem começar com serviços (treinamento e suporte de campo), e adicionar novos componentes na estrutura adaptativa gradualmente.
Continua…
Não guardarei o segredo de que não somos os únicos desenvolvendo a nova geração adaptativa de segurança de TI. Contudo, estamos feliz de estarmos à frente, o que é extremamente gratificante.
Clientes não ligam para o nome do produto, se ele fica mais bonito no YouTube ou em materiais de marketing. A única questão que importa é a possibilidade de evitar incidentes e as perdas associadas. Isso significa que continuaremos estudando segurança adaptativa – para fornecer ao mercado mais do que ele espera.
Isso é tudo por hoje, pessoal. Nos próximos capítulos dessa série, falarei um pouco mais sobre seleção natural e a luta pela sobrevivência, além do inevitável… mutações
.@e_kaspersky fala sobre modelos de segurança adaptável e o futuro da segurança da informação