Proteção
contra ataques de “Dia Zero”
|
 |
 |
|
Introdução
Descubra como os serviços de gerenciamento
de segurança e sistemas de alertas preventivos
têm ajudado as empresas a obter a tecnologia correta,
o pessoal especializado, os processos comprovados e
constantes informações sobre ameaças.
No dia 11 de novembro de 2003, a Microsoft lançou
uma correção para uma falha do serviço
Workstation no Windows 2000 e XP. Naquela época,
a Microsoft afirmou que uma exploração
bem-sucedida proporcionaria o controle total de um PC
comprometido a um agressor. O que aconteceu em seguida
pegou todo mundo de surpresa. Menos de 24 horas após
o lançamento da correção pela Microsoft,
dois membros da lista de endereços de segurança
do BugTraq postaram um código de exploração
para a vulnerabilidade.
Conforme relatado pela eWEEK, as epidemias de worms
dos últimos três anos vêm seguindo
um padrão, com um fornecedor ou pesquisador divulgando
uma vulnerabilidade, seguida imediatamente da publicação
de uma correção. Em seguida, todos correm
para corrigir sistemas vulneráveis antes que
alguém divulgue um código de exploração
na Web. Finalmente, o código é usado como
base para um worm, que então invade a Internet
com diferentes níveis de sucesso. Esse padrão
foi estabelecido pelo CodeRed em julho de 2001, e permanece
sem alterações através do surgimento
do Nimda, Slammer, Blaster e alguns outros worms. O
que foi alterado, porém, foi o tempo entre a
divulgação de uma correção
e o surgimento de um worm. Essa “janela de ameaça
a vulnerabilidades” continua a ser reduzida mais
rapidamente.
As ameaças de “dia
zero” são iminentes
No seu Relatório
de Ameaças à Segurança da Internet,
a Symantec tem discutido a redução do
tempo entre a divulgação da vulnerabilidade
e a propagação da exploração.
Na edição mais recente do relatório,
divulgada em março de 2004, a Symantec indica
que as ameaças de “dia zero” são
agora iminentes. Uma ameaça de “dia zero”
pode ter uma vulnerabilidade como alvo, antes mesmo
que essa vulnerabilidade seja anunciada e uma correção
disponibilizada. Se tal epidemia ocorrer, o dano pode
se propagar antes mesmo que os usuários possam
corrigir seus sistemas de forma efetiva. Conforme o
Relatório de Ameaças observa:
“É quase certo que ainda existam ameaças
desconhecidas, exploráveis remotamente, espreitando
tecnologias muito utilizadas. Uma ameaça combinada
de “dia zero” pode estar direcionada a tal
vulnerabilidade. Se uma epidemia de “dia zero”
ocorrer, as correções com certeza não
estarão disponíveis por alguns dias. Até
mesmo a identificação da forma como o
worm está se propagando pode levar mais tempo
do que o necessário para que esse worm comprometa
todos os sistemas vulneráveis. É uma surpresa
que isso ainda não tenha acontecido.”
Nesse ambiente sem precedentes, onde uma resposta eficiente
e rápida é totalmente essencial, quais
as precauções que as empresas podem tomar
para proteger seus sistemas e garantir a continuidade
dos seus negócios? Essa pergunta se torna ainda
mais urgente quando consideramos um relatório
recente publicado pela Gartner Inc. (“Security
Demands Drive Shift to Vulnerability Management,”
novembro de 2003), que demonstrou que a maioria das
empresas aprendeu da forma mais dura, no ano passado,
que os firewalls de perímetro, software antivírus
e sistemas de detecção de intrusões
não são suficientes para protegê-las
contra ataques cibernéticos. As descobertas da
Gartner ajudam a explicar porque, cada vez mais, as
empresas procuram assistência além de seus
perímetros, para a proteção de
seus sistemas de informações mais importantes.
Terceirização:
uma tendência em crescimento
As empresas podem citar várias razões
sólidas para a terceirização das
funções de segurança do seu departamento
de informática. Por exemplo, como observou a
Gartner, na maioria das empresas, os funcionários
responsáveis pelas funções de segurança
da informática são também responsáveis
por outras atividades e despendem a maioria do seu tempo
em projetos não relacionados à segurança.
Para qualquer empresa com recursos limitados, a responsabilidade
adicional do gerenciamento da segurança pode
ter, com freqüência, um custo muito alto.
A Gartner concluiu que as equipes internas sentem grande
dificuldade em entender e defender a empresa contra
as ameaças de segurança mais recentes,
porque isso requer uma monitoração constante
do sistema, e poucas empresas possuem recursos suficientes
para mantê-la 24 horas por dia. Conclusão:
várias empresas estão descobrindo que,
para manter a vigilância necessária, é
preciso um grande investimento em funcionários,
sistemas de informática e treinamentos que resultam
em grandes gastos. Para essas empresas, os serviços
de gerenciamento de segurança podem ajudar a
reduzir o custo total de propriedade, reduzindo as despesas
internas necessárias para monitorar e gerenciar
as tecnologias de segurança.
No seu exame da evolução do mercado de
serviços de gerenciamento de segurança
em 2003 (“Magic Quadrant for North American MSSPs,”
em novembro de 2003), a Gartner citou também
os fatores seguintes como causas do crescimento da terceirização:
- Grandes empresas continuam a restringir as
contratações, aumentando a terceirização
de várias funções de informática,
que não são consideradas fundamentais;
- Várias empresas que implementaram sensores
de sistemas de detecção de intrusões
(IDS) estão considerando o uso dos serviços
de gerenciamento de segurança como uma maneira
de lidar com o excesso de falsos positivos;
- Com os ataques de worms de alta visibilidade
no início de 2003, várias empresas recorreram
aos serviços de gerenciamento como uma forma
de oferecer notificações mais rápidas
de vulnerabilidades, ataques e soluções.
Principais considerações
Uma segurança efetiva requer a tecnologia correta,
pessoas experientes e processos comprovados, além
de informações contínuas sobre
ameaças. O que isso quer dizer, em termos da
seleção de um provedor de serviços
de gerenciamento de segurança (MSSP)? Para começar,
significa que o MSSP deve oferecer uma variedade de
serviços, incluindo:
- Serviços de firewall monitorados e gerenciados;
- IDSs monitorados e gerenciados, baseados em
redes;
- Serviços de equipamentos de segurança
integrados, monitorados e gerenciados;
- IDSs monitorados baseados no host;
- Serviços gerenciados de avaliação
de vulnerabilidades da Internet;
o
das políticas de segurança;
- Serviços gerenciados de proteção
antivírus.
As empresas devem também garantir que o MSSP
selecionado opere em vários centros de operações
de segurança, a partir dos quais pode-se monitorar
e gerenciar os problemas de segurança, 24 horas
por dia. As principais questões a serem consideradas
são a qualidade do backup do MSSP e se os SOCs
estão dispersados geograficamente de forma que
complementem as próprias configurações
da empresa.
Além disso, um MSSP deve ter recursos para correlacionar,
analisar e interpretar, de forma precisa, grandes volumes
de dados de segurança da rede em tempo real.
As empresas devem estar certas de que o MSSP selecionado
examina todos os dados, e não somente os utiliza
como amostras estatísticas.
Os relatórios fornecidos por um MSSP devem ser
detalhados, para que possam apoiar as decisões
que aprimoram os esforços de segurança
e para determinar a realidade do custo dos serviços
de gerenciamento. Relatórios detalhados incluirão
informações obtidas dos dispositivos de
gerenciamento, respostas recomendadas, qualquer alteração
feita nos dispositivos pelos MSSPs e informações
sobre as ameaças mais recentes. Além disso,
as empresas estão cada vez mais reagindo às
legislações (como o ato de Sarbanes-Oxley)
que impõem exames rigorosos para o seu cumprimento.
Talvez o mais importante, as empresas precisam garantir
que receberão alertas preventivos sobre ameaças
globais emergentes, para que possam agir antes que danos
ocorram e se propaguem. O MSSP deve coletar e analisar
os dados de milhares de pontos em todo o mundo, para
detectar as tendências.
E, finalmente, as empresas devem se certificar que
os especialistas de segurança de um MSSP possuem
certificações de produtos ou do setor
para uma grande variedade de fornecedores e tecnologias,
e que suas instalações, seus funcionários,
processos e procedimentos foram avaliados por terceiros
em quem se pode confiar. Eles devem determinar também
como os funcionários do SOC são escalados
durante o curso das operações 24 horas,
para garantir que os funcionários mais qualificados
não se concentrem todos no mesmo turno.
Conclusão
Como o Relatório de Ameaças a Segurança
na Internet deixa claro, o tempo entre a divulgação
e a propagação da exploração
de uma vulnerabilidade continua a ser reduzido a zero.
Com as explorações sendo desenvolvidas
e divulgadas mais rapidamente, as empresas se tornam
cada vez mais vulneráveis. As empresas que necessitam
proteger suas informações importantes
diante do atual ambiente volátil de ameaças,
onde as chances de um ataque “dia zero”
continuam a aumentar, estão descobrindo que os
serviços de gerenciamento de segurança
e sistemas de alertas preventivos constituem uma solução
econômica e inteligente.
Como um exemplo: o último Relatório de
Ameaças à Segurança na Internet
mostrou que mais de 70% dos clientes de serviços
de gerenciamento de segurança da Symantec que
utilizaram esse serviço por mais de seis meses
conseguiram evitar com sucesso um ataque grave, enquanto
que todos os novos clientes (por exemplo, com menos
de três meses de contrato) sofreram algum tipo
de ataque. O resultado é claro: as empresas que
têm o compromisso de proteger seus ambientes através
de um MSSP competente mostraram, com o tempo, uma redução
de risco.
Links Relacionados:
|
|
|
