AdvisorAnálises independentes de tendências tecnológicas para profissionais de TIC

SegurançaTecnologia e processos para proteção e combate às ameaças

Foco Mitigação de riscos

Tecnologia Segurança da informação

SetorGrandes corporações

Geografia América Latina

_seguranca.indd 1 02/10/12 10:49

Advisor Segurança2

Setembro, 2012

Sumário

Introdução 3

Uma rede maior,mas com mais ameaças 4

Um mundo perigoso 5

Ameaças frequentes,proteção contínua 8

SOC – Um knock-out nas ameaças 11

Conclusão 13

_seguranca.indd 2 02/10/12 10:49

Advisor Segurança3

Introdução

Assistimos hoje a um crescimento acelerado do número de usuários e serviços na internet. Cada vez mais pessoas acessam a rede por meio de uma gama cada vez maior de canais e com os mais diversos fins: ler notícias, fazer compras, trocar mensagens e arquivos com os amigos, assistir a filmes inteiros em alta resolução e colaborar on-line para criação de conteúdo. Este crescimento acelerado traz também impactos negativos, já que aumentam também as ameaças. Enquanto a internet torna-se um meio extremamente relevante para o dia a dia das pessoas e das empresas, milhares de usuários mal-intencionados e criminosos virtuais enxergam o enorme potencial de ganhos a partir de ataques, roubos de dados e outros tipo de ações maléficas.

Uma rede de telecomunicações em franca expansão e uma base crescente de novos usuários podem formar um ambiente propício para a proliferação de ameaças

_seguranca.indd 3 02/10/12 10:49

Advisor Segurança4

Uma rede maior, mas com mais ameaças

O número de usuários de internet no Brasil vem crescendo rapidamente. A competição de mercado, combinada à procura voluntária da população, especialmente das novas gerações, redução dos preços e melhoria da qualidade dos serviços, assim como o desenvolvimento tecnológico (ex.: acesso móvel) resultam em um caldeirão de oportunidades e perspectivas. Este cenário torna-se ainda mais positivo quando somamos a este contexto a perspectiva de apoio governamental.

O cenário é de otimismo, mas requer cautela e ações estruturadas. A segurança da informação deve ser uma pauta em voga nas diversas esferas em que a internet está presente, desde as redes de telecomunicações, o ambiente corporativo e também o uso doméstico dos serviços.

Gráfico 1: Crescimento da Internet no Brasil – percentual da população com acesso

Proporção de domicílios com acesso à internet(Percentual sobre o total de domicílios em área urbana)

2008 2009 2010 2011

18%25%

32%

25%

45%

24%

27%

38%

Fonte: nic.br

Proporção de domicílios com computador(Percentual sobre o total de domicílios em área urbana)

_seguranca.indd 4 02/10/12 10:49

Advisor Segurança5

Um mundo perigoso

Uma análise do ambiente mostra que o tratamento do problema pode ser mais trabalhoso do que o senso comum nos leva a crer. As diversas ameaças causadas por questões de segurança (ex.: vírus, spams e ataques) podem ter causas bem diversificadas, como problemas de proteção da rede e dispositivos, ou usuários incautos ou mal-intencionados. Como resultado, essas brechas podem trazer danos de imagem (perda de dados de clientes ou websites pichados), queda de eficiência da rede (ex.: por spams) ou mesmo indisponibilidade de serviço, sempre tendo como consequência final impactos financeiros.

Já se foi o tempo em que a principal preocupação de segurança em uma empresa era a proteção contra os vírus de computador. As ameaças atualmente se apresentam não só em grande quantidade, como em variedade. Em uma única sessão no computador, um usuário pode ser exposto a dezenas de diferentes ameaças eletrônicas. Foi até criada uma expressão para se referir a essa nova leva de softwares indesejáveis: o malware.

Figura 1: Ameaças, vulnerabilidades e impactos de segurança

Impactos VulnerabilidadesAmeaças

• Malwares (spams, vírus, rootkits)

• Ataques externos/internos• Phishing• Ataques de engenharia social

• Falta de políticas• Falta de treinamento e conscientização• Redes desprotegidas• Falhas de software• Usuários incautos

• Danos à imagem• Queda de eficiência da rede• Modificação/roubo de dados confidenciais• Indisponibilidade de serviços e perdas de receita• Fraude

Fonte: PromonLogicalis

_seguranca.indd 5 02/10/12 10:49

Advisor Segurança6

Os vírus de computador atualmente perderam importância frente a outros tipos de malwares, que buscam não necessariamente danificar os arquivos do computador ou dificultar a vida do usuário, mas sim buscar informações pessoais ou tomar controle das suas máquinas. A partir daí, os responsáveis por esses malwares podem obter benefícios financeiros de diversas formas, seja pela impersonificação do usuário, seja com o “aluguel” de redes de computadores-zumbi – os computadores dos usuários são usados para envio de spam e ataques a determinadas redes e sistemas. Essas redes são também chamadas de botnets.

As ameaças são potencializadas por falhas de segurança ou vulnerabilidades dos mais diversos tipos. Redes não protegidas ou não monitoradas, sistemas sem controle de acesso ou permissões de acesso muito abrangentes podem permitir a ocorrência de incidentes de segurança.

O ambiente externo mais hostil combinado com menor proteção é o cenário propício para a ocorrência de problemas.

As falhas de segurança existem não só como decorrência de vulnerabilidades de origem tecnológica, mas também de falhas de procedimentos e políticas da organização.

Número médio de ataques de DDoS por mês

Largura de banda dos ataques de DDoS (mbps)

Número total de malwares Numero de malwares para disposivos móveis10.000.000

8.000.000

6.000.000

4.000.000

2.000.000

T12009

T22009

T32009

T42009

T12010

T22010

T32010

T42010

T12011

T22011

T32011

T42011

T12012

T22012

100

120

80

60

40

20

02003 2004 2005 2006 2007 2008 2009 2010 2011 2012

50

20

253035

4045

1510

50

0 1-10 11-20 21-50 51-100 101-500 500+

20000

8000

100001200014000

1600018000

600040002000

00 2

Gráfico 2: Aumento das ameaças de segurança

Fonte: NetQuin, Arbor Networks, McAfee

_seguranca.indd 6 02/10/12 10:49

Advisor Segurança7

Usuários incautos (quando não mal-intencionados), processos não definidos e não padronizados, falta de documentação, entre outras, podem ser causas de eventos graves de segurança. Mesmo uma organização com os melhores sistemas de segurança corre o risco de ficar sujeita a incidentes, se esses investimentos não forem acompanhados pela definição e implementação de políticas e processos bem estabelecidos.

O leque de ameaças é tão diverso quanto suas consequências. De simples pichações e “recados” em websites, danos a uma ou algumas máquinas, graças a vírus, e queda de eficência causada por spams, até a indisponibilidade de serviços (denial of service) e roubo de informações para uso fraudulento (phishing), as ameaças de segurança vêm ganhando proporções mais sérias e danosas a provedores de serviço para corporações e usuários. Ninguém está seguro.

As falhas de segurança existem não só como decorrência de vulnerabilidades de origem tecnológica, mas também de falhas de procedimentos e políticas da organização

_seguranca.indd 7 02/10/12 10:49

Advisor Segurança8

Ameaças frequentes, proteção contínua

Infelizmente vivemos em uma situação onde novos perigos aparecem e se multiplicam rapidamente. Além disso, as ameaças estão ficando cada vez mais direcionadas a uma organização específica. Tentar resolver o problema pontualmente é um erro que muitas vezes pode ser fatal. Não estar preparado para lidar com novos ataques é um risco que as organizações não podem se dar ao luxo de assumir.

Dessa forma, as organizações precisam estar preparadas para lidar com novas ameaças, usando soluções que analisem continuamente o ambiente em busca desse tipo de problema. Felizmente já existem boas ferramentas para identificar vulnerabilidades na infraestrutura. No entanto, elas não resolvem o problema por si só. Para lidar com a dinamicidade desse cenário, é importante contar com visão integrada da infraestrutura, equipes bem capacitadas e processos adequados. A junção desses três fatores permite à organização reagir às ameaças e vulnerabilidades identificadas de maneira adequada, minimizando os impactos para o negócio.

Não estar preparada para lidar com novos ataques é um risco que as organizações não podem se dar ao luxo de assumir

_seguranca.indd 8 02/10/12 10:49

Advisor Segurança9

As formas de mitigar as ameaças encontradas são variadas, envolvendo a criação de equipes especializadas e modificações de configurações da própria infraestrutura. É necessário, no entanto, ter em mente que um sistema nunca estará 100% seguro e, portanto, esse trabalho não pode parar.

Justamente pela necessidade de soluções específicas, know-how especializado, processos bem definidos, além de constante monitoração, a solução preferida por muitas organizações é o uso de serviços gerenciados. Desde pequenas corporações até operadoras de telecomunicação, o estabelecimento desse tipo de processo pode ser complicado, o que traz a necessidade de ajuda externa para lidar com o problema.

Internet

Monitoração da rede através de ações proativas (acompanhamento de novas ameaças e novas soluções)e reativas (gestão de incidentes)

Gestão de acesso de clientes, parceiros e fornecedoresconectados à rede

Definição de políticas de segurança e monitoração de seu uso

Visibilidade e mitigação de ataques e ameaças externas e internas

Ambiente corporativo

Ambiente doméstico

Visibilidade e mitigação de ataques e ameaças provenientes da internet

Cautela no manuseio de arquivos, senhas e informações em geral

Uso e manutenção de soluções e serviços de mitigação

Fonte: PromonLogicalis

Prestador de serviço de telecom

Figura 2: Abordagem abrangente de segurança

Os usuários, sejam eles corporações ou indivíduos, devem considerar soluções que possibilitem a monitoração, controle e proteção de suas redes e computadores contra ataques e outras ameaças. Dado o aumento da complexidade para se manter atualizado quanto às ameaças e soluções, uma opção que vem ganhando espaço é a contratação da segurança de rede como serviço, oferecido por provedores especializados (segurança gerenciada). O uso de soluções tecnológicas de segurança, sejam elas próprias ou contratadas de terceiros, deve vir sempre acompanhado de procedimentos, políticas e conscientização quanto aos riscos de segurança.

_seguranca.indd 9 02/10/12 10:49

Advisor Segurança10

Se para os usuários a missão de se manter protegido já parece uma tarefa árdua, para as prestadoras de serviço de telecom o desafio é ainda mais complexo. Elas devem garantir a visibilidade sobre os eventos na rede ao longo de todo o seu domínio. Monitorar o tráfego, identificar e bloquear ataques, controlar o acesso à rede por profissionais ou terceiros são apenas alguns dos requisitos para uma gestão mais segura da rede. O leque de soluções que podem ser utilizadas é tão diversificado quanto o de possíveis ameaças.

Outra perspectiva que deve ser considerada é não desvincular segurança de informação.

Um dos objetivos primordiais da segurança da informação é proteger as informações trafegadas e armazenadas e não apenas proteger uma rede ou um computador. Ou seja, a proteção no nível de rede deve ser sempre acompanhada de mecanismos que diminuam os riscos de exposição ou perda de informações confidenciais no nível de atividades operacionais. Manuseio de senhas, documentos e arquivos devem ser tratados seguindo políticas bem definidas e divulgadas, com o suporte de processos e ferramentas que monitorem e auditem sua correta utilização, além de programas de conscientização dos usuários e treinamentos em segurança.

Fonte: PromonLogicalis

Anti- Vírus- Spam- Pishing- Adwares

Firewalls

Filtro de URLs

Sistemas de detecção/prevenção de intrusão (IDS/IPS)

Controle de admissão à rede (NAC)

Correlação de eventos de segurança

Detecção e mitigação de DDoS

Ferramentas de testes de penetração

DLP e criptografia

Acesso remoto seguro (VPNs seguras)

Investigação e análise

Lawful interception

Trouble–tickets

Ferramentas para gestão de riscos, vulnerabilidade e conformidade

Ferramentas para gestão de atualizações e mudanças em geral

Ferramentas para divulgação de políticas e procedimentos de segurança

Tabela 1: Soluções tecnológicas de segurança

_seguranca.indd 10 02/10/12 10:49

Advisor Segurança11

Figura 3: Visão PromonLogicalis de SOC – Security Operations Office

SOC - um knock-out nas ameaças

Como é possível, dentro desta amplitude toda de ameaças, soluções tecnológicas e ações necessárias, coordenar as atividades de segurança dentro da corporação? Uma forma estruturada de atuar sobre estes pontos é o estabelecimento de um SOC – Security Operations Center. O SOC é uma entidade avançada de monitoração, detecção e ação sobre eventos de segurança e desenvolvimento de práticas e políticas corporativas.

Com uma visão fim-a-fim dos processos de segurança, é possível atuar e gerenciar os aspectos mais críticos de todo o ciclo de gestão:

Instalação de novos equipamentos na rede, sejam eles soluções de segurança, como firewalls, ou mesmo servidores ou roteadores;

Atribuição, rastreamento e retirada de acesso aos equipamentos por profissionais e terceiros;

Coleta de logs e eventos dos equipamentos;

Correlação dos dados coletados, geração de alarmes e tratamento de incidentes;

Geração de soluções de problemas sobre as causas-raiz;

Desenvolvimento de novas soluções, novos processos e melhoria da infraestrutura tecnológica para a monitoração e atuação e

Relacionamento com os diversos stakeholders do processo, como clientes (externos e internos), outras operadoras e empresas e órgãos legais.

IMAC ®: Install, Moves, Adds and Changes

Relacionamento com o Cliente

IMAC Entrada de terceiros

Suporte ainvestigações

Gestão dedesempenho

Implementação

Entrada de novo equipamento

Desenvolvimento da Solução

Busca de soluções/ Sourcing

Implantação de soluções

Incidente

Recebimento de requisição e

detecção

Classificação

Investigação/Análise

Resolução/Fechamento

Análise devulnerabilidade

Definição de requisitos de segurança

Configuração

Liberação para implementação

Gestão de atualizações

Acesso

Validação de requisição de

acesso

Definição de perfis e direitos

Suporte à monitoração

Remoção/Restrição de

acesso

Evento

Rastreamento de acesso

Coleta de logs e dados

Normatização

Correlação

Notificação

Escalonamento

Problema

Validação de requisição

Análise/Elaboração da

correção

Execução da correção

Gestão de mudanças

Consulta/Inclusão base

RCA

Segurança da Informação

Disponibilidade /DRP

Gestão de risco

Políticas e normas de segurança

Capacitação e treinamentos

Gestão de conformidade

Melhoria de processos

_seguranca.indd 11 02/10/12 10:49

Advisor Segurança12

Com estas atividades básicas, a empresa se municia de práticas para atuação sobre incidentes. Em uma visão mais imediata, está preparada para conter ataques, além de estar munida de processos para mitigação de vulnerabilidades, desenhos de processos e políticas. A longo prazo, consegue buscar soluções mais avançadas para proteção da rede. A combinação dessas práticas de ação instantânea com desenhos de projetos de melhoria de longo prazo estabelece um ambiente mais seguro e monitorado em relação à segurança.

Alguns desafios enfrentados por gestores de SOC são a dificuldade de estruturação de equipes com a capacitação e certificação necessárias, detalhamento dos processos de gestão de incidentes de segurança, bem como a seleção e implantação das melhores ferramentas para a operação do SOC. O tema de segurança não é novo, mas o estabelecimento de uma visão estruturada para seu tratamento ainda é recente e os recursos para prover esta visão são escassos no mercado.

Uma importante perspectiva para o SOC é seu relacionamento com entidades externas, sejam órgãos legais ou entidades neutras de monitoração de segurança (ex.: CERT.BR). Embora o SOC possa ser visto como um elemento de competitividade e disponibilidade de serviço, a cooperação entre profissionais e equipes é necessária, já que existe uma ameaça comum e que ataca indiscriminadamente.

O tema de segurança não é novo, mas o estabelecimento de uma visão estruturada para seu tratamento ainda é recente

_seguranca.indd 12 02/10/12 10:49

Advisor Segurança13

Conclusão

A segurança da informação deve ser tratada com abordagens que considerem tanto os aspectos tecnológicos quanto processuais, incluindo o conhecimento sobre os diferentes tipos de ameaças e soluções possíveis, as diversas ferramentas para proteção, monitoração e mitigação, além de conhecimento de características específicas para os diferentes ambientes (redes corporativas e redes de operação de prestadores de serviço de telecom).

Tal abordagem requer a composição de skills de processos de gestão de segurança e conhecimento profundo sobre as tecnologias de rede e infraestrutura de TI, bem como das soluções de segurança aplicáveis para garantir maior proteção e visibilidade. Conciliar todas estas especialidades em uma mesma equipe e manter neutralidade quanto às influências de fornecedores de tecnologias específicas é uma missão complexa.

_seguranca.indd 13 02/10/12 10:49

Advisor Segurança14

Alexandre Murakami Gerente de Segurança da Informação

Com 14 anos de experiência em segurança da informação, atuou no desenho e na implementação de projetos para operadoras de telecomunicações e grandes corporações, além de ter participado do projeto de informatização do sistema eleitoral no Brasil. Graduado em Ciências da Computação pela UNESP e pós-graduado em Administração de Empresas pela ESAN, é professor no Grupo Veris Educacional.

alexandre.murakami@br.promonlogicalis.com +55 (11) 3573.7197

Leandro MalandrinConsultor

Com experiência em projetos de modelagem de Centros de Operações de Segurança e avaliação da gestão de segurança da informação para diversas organizações, atuou em pesquisas relacionadas à criptografia, protocolos de segurança e análise de malwares. Graduado em Engenharia da Computação pela POLI-USP e especializado na UIUC (Illinois, EUA).

leandro.malandrin@br.promonlogicalis.com +55 (11) 3573.7284

Yassuki TakanoGerente de Consultoria

Com mais de 10 anos de experiência em consultoria, atuou em inúmeros projetos de desenho e implementação de novos modelos de serviços e operação, e no desenvolvimento de soluções de automação de processos.Com passagem como consultor pela Roland Berger, é engenheiro pelo ITA com mestrado em Administração de Empresas pela FGV.

yassuki.takano@br.promonlogicalis.com +55 (11) 3573.7358

Advisor é uma publicação daPromonLogicalis®.

Este documento contém informações de titularidade ou posse da PromonLogicalis®, de suas controladas ou coligadas, e são protegidas pela legislação vigente. Reprodução total ou parcial desta obra apenas com prévia autorização da PromonLogicalis®. As informações contidas nesta publicação são baseadas em conceitos testados e empregados no desenvolvimento de projetos específicos e estão sujeitas a alterações de acordo com o cenário de mercado e os objetivos de cada projeto.

Para saber maisEntre em contato conosco para saber o que podemos fazer por sua empresa.

E-mailadvisor@br.promonlogicalis.com

_seguranca.indd 14 02/10/12 10:49

Advisor Segurança15

A PromonLogicalis pode ser a parceira ideal no desenho, implementação e operação de novos serviços (segurança gerenciada), modelos de operação (SOC) e soluções tecnológicas de segurança, contando com um ecossistema amplo de parceiros tecnológicos para as mais diversas demandas de segurança, bem como com com uma equipe altamente especializada de consultores especialistas em práticas de segurança da informação de rede. Com mais de trinta anos de atuação em tecnologia, a PromonLogicalis atua de maneira ativa no desenho e na implementação de soluções de segurança da informação para seus clientes.

A combinação de profissionais com excelência técnica, elevado nível de capacitação e certificação, com um ecossistema de parceiros tecnológicos especializados nas mais diversas soluções de segurança permite o desenho das soluções mais apropriadas para cada demanda.

A PromonLogicalis

_seguranca.indd 15 02/10/12 10:49

www.br.promonlogicalis.com

ArgentinaBolíviaBrasilChileColômbiaEquadorParaguaiPeruUruguai

© Copyright 2012 PromonLogicalis – All rights reserved.

_seguranca.indd 16 02/10/12 10:49