Desde de que comecei a trabalhar com segurança em
sistemas de informação, sempre tive a impressão de que a metodologia e as
premissas utilizadas tinham algo de errado. Assim que entram em contato com o
ambiente do cliente, consultores de segurança já saem a alterá-lo de modo a
torná-lo mais seguro, porém são raríssimas as situações onde tais alterações
não trazem problemas de compatibilidade, disponibilidade e produtividade.
Alguns profissionais afirmam que isso é o preço a ser pago pela segurança, e
que o nível de ajuste entre tais fatores deve ser feito de acordo com o risco
que se está disposto a aceitar. Nunca engoli isso direito.
Hoje, muitos problemas em redes provêm da facilidade de um usuário obter acesso
com níveis administrativos, além da falta de controle de acesso em pontos como
File Servers e Bancos de Dados. Devido a isso, o
acesso a qualquer estação ou servidor, seja considerado de alta
ou baixa criticidade, de teste ou mesmo de
desenvolvimento passa a ser motivo de grande preocupação, pois pode ser a porta
de entrada para uma rede onde o acesso às informações críticas é feito sem
maiores dificuldades. O modo como as soluções para casos como este tem sido
desenhadas acaba tornando-as demasiadamente caras e difíceis de serem implementadas. Configurar milhares de estações e dezenas de
servidores Windows de maneira segura é algo simples de se projetar, embora o
custo e as dificuldades de se executar tal projeto quase sempre tornam a
solução ineficaz. O que gera tamanha dificuldade para que tais projetos
funcionem é a grande desorganização das redes existentes. Uma rede bem
projetada, amplamente documentada, com software atualizado e com administração
competente e sem problemas de excesso de funções é uma premissa básica para os
projetos de segurança atuais. Implementar um projeto
de segurança no mundo real, porém, mostra-se algo impraticável.
Esta incompatibilidade deve-se ao fato de que tais projetos assumem que todas
as falhas existentes devem ser corrigidas, assim como todos os controles
implementados devem ter eficiência próxima de 100%. É a famosa analogia da
corrente, cujos elos devem estar todos em ordem e sem fissuras para a corrente
possa ser considerada também forte. No mundo real, isso não funciona. Sua
corrente, mais cedo ou mais tarde, vai encontrar um elo fraco. O que deve ser
compreendido é que a corrente não vai ter a força necessária se todos os elos
não forem submetidos a uma manutenção constante. Levando em conta que em uma
rede grande cada estação é um elo, a tarefa de manter a corrente forte ganha
ares herculescos.
Muitos profissionais afirmam que essa visão mostra o quanto é necessário
trabalhar ainda mais forte em todos os elos da corrente. Não seria o momento,
entretanto, de procurarmos alternativas à corrente de milhares de elos que deve
sempre ser infalível?
Uma das idéias que servem como base para a estratégia de implementação
de segurança atual é a de Defense in Depth. A idéia é adicionar diversas camadas de proteção a
um ambiente, para que cada uma possa agir no caso de falha das outras e assim
tornar o risco de uma ameaça se concretizar o mais baixo possível. O maior
problema, no entanto, está no fato de que tais barreiras trazem custos, até
mesmo financeiros, que somados podem tornar a implementação
de segurança em sistemas um verdadeiro pesadelo.
Um conceito relativamente novo na área e que serve de alternativa para isso é o
de Defense in Breadth.
Aqui, tem-se a visão de que um controle de segurança não precisa
necessariamente ter uma eficiência próxima de 100%. Controles com níveis de
eficiência menores tornam-se muitas vezes menos custosos e trazem menos
embaraços para serem aplicados. Logo, pode-se também aplicar mais controles,
porém complementares, ao invés de redundantes. Com a soma dos controles atinge-se níveis de proteção e de redução de risco tão altos
quanto àqueles atingidos com controles sobrepostos com eficiência em torno dos
99%. Tal afirmação pode ser melhor compreendida ao se
analisar o quadro abaixo:
Outro enfoque que deve ser mais aplicado é o da aceitação de incidentes. Um
grande perigo durante a elaboração de esquemas de segurança é o pensamento de
que nada de errado vai acontecer, seja porque é muito caro para evitar ou
porque já existem controles para evitar que aconteça. É a noção de que é
impossível garantir que todos os elos da corrente estejam seguros. Quando uma
corrente tem milhares de elos, isso pode levar a uma grande redução de custos e
facilitar a implementação. Para que tentar proteger
estações de usuários que não estão devidamente protegidas fisicamente e que são
mantidas por uma equipe de suporte subdimencionada e
despreparada? Não seria mais simples assumir que as estações podem ser
comprometidas e passar a estudar como o resto da rede deve ser configurada para que isso não represente uma ameaça muito
séria?
A mudança no enfoque do trabalho de segurança é algo muito imaturo e que ainda
não trouxe ferramentas que permitam que o nível de risco fique menor do que
aquele atingido pelo enfoque atual. É preciso lembrar
entretanto, que a segurança deve ser tratada como qualquer área de
conhecimento científico que adota modelos e teorias para tentar representar a
realidade. Uma teoria ou modelo é aceita se os fenômenos que ela prevê podem
ser comprovados na natureza e se não há maneira mais simples de fazer a mesma
previsão. Na segurança devemos tentar trabalhar da mesma forma: assim como os
físicos buscam uma teoria unificada que substitua às diversas teorias atuais,
que apesar de descreverem com perfeição muitos fenômenos naturais ainda não
conseguem prever todas as situações possíveis, devemos
buscar novos enfoques e metodologias que nos permitam chegar aos mesmos
objetivos de forma mais elegante e abrangente, tornando o processo de segurança
mais simples e menos custoso. É o enfoque exato e científico sendo aplicado a
mais uma área do conhecimento humano.