(original do "Fechando as Torneiras, publicado na Security
Review)
Incidentes de vazamento de informações vêm ganhando enorme destaque nos noticiários.
Provavelmente influenciadas pela SB1386 do estado da Califórnia, diversas
empresas divulgaram que tiveram informações pessoais de consumidores roubadas.
Uma das vantagens da maior divulgação destas situações é que podemos
analisá-las sob o ponto de vista de segurança para tentar identificar as causas
e tentar melhorar os processos para evitá-las.
Para entender melhor um incidente de vazamento de informações, podemos
dividi-los em duas etapas: o acesso à informação e o envio para fora do domínio
de controle da empresa. O vazamento de informações só pode acontecer se essas
duas etapas puderem ser concretizadas.
Ao analisarmos os incidentes sob a ótica da primeira etapa vamos perceber que
os processos de controle de acesso das empresas não são suficientes para manter
a informação protegida. Entre os pontos de falha estão:
· Mínimo privilégio: As pessoas têm acesso a muito mais informações do que
seria necessário para o desempenho de suas funções.
· Auditoria: Mecanismos de acesso às informações não contam com registros
detalhados dos acessos.
· Infra-estrutura: Pessoal responsável por
componentes de infra-estrutura, como Bancos de Dados, Sistemas Operacionais,
Backup, etc, não passam por controles tão restritos
quanto aqueles que acessam as informações pelas vias normais (aplicações).
· Segurança física: Dispositivos ou mídia contendo informações confidenciais
não são devidamente protegidos quando fora do domínio de segurança da empresa.
· Armazenamento descentralizado: Informação confidencial armazenada em estações
de trabalho, longe dos principais controles físicos e lógicos.
· Proximidade com o perímetro: Informações são armazenadas em pontos da rede
muito próximos a redes inseguras, como a Internet.
· Senhas: Falta de cultura referente à proteção das senhas individuais pelos
usuários, indo da proteção contra roubo à escolha de
senhas fortes.
· Detecção: A maior parte dos acessos ilícitos não é detectada pelos sistemas
de detecção de intrusos existentes.
A segunda etapa é de certa forma mais nova quanto às suas características.
Quando o acesso à informação acontece por conta de sua saída do domínio de
segurança essa etapa acaba sendo extremamente simples. Uma vez acessada, já não
há mais como evitar que a informação escape.
Quando a informação é acessada dentro da empresa, porém, existe ainda a
“missão” de tirá-la de lá. A forma como isso será feito depende não só de como
foi atingida a primeira etapa, mas também de quem é o responsável pelo roubo
das informações. Usuários autênticos, como funcionários mal intencionados,
costumam ter uma estação de trabalho a disposição, e-mail e acesso à Internet,
o que facilita muito a retirada da informação. Já ataques externos, como o de
“hackers” acessando as informações pela Internet, costumam
ter desafios adicionais, como o acesso limitado por firewalls e a existência de
sistemas de detecção de intrusos no seu caminho. Os pontos mais comuns que
permitem a conclusão dessa etapa são:
· E-mail: Falta de controle sobre o uso do e-mail
pelos usuários permite que grandes volumes de informação sejam enviados para
fora da empresa por este meio.
· Acesso à Internet: Falta de controle quanto aos protocolos e sites acessados
pelos usuários também facilitam o vazamento de informações, como através da
utilização de sistema de webmail, por exemplo.
· Mídia removível não oficial: O uso indiscriminado e sem controle de pendrives, gravadores de CD, MP3 players e outros
dispositivos com alto poder de armazenamento e portabilidade também permite que
grandes volumes de informação sejam retirados da empresa.
· Mídia removível oficial: Laptops e fitas de backup são exemplos freqüentes
nos incidentes de vazamento de meios de armazenamento de informações usados de
maneira oficial pela empresa, pois trazem um grande risco de vazamento ao serem
extraviados.
· Impressão: Mesmo com grandes controles sobre os meios eletrônicos, ainda é
possível retirar um volume considerável de informação em formato impresso.
· Acesso Remoto: Sistemas que permitem o acesso remoto à rede da empresa, como VPNs e acessos discados, carecem do mesmo nível de proteção
e vigilância dedicado à Internet, e podem servir como canais de escoamento da
informação acessada.
Uma vez identificados as principais formas de acesso e escoamento de
informações, é necessário formular uma estratégia para evitar que os vazamentos
aconteçam. Como podemos notar nos itens acima, há uma grande diversidade na
natureza dos pontos identificados. Com isso já é possível perceber que combater
vazamentos de informação não se resume a atacar apenas um deles, pois o
problema pode acontecer por diversos caminhos. Algumas empresas adotam como
estratégia criptografar todos os dados armazenados, porém falham na aplicação
do conceito de mínimo privilégio no acesso dos usuários. O vazamento acabará por
acontecer em uma camada superior, quando os dados serão utilizados, onde, é
claro, não podem estar criptografados.
Seria correto, então, dizer que a única forma de evitar que os vazamentos
aconteçam é através do tratamento de todos os pontos mencionados? Em parte,
pois nem todos eles são pertinentes ao ambiente de todas as empresas. Logo, a
definição de uma estratégia anti-vazamento passa pela
análise do contexto da empresa, onde devem ser identificadas as informações que
se deseja proteger, onde elas estão, por onde elas passam e quem as acessa. Com
isso é possível focar esforços nos pontos que trazem maior risco, uma vez que
eliminar totalmente a possibilidade de vazamentos é um objetivo que
dificilmente será alcançado por um custo justificável.
A grande quantidade de incidentes têm feito com que as empresas rapidamente
tomem medidas para evitá-los, baseando-se nas falhas das vítimas e nas últimas
novidades do mercado. Assim, o foco das compras está em ferramentas para
controle de portas USB (mirando no uso de mídias removíveis) ou de criptografia
de dados armazenados. Aparentemente, poucos destes compradores estão analisando
suas vulnerabilidades para definir as aquisições, mas baseando-as nas
vulnerabilidades daqueles que falharam. Outro sintoma de histeria coletiva é o
investimento em diversos tipos de “caixas milagrosas”, talvez em uma tentativa
desesperada de mostrar um comprometimento com o assunto que até pouco tempo
atrás era negligenciado. Como um dos maiores apelos de venda desses produtos é a
facilidade de implementação, costumam ser voltados
para a etapa de saída da informação.
De fato, focar na etapa de saída da informação tende a ser a forma mais cara de
defesa contra os vazamentos de informação. Mesmo em redes muito restritas
existem diversos canais de saída da informação, entre eles as mídias
removíveis, protocolos não monitorados, VPNs e outros
sistemas com criptografia, impressões ou redes wi-fi
clandestinas. O custo das medidas de proteção contra a saída da informação, se
comparado ao seu nível de eficácia, é extremamente alto.
Sendo assim, é muito importante pensarmos na etapa de acesso à informação. Não
é preciso muito esforço para identificar que este é o melhor ponto de combate
ao vazamento. A segunda etapa não acontece sem que a primeira tenha acontecido.
Além disso, para cada primeira etapa bem sucedida há diversas formas de se
obter sucesso na segunda etapa. Atuar na primeira etapa nos permite focar em
menos situações e trabalhar com menos variáveis.
Outra consideração importante é que os dados resultantes da monitoração de
acessos às informações permitem a tomada de ações preventivas, ao contrário da
monitoração da segunda etapa, que seria útil apenas em processo posterior de
identificação de culpados. A detecção de uma mudança no padrão de acesso a
informações de um usuário pode levar a identificação de uma ação de coleta de
informações, que posteriormente serão enviadas para fora da empresa. O estudo
dos acessos concedidos pode apontar grandes exposições de informações a uma única
entidade. Diversos processos de controle trarão benefícios concretos por um
custo muito menor do que aquele das ferramentas que tentam evitar a saída da
informação.
Não devemos concluir que investir em proteção contra a saída da informação é
errado, mas é importante, ao definirmos a estratégia de defesa contra
vazamentos, sabermos que o controle visando esse ponto é mais caro e menos
efetivo que aquele que visa o acesso à informação. Controlar ou mesmo
restringir o uso de mídia removível traz outros benefícios além de evitar
vazamentos, e a soma dos benefícios pode fazer com que esta medida tenha um bom
retorno.
Um outro fator constantemente ignorado é o fator
humano. Quase todos os incidentes de vazamento tem um
componente de negligência humana. Uma das medidas mais eficazes para deter
vazamentos é fazer com que as pessoas tenham noção do valor da informação com
que estão trabalhando. São raras, por exemplo, as situações onde o envio de
informações confidenciais por e-mail é mal intencionado. O usuário, na grande
maioria das vezes, só está tentando fazer o seu trabalho. Se não houver
ferramentas disponíveis para o usuário desempenhar seu trabalho de forma
segura, ele fará de forma insegura. Segurança da Informação é um objetivo
secundário para o usuário comum. Se não for simples de atendê-lo, ele não o
fará.
Tendo em vista todos esses aspectos, uma estratégia de prevenção contra
vazamentos de informação deve ser composta por:
· Mapeamento: Quais são e onde estão as informações confidenciais. Por onde e
como elas trafegam? Quem as acessa? O nível de acesso dado é realmente
necessário?
· Controle de Acesso: Baseado no processo de mapeamento, definição dos acessos
permitidos por cada grupo de usuários, assim como os processo
para solicitação, revisão e revogação. O mínimo privilégio deve ser o norte das
decisões tomadas nesta etapa.
· Controle de acessos alternativos: Definição de processos e formas de controle
dos acessos alternativos à informação, como o acesso direto às bases de dados,
arquivos, etc. A segregação de funções e auditoria de atividades são
fundamentais para evitar problemas com esses acessos.
· Treinamento: As pessoas devem conhecer o perigo do vazamento de informações.
Muitos responsáveis por vazamentos o fazem inadvertidamente, sem saber a
importância da informação com que lidam e os reais perigos de suas ações, como
redirecionar o e-mail corporativo para o e-mail pessoal durante períodos de
férias, por exemplo.
· Controle de meios de saída: Apesar de mais caros, os controles sobre os meios
de saída da informação tem seu valor e podem desencorajar tentativas de
vazamento, pois trazem uma maior sensação de controle sobre o ambiente para as
pessoas que o utilizam.
· Detecção: Muitas situações de vazamento podem ser detectadas antes de consumadas.
Mesmo aquelas com sucesso podem ter os impactos minimizados por conta de uma
detecção prematura seguida de ações imediatas. Como muitos casos são
provenientes de usuários com acessos legítimos às informações, convém utilizar
métodos estatísticos e que visem a identificação de
desvios de comportamento (mais de um determinado número de consultas a dados de
clientes por dia, por exemplo).
· Resposta: No caso do pior acontecer, a empresa deve ter procedimentos
definidos de resposta, que vão desde a comunicação com os prejudicados pelo
vazamento até o acionamento das autoridades e coleta de evidências.
É muito importante que o combate aos vazamentos não fique restrito a apenas uma
das ações acima. Como vimos, o vazamento pode ser resultado da deficiência em
uma série de controles, e a concentração em apenas um deles provavelmente não
trará os resultados desejados. Não é possível reunir todas as ações necessárias
para evitá-los em um único produto tecnológico. Além disso, uma ação
diversificada tem maior visibilidade, podendo ser ainda melhor para demonstrar
o comprometimento da empresa do que através do uso de caixinhas mágicas. Como
quase todo problema de TI (se é que podemos dizer que isso é um problema de
TI), existem muitas promessas de solução simples e única, mas apenas com a
tríade de Pessoas, Processos e Tecnologia é possível obter bons resultados
enquanto se maximiza a relação de custo/benefício.