Muttley’s Blog

Algumas idéias sobre risk management e risk analysis:

Sempre batemos na tecla da priorização dos investimentos de acordo com uma análise de risco. Aí vem a formulinha batida de risco:

(R)ISCO = (I)MPACTO x (P)ROBABILIDADE

Mas eu entendo que P é composto de dois outros números, um nível de (A)meaça e a (E)xposição, diretamente ligada às vulnerabilidades existentes.

O nível de ameaça seria, basicamente, a quantidade de pessoas com interesse em explorar a vulnerabilidade, juntamente com o nível de motivação e recursos disponíveis. Uma falha “0-day” em um site de grande popularidade tem uma maior probabilidade de ser explorada do que a mesma falha em um site esquecido sobre coleções de copos. Mais gente capaz e interessada no sucesso do ataque, maior o A, logo, maior o P.

O que está me incomodando nessa teoria toda é que eu tenho a impressão que há uma relação entre A e I. Parece-me que quanto maior o I, maior seria o A, e vice-versa. Afinal de contas, quando o resultado da ação é maior (imagine dinheiro decorrente de fraude), há mais pessoas interessadas ou, pelo menos mais motivadas em realizá-la. Não é comum encontrar algo com baixíssimo impacto que tenha muitos interessados em fazer. Quantas pessoas estão interessadas em fazer a estação Windows 98 da vovó Internauta rebootar com um ataque manjado de nuke? Acho que é o “efeito Tostines” da segurança. Não sei se isso pode ser comprovado.

Outra coisa interessante que estava pensando era sobre o custo de contramedidas. Uma relação evidente deste custo é com a proximidade da ameaça à informação. É muito mais barato proteger uma informação em um banco de dados em um CPD fisicamente seguro de pessoas externar do que do operador de backup que trabalha lá dentro. Óbvio, mas interessante. Imagino que seja um dos motivos da pouca adoção de medidas de segurança visando o usuário interno.

Mas o que achei mais interessante é que percebi que esse custo não é apenas financeiro. Há também o custo de privacidade. O único jeito de proteger uma informação de alguém que tem acesso a ela é monitorar todo o acesso. Assim, só seria possível obter 100% de segurança com 0% de privacidade. Aí caímos no famoso “Quis custodiet ipsos custodes?”. Podemos adaptar o “a liberdade de um termina onde começa o direito do outro” para “a liberdade de um termina onde começa a segurança do outro”, ou, invertendo, “a segurança de um termina onde começa a liberdade do outro”.

Por conta da maneira como esse custo evolui, entendo que devemos começar a trabalhar com segurança da informação de forma semelhante ao que se faz fisicamente com o conceito de “tamper evident”. Se não é possível evitar, que fique claro quando houve violação. A idéia dos honeytokens, mais “copy bugs” do que honeytokens, se encaixa bem nisso. Com o crescimento na capacidade de processamento e storage imagino que passe a ser viável usar técnicas de data mining e reconhecimento de padrões para identificar a informação e monitorar por onde ela passa. É claro que todo ponto controlado por onde ela pode passar deve ter um agente de monitoração, ou ela poderá escapar por ali. Será que não é possível usar toda a tecnologia disponível nos antivírus para viabilizar isso? O antivírus já está nas estações, ele pode também analisar a memória e os arquivos em busca de informações confidenciais e registrar sua passagem por aquele ponto, ajudando na visualização de onde elas estão e quem está trabalhando com elas. Com isso seria possível evitar concentrações desnecessárias (arriscadas e não autorizadas) de informações sensíveis, minimizando o risco de grandes vazamentos.

Chega de viagem por hoje.