Saturday, February 27, 2016

A importância da gestão de ativos para a Segurança da Informação

Uma das grandes dificuldades que os gestores da área de Segurança da Informação (SI) enfrentam diz respeito à inexistência ou má gestão dos ativos de TI que suportam o negócio da empresa. E quando me refiro a gestão de ativos, não quero dizer apenas endereço IP, nome de máquina, andar e outras informações de perfil mais técnico.

É fundamental estabelecer um vínculo entre estes ativos de TI e o contexto de negócios, de tal forma a facilitar a priorização de ações bem como permitir maior envolvimento das áreas de negócios nas atividades de SI.

Em relação ao contexto de negócios, há alguns exemplos aplicáveis tais como: Unidades de Negócios, Processos de Negócios, Sistemas, Produtos e Serviços, e quaisquer outras nomenclaturas específicas para cada perfil de empresa. Isto pode ser realizado através de uma planilha ou sistema especialista, que inclua não só as informações técnicas dos ativos, mas também o contexto de negócios.

A seguir, alguns exemplos da aplicabilidade deste vínculo entre informações sobre ativos de TI e contexto de negócios, em atividades de SI.

Gestão de Vulnerabilidades

Sem dúvida uma das atividades de SI mais beneficiadas com este vínculo. Normalmente, são executadas análises de vulnerabilidades nos servidores da empresa e o resultado, na grande maioria das vezes, é um relatório com centenas de páginas descrevendo todas as falhas de criticidades alta, média e baixa, porém normalmente sem nenhum critério de priorização. Aí o que acontece? O tal relatório cai no colo da área de TI (isto quando TI e SI são áreas separadas) e não se sabe qual o critério para priorização das correções. Geralmente define-se que devem ser corrigidas primeiro as vulnerabilidades de criticidade alta. Não necessariamente esta abordagem é a ideal.

Não seria bem melhor priorizar a correção das vulnerabilidades através da aplicação de critérios de negócios? Exemplo, corrigir as vulnerabilidades do processo de negócios “Fluxo de pagamentos”, ou ainda vulnerabilidades no produto “Venda Digital”? Certamente facilita a priorização, que não depende mais de saber para que servem números mágicos como endereços IP, que não querem dizer absolutamente nada para gestores. Garanto que o gestor daquele processo de negócios ou serviço a clientes será o primeiro a cobrar TI para correção das vulnerabilidades...

Além disso, é muito importante fornecer um painel com estas informações de alto nível, que poderão ser acessados por aqueles stakeholders. A figura a seguir apresenta um exemplo de painel. Note que as vulnerabilidades são apresentadas em relação aos seguintes contextos de negócios: Unidades de Negócios, Divisões, Processos de Negócios e Produtos e Serviços. Obviamente, caso o gestor tenha interesse, poderá fazer o drill down para maior detalhamento das vulnerabilidades.

Imagine este painel sendo acessado por cada um dos gestores responsáveis por aqueles processos de negócios, produtos e serviços, etc. Obviamente cada um vendo informações referentes ao seu pedaço e um diretor tendo a visão do todo.


Resposta a Incidentes

Esta é outra atividade de SI diretamente influenciada por uma correta gestão de ativos, uma vez que os analistas responsáveis pela análise dos incidentes se beneficiam de informações relacionadas ao negócio. É muito mais fácil priorizar uma ação quando sabemos que um determinado ataque foi direcionado a um ativo que sustenta um processo de negócios crítico.

Certamente o analista responsável pela análise conseguirá priorizar o atendimento a um incidente relacionado a ataques, direcionados ou originados de equipamentos críticos ao negócio.

Continuidade de Negócios

Quando elaboramos Planos de Continuidade de Negócios e também o BIA (Business Impact Analysis), é certamente muito mais fácil incluir os equipamentos corretos quando sabemos que ativos impactam quais processos de negócios. Aliás, normalmente as informações levantadas durante o processo de preparação de um BIA podem ser muito valiosas para a gestão de ativos.

Há vários exemplos de empresas que possuem um CMDB (sistema para gestão de ativos) muito atualizado em relação a informações puramente técnicas, mas sem qualquer informação de negócios, mas que podem obter estas informações através dos BIAs elaborados pela equipe de Continuidade de Negócios.

Conformidade

Também aqui o vínculo entre ativos de TI e contexto de negócios é muito importante, pois permite avaliar a conformidade em um nível mais alto, ao invés de endereços IP. Pode-se gerar relatórios de conformidade ao PCI, SOX, ISO 2700x, etc, para Processos de Negócios, Produtos e Serviços, Unidades de Negócios etc.

Evidentemente os exemplos acima somente confirmam a importância de se manter um bom sistema de controle de ativos, que permita a manutenção de um cadastro atualizado, e com enriquecimento de informações provenientes de contexto de negócios. Também é muito importante estabelecer um processo para atualização desta base com informações de novos equipamentos.

Sunday, February 21, 2016

Livro Recomendado: Governança de Segurança da Informação - Como criar oportunidades para o seu negócio

Há dezenas de livros muito bons na área de Segurança da Informação (SI), porém com foco mais técnico. Quando falamos de Gestão de Segurança as opções diminuem sensivelmente. Uma alternativa bem interessante é o livro "Governança de Segurança da Informação - Como criar oportunidades para o seu negócio", do Sérgio da Silva Manoel. Trata-se de um livro publicado em 2014 e que aborda todos os aspectos importantes para o estabelecimento de um sistema de gestão de SI.


O autor é um profissional experiente na área de SI, tendo participado em inúmeros projetos relacionados ao tema. Claro que isso, por si só, não garante a qualidade e, principalmente, a didática na transmissão do conhecimento. Este livro, entretanto, é bem escrito e estruturado, sendo possível a leitura sequencial ou consulta direta a temas específicos. Pode ser lido tanto por profissionais em início de carreira quanto por aqueles que já estão na estrada há um bom tempo.

No capítulo 1, o autor descreve os principais aspectos da Governança Corporativa, incluindo a definição da estrutura e responsabilidades. Esta introdução é muito importante uma vez que a Governança de Segurança da Informação (GSI) é um dos pilares importantes da Governança Corporativa.

No capítulo 2 é apresentado um modelo de GSI de acordo com o proposto pela norma ABNT NBR ISO/IEC 27014:2013. A norma é bem clara em relação ao que deve ser feito mas o autor descreve como fazer. Aliás, esta é a principal característica deste livro uma vez que não se limita a repetir teoria ou bullets com itens das normas. Descreve os princípios para estabelecimento da Gestão de Segurança, introdução aos papeis e responsabilidades do CISO e do Comitê de SI, além dos processos importantes (avaliação, direção, monitoração, comunicação e garantia). Outro alinhamento descrito neste capítulo diz respeito ao uso do COBIT 5 como framework para este modelo de GSI. Talvez o ponto forte deste capítulo seja a tabela exemplo, descrita na página 46, que mostra a avaliação do nível de conformidade dos processos de SI em relação ao COBIT 5.

No capítulo 3 temos a priorização das ações de SI em relação aos processos críticos de negócio. Talvez um dos capítulos mais importantes porque define a melhor estratégia de priorização. Afinal de contas, faltam tempo, recursos e profissionais para executar tudo o que se espera de uma área de SI. São apresentadas as técnicas para levantamento das áreas e processos de negócios e definição dos aspectos de relevância, impacto (confidencialidade, integridade e disponibilidade), prioridade (gravidade, urgência e tendência) e a forma de consolidação e apresentação dos resultados.

O capítulo 4 descreve o ciclo PDCA (Plan, Do, Check, Act) para gestão de SI e a metodologia para diagnóstico dos processos de SI, segundo a norma ABNT NBR ISO/IEC 27002:2013. Este diagnóstico é muito importante para identificar os gaps da organização e o que deverá ser priorizado. Aqui também são descritos em detalhes a função e responsabilidades do CISO e do Escritório de SI.

O capítulo 5 talvez seja o mais prático de todos uma vez que são descritos os passos para uma efetiva implantação da GSI. Define o Plano Estratégico de Segurança da Informação (PESI), a matriz SWOT, os objetivos estratégicos da SI, o retorno de investimento, criação de indicadores, planejamento (curto/médio/longo prazos) além, é claro, dos Planos de Ação. Uma metodologia estruturada e bem completa.

Para finalizar, o capítulo 6 contempla a família de normas ISO 27000, incluindo o histórico destas normas, resumo das normas relevantes (27001:2006, 27002:2005, 27004:2010, 27005: 2011, etc). E mostra também o que mudou na versão 2013 das normas 27001 e 27002.

Definitivamente este livro é uma ótima referência para aqueles que necessitam implantar um GSI. Infelizmente, o nível de maturidade da grande maioria das empresas no Brasil ainda não permite aplicar tudo o que é proposto no livro.  Isso se deve a diversos fatores como falta de recursos, falta de alinhamento da área de SI (ou do gestor) aos requisitos de negócios, entre outros. Mas de qualquer forma, aqui está uma obra bem estruturada e robusta que facilita a concretização deste desafio.

Friday, April 13, 2012

As dificuldades na Monitoração da Segurança de Rede


Este artigo tem como objetivo tentar desmistificar a monitoração de segurança de rede, especialmente aquela relacionada ao uso de ferramentas de proteção como Intrusion Prevention Systems (IPS). São vários os desafios enfrentados pelos profissionais que monitoram as redes, tanto por parte de profissionais da própria empresa, quanto por aqueles que trabalham em empresas terceirizadas (serviço conhecido como MSS – Managed Security Services).

O desafio começa no volume de dados a serem inspecionados. Até um tempo atrás, o tráfego de 1 Gbps (efetivamente inspecionado) era considerado um volume bastante alto. Hoje em dia, especialmente em bancos e grandes operadoras, 10 Gbps pode ser considerado um volume médio. Já existe, inclusive, a tendência para redes de 40 Gbps e 100 Gbps. Tudo isso motivado, é claro, pelo uso cada vez mais intenso de links de internet rápida e pelos novos serviços disponibilizados. Quem utilizava conexões discadas, proporcionadas por placas de fax modem, com velocidades de 56 Kbps (as mais modernas para aquele momento) e agora utiliza links de 10 Mbps em casa, certamente imagina para onde estamos caminhando.

Voltando ao IPS, como é possível dar conta de um volume tão grande de dados? Certamente a resposta não é simples e envolve principalmente o conhecimento do ambiente a ser monitorado.

Sob o ponto de vista da rede, os principais detalhes que devem ser observados são:

1. Topologia da rede, incluindo todas as interconexões com outras redes, fornecedores e filiais: O objetivo principal é identificar todos os perímetros existentes para não corrermos o risco de utilizarmos um cobertor curto. Existem redes que possuem uma característica de estrela, onde todo o tráfego de rede obrigatoriamente deve passar pela matriz antes de ser encaminhado para as filiais (esse tipo de interconectividade é um pouco mais fácil de ser monitorarada). O difícil mesmo é quando todas as filiais conversam entre si, sem obrigatoriamente passarem pela matriz. Nesse caso, cada filial deve ser considerada uma rede autônoma, com medidas independentes de segurança (Firewall, IPS, etc).

2. Conhecimento dos serviços disponibilizados nos diversos segmentos de rede: Parece óbvio, mas é impressionante a quantidade de empresas que simplesmente desconhecem qual o perfil de tráfego/serviços disponibilizados. Isso normalmente ocorre devido ao crescimento rápido. Não dá para proteger uma rede sem conhecer o seu perfil de tráfego. Ponto. Quer um exemplo? Se um determinado segmento de rede refere-se a uma DMZ (zona desmilitarizada) e deve possuir somente tráfego HTTP, podemos muitas vezes identificar a ocorrência de um ataque pela simples identificação de um tráfego de rede anômalo, como TFTP, FTP, IRC. Às vezes, a simples tentativa de conexão ao mundo externo, a partir de um servidor localizado na DMZ, já pode ser considerado um tráfego suspeito. E tudo isso sem sequer levar em consideração a existência de uma assinatura para o ataque em questão.

3. Identificação dos Sistemas Operacionais e Serviços disponibilizados nos segmentos de rede: Exemplo: A DMZ possui somente sistemas Linux Debian, com serviços HTTP (Apache), DNS (Bind) e FTP (Proftpd). Essa identificação é fundamental para um correto correlacionamento dos ataques, bem como para permitir a ativação de assinaturas pertinentes. Para que eu vou habilitar assinaturas relativas ao ambiente Microsoft Windows, se eu só tenho servidores Linux? Isto permite reduzir sensivelmente a quantidade de falsos-positivos e aumentar a performance do IPS. Um inventário da rede e dos serviços é fundamental neste caso e, ao contrário da tecnologia de antivírus, uma maior quantidade de assinaturas habilitadas não representa, necessariamente, maior proteção.

4. Preparação da equipe: Não basta conhecer o produto e saber configurá-lo. É muito importante ter um conhecimento dos ataques e entender sua mecânica. Desta forma fica muito mais fácil a análise dos eventos e identificação de falsos-positivos. Este aprimoramento é constante e permite a retroalimentação do IPS com assinaturas melhor customizadas ao ambiente da empresa.

Os itens elencados acima certamente permitem melhorar a performance do IPS, possibilitando assim o uso mais inteligente dos recursos computacionais do equipamento utilizado para análise (normalmente appliances). De qualquer maneira, a tarefa não é simples e deve ser repetida continuamente, até para que seja possível a adaptação a novos serviços, servidores, etc.

Wednesday, March 28, 2012

Reflections about the RDP (MS12-020) Vulnerability

It is no longer news to anyone, involved with information security, that a critical vulnerability was identified in the Remote Desktop Protocol service (RDP - 3389/tcp). This vulnerability was reported in the famous "super tuesday" of Microsoft, in March 2012. Basically, it's a vulnerability that allows remote exploitation of the server/desktop (more details here: http://technet.microsoft.com/en-us/security/bulletin/ms12-020).
There already exists a tool that causes denial of service on a vulnerable system. It's just a matter of time until we have a fully active worm exploiting this vulnerability and spreading in an uncontrolled manner. Uncontrolled? But after all, isn't this service disabled by default


Yes, but... 


As usual, we have some sins on firewall configurations. Want an example? Just remember Slammer... Why the hell someone enabled (and still enables) direct access to a database from the internet? If this is REALLY necessary, why not to restrict the access from specific IP addresses? The same question obviously also applies to RDP access, with the aggravating factor that this service is not enabled by default (ie, we have to consciously enable it).
It's really important to adopt a secure architecture, regardless of the existence of a vulnerability. 
Zerodays are always a reality ...


Additional information:


http://aluigi.org/adv/termdd_1-adv.txt
http://seclists.org/nmap-dev/2012/q1/att-691/rdp-ms12-020.nse
http://www.metasploit.com/modules/auxiliary/dos/windows/rdp/ms12_020_maxchannelids
http://www.f-secure.com/weblog/archives/00002338.html
http://samsclass.info/123/proj10/rdp-honeypot.htm
http://blog.snort.org/2012/03/vrt-rule-release-for-03222012-ms12-020.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Snort+%28Snort%29



Thursday, March 17, 2011

Rivest talking about Cryptography at MIT

It's always a pleasure to hear Ronald Rivest (the "R" of RSA) talking about the evolution and future of cryptography. Cryptography is definitely an important field of Information Security and very difficult to understand deeply.

Anyway, this lecture is very instructive and funny. Enjoy it: http://mitworld.mit.edu/video/879

Wednesday, June 30, 2010

Choosing the right SIEM Solution

It's really hard to choose the right SIEM solution nowadays. With so much features available on these products, it's getting hard to choose the appropriate solution, especially regarding complex environments consisting of several sources of information.

In this post, the idea is to propose some important questions that we can use to help choosing the right solution. There are questions regarding technical and non-technical aspects as, for example, support, training, user interface, etc. Using this questionnaire it's possible to prepare a scorecard to obtain a best comparison. We can assign the following values: 0 for Absent, 1 for Limited Functionality, 2 for Complete Functionality and 3 for Exceeded Expectations.

  1. How many pre-existing parsers does the solution have (this is very important so it will be not necessary to develop new parsers to extract the log content)?
  2. How easy for creating new parsers?
  3. User Interface (intuitive? easy to operate?)
  4. Ability to collect events (volumetry)
  5. Storage of events (compression, file system type, external storage, cryptography)
  6. Event correlation process (is it easy to create correlation rules?)
  7. Normalization of logs
  8. Solution scalability (architecture, collectors, databases etc)
  9. High Availability
  10. Security in the communications between the components of the solution
  11. Reports (pre-existing, customization, compliance reports)
  12. Position in the Gartner's quadrant
  13. Ticketing system integration (integration with Remedy, for example, or an internal ticketing framework)
  14. Is it possible to filter events at the collectors (without sending some type of events to the infrastructure)?
  15. Possible to correlate information from IDS/IPS with Vulnerability Scanners?
  16. Possible to segregate functions inside the console?
  17. Technical support (other language options: portuguese/spanish/french/etc?, 24x7? SLA's?)
  18. Training (localized training?)
Any other suggestions?

Saturday, May 29, 2010

Outra pesquisa a respeito da adoção de Cloud Computing

Desta vez foi o ISACA que publicou uma nova pesquisa apontando que o risco supera os benefícios de usar a computação em nuvem. Mais uma vez vale reforçar a necessidade do uso de SLA's agressivos e um controle efetivo sobre o trabalho realizado pelo fornecedor.

Maiores detalhes: http://www.net-security.org/secworld.php?id=9051

Tuesday, April 20, 2010

Neurônios Filosóficos - Parte 6: Nova (?) tendência para tecnologia de firewalls...

Em 2001, durante um treinamento de ferramentas ISS no qual eu era o instrutor, tive um embate técnico/teórico com um dos alunos a respeito de tecnologias de firewall. Naquela oportunidade (e ainda hoje) eu era um forte defensor de firewalls camada 7 (sim, os famosos Gateways de Aplicação) porque ofereciam um nível de proteção infinitamente maior que os firewalls que atuavam somente nas camadas 3 e 4.

O principal argumento do aluno dizia respeito à velocidade de processamento e encaminhamento dos pacotes, o que certamente é uma verdade. Obviamente é muito mais rápido olhar endereços IP Origem/Destino e Portas Origem/Destino e fazer a entrega dos pacotes, do que analisar as 7 camadas de protocolos à procura de desvios, má formação de pacotes, etc.

Mas a questão que eu coloquei na época dizia respeito a aspectos de segurança, a despeito de uma velocidade um pouco menor. Logicamente fui voto vencido e outros alunos inclusive concordaram com meu algoz na oportunidade.

É interessante observarmos hoje em dia uma tendência cada vez maior para incluir a inspeção em todas as camadas para firewalls mais novos. Inclusive firewalls tradicionais em camadas 3 e 4 estão cada vez mais evoluindo para uma análise mais aprofundada de pacotes...

Temos vários exemplos de "novas" tecnologias de firewall surgindo como, por exemplo: http://www.paloaltonetworks.com/technology/app-id.html.

Esta história me lembra o fim dos mainframes, afinal de contas o downsizing vai acabar com eles, certo?

Marcos Ranum, o "cara" que criou o TIS Firewall Toolkit e o Gauntlet, foi um ardoroso defensor do uso de firewalls de aplicação, onde você usa um proxy especializado para cada protocolo. As conexões são mais lentas porque o usuário abre uma conexão com o proxy e este por sua vez se conecta ao site destino. Não há conexões diretas neste caso. É dele uma frase que me marcou bastante mas infelizmente eu não lembro onde foi que eu li. Mas basicamente diz o seguinte:  
"Velocidade é o que todo o passageiro quer ao pegar um avião, ou seja, quanto mais rápido for o processo de inspeção, melhor. Já Segurança é o que o passageiro gostaria que os órgãos competentes tivessem providenciado durante a inspeção das bagagens, agora que ele está de frente a um terrorista com uma bomba ou arma dentro do avião..."

Acho que não preciso comentar mais nada...

Thursday, March 11, 2010

Métricas ISO 27002 - Domínio: Segurança em Recursos Humanos

Quanto aos controles propostos no domínio "Segurança em Recursos Humanos" da ISO 27002, segue uma sugestão de indicadores.

É importante reforçar que nem todos os controles propostos pela norma se aplicam a todo tipo de empresa. Tudo vai depender da área de atuação e do apetite ao risco da Alta Administração. Esta definição deve ser realizada no momento de implantação de um SGSI (Sistema de Gestão de Segurança da Informação).
Voltando aos indicadores, segue uma tabela com a sugestão para acompanhamento deste domínio da ISO 27002.




Norma ISO 27002 – Domínio 4 - “Segurança em Recursos Humanos”
Indicador
Propósito
Fonte
Frequência
Percentual (%) de termos de responsabilidade assinados por colaboradores, terceiros e fornecedores, em relação às contratações realizadas no ano.
Medir o total de termos de responsabilidade assinados por colaboradores, terceiros e fornecedores.
Processo de revisão dos termos de responsabilidade.
Mensal
Percentual (%) de colaboradores e terceiros que realizaram treinamento de Segurança da Informação. Ter conhecimento sobre o total de colaboradores e terceiros que realizaram treinamentos focados em Segurança da Informação. Processo de treinamento de colaboradores e terceiros sobre Segurança da Informação. Mensal

Wednesday, March 10, 2010

Segurança nas Nuvens - Parte 2

Continuando o assunto segurança em Cloud Computing, vamos analisar o primeiro risco apontado pelo relatório da ENISA: Perda de Governança (R.2 Loss of Governance).

Mais uma prova de que questões técnicas  não devem ser a única preocupação para profissionais da área de Segurança da Informação. Este risco está classificado como Organizacional e de Política, e as questões levantadas são extremamente pertinentes, afinal de contas a terceirização de serviços pode representar um risco de não atendimento a requisitos regulatórios (PCI, SOX, entre outros) e outros riscos de segurança. Até que ponto a empresa contratada segue os procedimentos corretos para garantir (ou pelo menos fazer o melhor possível, porque não existe 100% de segurança) os níveis adequados de proteção para os dados que ficam na nuvem?

Existem SLA's adequados? Existem cláusulas contratuais que garantam à empresa cliente a possibilidade de realização de auditorias regulares, ou mesmo a contratação de empresas terceiras especializadas na realização de testes de vulnerabilidades e invasão? A fornecedora de serviços de computação em nuvem segue as boas práticas de Gestão de Segurança da Informação? Até que ponto a questão de segurança está bem definida em contrato e não provocará surpresas em caso de um incidente de segurança? Surpresas do tipo: Este serviço ou proteção não fazem parte do escopo deste serviço gerenciado...

É fundamental, portanto, garantir em contrato o correto atendimento às questões de segurança, sob pena de não atendimento a requisitos regulatórios, perda de credibilidade e danos à imagem da empresa.