blog.dennyroger.com.br

Os ambientes computacionais das empresas ficam praticamente abandonados durante as festas de fim de ano. Como fazer para se proteger?

O final do ano está chegando e muitas empresas farão uma pausa para comemorar Natal e Ano novo. Particularmente este ano, por causa da crise financeira, as férias coletivas terão mais companhias adeptas. E ainda há um número considerável de funcionários que tiram seus dias de descanso durante o mês de janeiro, alto verão no Brasil. Todo esse cenário implica em menos gente trabalhando e, logo, menos pessoal da área de segurança de informação nas corporações. O resultado: as empresas ficam mais vulneráveis e os criminosos virtuais sabem bem disso.

De acordo com Denny Roger, especialista em segurança da EPSEC e membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação, os ambientes computacionais das empresas ficam praticamente abandonados durante as festas de fim de ano. Ou então são gerenciados por estagiários, que acabam responsáveis pela gestão dos principais sistemas de segurança da companhia.

“Isso ocorre constantemente porque o estagiário quer mostrar serviço e se oferece para trabalhar durante as festas. Os crackers sabem disso e se aproveitam do momento para realizar os ataques. Ou seja, quando o alarme de intrusão é acionado, não há ninguém especializado para verificar o que está acontecend”, afirma Roger.

O especialista lembra que a incidência de “falsos positivos”, como são chamadas algumas detecções preventivas do sistema de segurança sem que haja de fato um ataque, tornam a segurança ainda mais frágil. Quando uma invasão ocorre de fato, os profissionais demoram para contornar o problema, pois acham que é um novo falso positivo.

Ataques mais comuns

De acordo com Roger, as empresas investem 90% dos seus orçamentos em recursos de segurança para proteção de rede. No entanto, segundo o Gartner, 75% dos ataques ocorrem nas aplicações “Apenas 25% dos ataques são focados na camada de rede. Os crackers sabem que as empresas investem pouco em segurança na aplicação e procuram desenvolver técnicas conhecidas como Cross Site Scripting e SQL Injection, por exemplo”, diz o especialista.

O Cross Site Scripting é uma técnica de ataque que permite executar scripts maliciosos no navegador do usuário. Já o SQL Injection explora a inclusão de numa aplicação de banco de dados por exemplo. A técninca permite o acesso a área restritas e protegidas por firewalls, antivírus, anti-spam, IDS etc. Serviços famosos, como o Wordpress e o Yahoo! Já tiveram problemas com isso.

Como se proteger?

“Tudo que não pode ser monitorado precisa ser bloqueado. A falta de monitoração ajuda os crackers durante o planejamento de um ataque”, aconselha Roger. Segundo ele, alguns especialistas em rede desabilitam a opção de geração de logs das atividades permitidas para economizar espaço em disco. Com isso, o cracker realiza o planejamento de um ataque por meio de uma regra de permissão da empresa - por exemplo, via porta 80 - HTTP. Como a regra não gera logs, o ataque é bem sucedido, já que as vulnerabilidades não são corrigidas e o crime não deixa rastros.

O especialista explica que a configuração correta dos sistemas de segurança e uma análise de risco feita previamente podem ajudar a minimizar os problemas com invasões bem sucedidas durante as festas de fim de ano. “Usuários com permissões administrativas devem ser desabilitados, pois o responsável não estará na empresa para utilizá-lo durante as festas. Um teste de invasão deve ser realizado para mapear alguma brecha de segurança e um plano de continuidade de negócio deve ser desenvolvido e testado”, afirma Roger.

Equipe é fundamental

As empresas precisam organizar uma equipe de resposta a incidentes formada por diversas áreas da companhia, não apenas a de TI. Além da investigação técnica, a maioria dos casos de invasão precisa de apoio apoio da área jurídica, de recursos humanos e de auditoria interna.

Para Roger, a formação destas equipes ainda não é uma realidade nas companhias brasileiras, que desconhecem metodologias de resposta a incidentes. “Quando a empresa sofre uma invasão, o sistema é recuperado sem que haja uma investigação para identificar o autor do ataque. Dessa forma, a invasão volta a ocorrer diversas vezes porque o atacante sabe que a empresa simplesmente não faz nada para investigar a origem e preservar as evidencias”, conclui o especialista.

Fonte: http://info.abril.com.br/professiona...stas-e.shtml?4