[Segurança] Os astrólogos e falsos profetas de Segurança da Informação

O Carlos Cabral escreveu um ótimo em seu blog, com o título de "Os Astrólogos de Segurança da Informação", aonde ele descreve sete "crenças" que, mesmo infundadas ou incorretas, são frequentemente utilizadas no mercado por profissionais pouco qualificados ou "falsos profetas".

Estas crenças acabam alimentando um discurso generalizante dos "astrólogos", que assim conseguem atender o interesse dos mais variados tipos de pessoas e, ao mesmo tempo, traz a impressão de ser algo personalizado. Muitas vezes são utilizados modismos, que aumentam o grau de convencimento do "astrólogo" frente a suas vítimas - isto é, clientes. Como disse o Cabral, "Sem refletir, esses profissionais [os clientes] acabam mergulhando em um sistema de crenças e caso algo dê errado a salvação está em alegar que se seguiu as "melhores práticas do mercado'".

O Cabral descreve as seguintes crenças:

• A crença nas ferramentas: É talvez a busca pela "bala de prata", pela solução que vai nos salvar de todos os problemas de segurança. É fácil encontrar "histórias de organizações que dedicaram muito dinheiro na compra de soluções tecnológicas que, após sua instalação contribuíram pouco para a proteção das informações. Seja por problemas de interoperabilidade com sistemas legado, por falta de equipe treinada e/ou dedicada para administrar a ferramenta ou porque essa solução foi inserida em uma arquitetura mal desenhada, cheia de “puxadinhos” que são herança de ambientes do passado." Eu mesmo já vi empresas que, na incapacidade de resolver seus problemas de segurança através de ferramentas, elas... compram mais ferramentas !!! Mas não resolvem o real problema: organizar e conhecer o ambiente de TI, configurar corretamente as ferramentas existentes, corrigir processos, treinar o seu pessoal em conceitos básicos e em como usar as ferramentas que tem;

• A crença de que o legado vai sumir: As aplicações e ambientes legado são algo que sempre farão parte da realidade das empresas, seja por evolução natural do negócio ou da infra-estrutura de TI. O erro está em não documentar corretamente o ambiente aual nem o legado, e achar que o ambiente legado um dia vai sumir ou não apresenta nenhum risco. Já trabalhei em uma empresa que um dos legados era um link de conexão que ligava a antiga "matriz", que existia por causa da comunicação de "alguma coisa" (que ninguém sabia o que era) com o mainframe da antiga matriz. Ninguém sabia o que trafegava naquele link e, por isso, não existia controle nenhum. Até um dia que entrou um vírus por lá (um desses vírus que infectam o mundo todo em poucos minutos). O legado também é mestre em ganhar "Band-Aid's": é mais fácil colocar um WAF na frente do servidor do que buscar falhas de segurança e corrigir uma aplicação;
• A crença no discurso do terror: O mercado de segurança é baseado principalmente no discurso do medo. Esse é uma tática altamente convincente e muito fácil, principalmente porque diariamente surgem novas vulnerabilidades e recebemos constantemente notícias de empresas que foram atacadas - inclusive grandes empresas. As empresas deveriam comprar soluções baseadas em suas reais necessidades, identificadas por uma análise de risco. Em vez disso, buscam as soluções "da moda" para se proteger do "ataque do momento";
• A crença na doutrina do compliance: O mercado está repleto de normas e regulamentações que são enfiadas nas empresas "pela goela abaixo", e isso se aplica em especial ao mercado de segurança. Quantas empresas não devem ter investido por causa do PCI, Sox (Sarbanes-Oxley) e HIPAA sem sequer terem lido essas normas e, eventualmente, nem serem afetadas por elas? É muito fácil vomitar uma sopa de letrinhas na cara do profissional desesperado;
• A crença nas consultorias: O consultor é idealizado como a "fonte soberana e inesgotável de um conhecimento específico", e como destaca o Cabral, o problema é mais sério naquelas consultorias/auditorias globais gigantescas, que utilizam jovens profissionais recém-formados, obrigados a encarar jornadas de trabalho extenuantes, e são vendidos como consultores ultra-especializados; As empresas tem que tomar cuidado com os consultores que forneçam recomendações baseadas apenas em "templates", sem real experiência e sem conhecer de perto as necessidades da empresa. Já vi muitas empresas aonde o consultor mandava mais que que o pessoal interno, e certa vez eu vi uma empresa aonde o consultor queimou o gerente de TI e pegou o cargo dele;
• A crença no Hacker Ético: O Cabral não aborda esta crença desta forma, mas o mercado adora a imagem do "hacker ético", do cara que sabe proteger simplesmente porque sabe atacar. E esta crença gera algo muito pior: a crença no PenTest (sigla para "Penetration Test", ou testes de invasão). É muito fácil achar uma falha de segurança e mostrá-la, e isso impressiona qualquer um - ou melhor, impressiona qualquer um com conhecimento baixo ou mediano. Mas estas 2 crenças (do Hacker Ético e da salvação pelo PenTest) ignoram o fato de que o atacante precisa encontrar uma única porta aberta para invadir, enquanto o defensor tem que proteger todas as portas e janelas (a chaminé e o porão também!). Ou seja, o conhecimento e o trabalho necessário para defender são muito mais extensos e complexos do que o necessário para conseguir realizar um ataque;

• A crença nas certificações profissionais: Elas são um dos maiores benefícios e malefícios da área de TI. Embora as certificações profissionais permitam aos bons profissionais comprovar que tem bom conhecimento, elas também não identificam os maus profissionais, aqueles que tem pouca experiência, falhas éticas ou tinham apenas o conhecimento mínimo necessário para passar na prova. Como disse o Cabral, elas acabam sendo "um mecanismo de exclusão que divide os profissionais em castas". Assim, corremor o risco de vangloriar ou super valorizar um profissional apenas pelo seu certificado. E há profissionais que parecem o cachorro Mutley, que estão mais preocupados em ganhar "medalhas" (certificações) do que aprender algo ou gerar algum conhecimento.

Na minha opinião, faltou ao Cabral mencionar também a crença do ataque interno: este é um dos mantras da área de segurança: a maioria dos ataques são de origem externa, mas os ataques internos causam maior dano. Esse argumento é ótimo para vender ferramentas de segurança para vigiar a rede interna e os próprios funcionários.

Tais crenças servem como "muletas" para profissionais e gestores pouco capacitados: na falta de um real entendimento do nosso complexo e mutante mercado de segurança, fica mais fácil se apoiar em chavões, buzzwords, crenças e falsos experts do que buscar o conhecimento e, principalmente, o auto-conhecimento.