A menos que esteja seguro quanto à confidencialidade, integridade e disponibilidade, é impossível determinar se uma intenção é boa ou má.
O objetivo de qualquer ferramenta, seja de detecção avançada de anomalias, aprendizagem automática ou análise comportamental, é verificar o tráfego de rede e alertar quando observar problemas. A chave, entretanto, está em reconhecer algo ruim originado de coisas boas. Esse conhecimento – intenções benignas versus motivações malignas – compõe o santo graal da segurança da informação.
Tem o CIA?
Começaremos pelo início. A menos que você esteja seguro quanto à confidencialidade, integridade e disponibilidade, é impossível determinar se uma intenção é boa ou má. Essa é trindade de ouro – conhecida também como CIA, do inglês confidentiality, integrity and availability – que conduz as decisões de segurança, visto que compreendem os três vetores protegidos pela cibersegurança.
Para explicar melhor, digamos que você seja um CEO. Falta uma hora para a reunião do conselho, e é preciso conseguir de uma maneira segura e confidencial os principais dados financeiros da sua empresa fora de um servidor, para que você possa informar os números trimestrais ao conselho sem medo de vazamentos. Quando você está certo sobre a confidencialidade do processo, geralmente age de uma forma; contudo, se existe a possibilidade de espionagem, é preciso atuar de modo diferente.
O mesmo vale para integridade. Você pode confiar em um arquivo vindo de fora do servidor? É preciso? Existe a possibilidade de alguém alterar os números?
E, finalmente, disponibilidade. É possível sempre conseguir os dados necessários? A conexão banda larga está adequada? Há servidores suficientes? Estão sempre funcionando? Apresentam falhas? É certeza que os sistemas estão recebendo os arquivos certos e direcionando às pessoas certas?
Se qualquer um dos elementos do CIA estiverem comprometidos, torna-se complicado reconhecer coisas boas de algo ruim. O que gera a pergunta: o sistema falhou porque fomos atacados? Ou um desses três vetores está irregular?
Por outro lado, se a tríade completa estiver funcionando de maneira correta, você tem uma base sólida de cibersegurança e pode começar a analisar as intenções.
O clássico conto do Bem contra o Mal
Vamos pensar sobre um exemplo fácil para estabelecer uma boa intenção de uma má. Você vai para seu escritório numa segunda-feira de manhã e recebe a notificação que precisa alterar a senha do seu login da rede. Porém, acaba engolido pela rotina exaustiva e esquece de fazer isso. Então passa terça-feira, quarta-feira e quinta-feira. Na sexta-feira à tarde, você recebe um aviso final para mudar sua palavra-passe até o fim do dia. Você está prestes a sair do escritório para o final de semana, mas arruma um intervalo rápido e muda sua senha.
Na segunda-feira seguinte, você chega em seu escritório e não se lembra de sua nova senha. Então, tenta três, quatro, cinco combinações diferentes, mas nenhuma funciona. O seu telefone começa a tocar. É o helpdesk, que percebeu suas dificuldades. Você explica que alterou seus dados de acesso na última sexta-feira, mas não consegue se lembrar dela. Por sorte, o departamento de suporte também vê seu cadastro no sistema e iniciam o processo para ajudá-lo a resetar seu código de entrada. Muito bem! De volta ao trabalho.
Excelente helpdesk. Até porquê, mesmo se você não estivesse na sua mesa quando ligaram, eles teriam adivinhado que alguém estava na sua mesa tentando invadir seu login, ou que identificado como um ataque remoto contra sua conta e, consequentemente, reportado o problema para o departamento de segurança. Isto é segurança perfeita.
Infelizmente, nem sempre é tão fácil. E uma das partes mais complicadas está nas particularidades de cada rede. O que pode ser bom para uma nem sempre é vale para outra. Cada uma conta com um limiar único de boas e más intenções.
O Bom, o Mal e o Desconhecido
Concebidas para criar uma régua de boas x más intenções, as ferramentas de detecção de anomalias e análise comportamental acessam a rede, rodam nela por alguns meses e então dizem: “Ok, aqui está o comportamento padrão e os tipos de aplicações que nós vemos. Agora você nos diz o que é legal e o que não é. Então, quando nos depararmos com algo que fuja desse padrão, alertaremos”.
O problema é que cada uma dessas ferramentas cedo ou tarde se depara com o “desconhecido”. Então, mesmo que essas soluções tenham analisado a rede, há sempre um grupo de arquivos que fica sem categorização. A razão disso é que, quando essas aplicações comportamentais apenas veem uma parcela parcial do tráfego ou das conversas, possivelmente ocorrem falhas em identificar o tipo de movimentação. E, para todas as intenções e propósitos, essa visão incompleta torna-os inúteis – assim como outros ativos de segurança.
Se uma ferramenta de proteção contra malware tenta definir se um executável é nocivo, ou um software contra perdas de arquivo precisa decidir se um documento deve ou não ser autorizado a deixar a rede, ambas precisam de um contexto (isto é, 100% de visibilidade do tráfego que está atravessando a rede) para tomar decisões sobre o que é bom e ou ruim.
Meu mantra é: Se não posso obter uma ferramenta que o tráfego necessita para operar com eficácia, então por que deveria comprá-la? É hora de procurar por uma nova solução.
Mas lembre-se: escolha com sabedoria.
Fonte: Computer World