Principais vulnerabilidades corporativas

Pessoas. Esta é a primeira resposta que muitos institutos de pesquisas e especialistas de segurança têm utilizado quando questionados sobre a principal ameaça às transações corporativas.

Soluções tecnológicas sofisticadas, integradas a parceiros, clientes e fornecedores, a última palavra em ferramentas de gestão empresarial, relatórios detalhados etc. Nada disso tem valor se não há restrições, políticas e processos que estabeleçam e organizem a conduta do profissional dentro da corporação.

Na maior parte das vezes, já se verifica que os problemas relacionados à interferência humana não estão diretamente ligados a ações fraudulentas ou demais situações em que o funcionário tem o objetivo de prejudicar sua empresa. Pelo contrário. A grande maioria dos incidentes de segurança ocorre por falta de informação, falta de processos e orientação ao recurso humano.

Outro fator determinante nessa equação está vinculado à evolução rápida e contínua das tecnologias. O instituto Gartner, por exemplo, estima que um simples computador doméstico terá, em 2008, processadores de 40 GHz e 1.3 Tbytes de capacidade de armazenamento. Essa potência, ao mesmo tempo em que proporcionará inúmeros benefícios, também se encarregará de gerar novos riscos e interesses. Esse cenário, que estará presente em muitas residências, sinaliza o que virá no ambiente corporativo.

Mas as questões de segurança atreladas à gestão de pessoal são apenas parte dos desafios que as empresas precisam enfrentar na atualidade. Antes desses, e não menos críticas, estão as vulnerabilidades tecnológicas, renovadas a cada instante.

Especialistas em identificar e estudar essas brechas vêm se esforçando para alertar sobre aquelas que hoje são consideradas as principais ameaças às transações eletrônicas. O System Administration, Networking and Security (SANS) e o National Infrastructure Protection Center (NIPC/FBI) são bons exemplos dessa realidade. A seguir estão mencionadas algumas das falhas mais comumente identificadas, independentemente do porte ou da área de atuação da companhia, bem como da complexidade de sua infra-estrutura tecnológica e dos sistemas que utiliza.

Senhas fracas

Muitas vezes, as senhas de um funcionário podem ser facilmente descobertas, mesclando itens comuns como nome e sobrenome, data de aniversário, nome de esposa, filho etc. A administração desses acessos também se dá de forma desordenada, o usuário geralmente não tem educação para lidar com seu código de acesso. Atualmente, as empresas contam com o benefício de estabelecer uma autenticação forte, isto é, mesclar algo que o usuário sabe (memória), com algo que ele tem (token) e algo que ele é (biometria).

Algumas ferramentas possibilitam à corporação verificar o grau de segurança das senhas de seus funcionários. Utilizar um desses recursos para quebra de senhas pode ser um bom caminho para identificar contas com senhas fracas ou sem senha.

Sistemas de backups falhos

Muitas empresas afirmam realizar backups diários de suas transações, mas sequer fazem manutenção para verificar se o trabalho realmente está sendo feito. É preciso manter backups atualizados e métodos de recuperação dos dados previamente testados. Muitas vezes, uma atualização diária é pouco diante das necessidades da empresa, caso venha a sofrer algum dano. Também é recomendável tratar da proteção física desses sistemas, que por vezes ficam relegados à manutenção precária.

Já é comum, depois de setembro de 2001, sites de backup onde os dados são replicados e, em caso de uma catástrofe, os sistemas são utilizados para a continuidade dos negócios.

Portas abertas

Portas abertas são convites para invasões. Boas ferramentas de auditoria de servidores ou de scan podem auxiliar a empresa a identificar quais são suas brechas nos sistemas. Para não ser surpreendido, é recomendado fazer uma auditoria regular dessas portas. Independentemente da ferramenta utilizada para realizar essa operação, é preciso que ela varra todas as portas UDP e TCP do sistema, nas quais se encontram os alvos atacados por invasores. Além disso, essas ferramentas verificam outras falhas nos sistemas operacionais tais como serviços desnecessários e aplicações de patches de segurança requeridos.

Brechas de instalações de sistemas operacionais padrão (default) e aplicativos

Muitos fornecedores de software oferecem uma versão padrão e de fácil instalação para seus clientes. Eles acreditam que é melhor habilitar funções que não são necessárias, do que fazer com que o usuário tenha de instalar funções adicionais quando necessitar. Embora esse posicionamento seja conveniente para o usuário, ele acaba abrindo espaço para vulnerabilidades, já que não mantém, nem corrige componentes de software não usados.

Sobre os aplicativos, é comum que instalações default incluam scripts ou programas de exemplos, que muitas vezes são dispensáveis. Sabe-se que uma das vulnerabilidades mais sérias relacionadas a servidores web diz respeito aos scripts de exemplo, os quais são utilizados por invasores para invadir o sistema. As recomendações básicas são a reamoçãode softwares desnecessários, a desabilitação de serviços fora de uso e bloqueio de portas não usadas.

Falha em sistemas de logs

Caso a empresa venha a sofrer um ataque, será o sistema de registro de logs o responsável por dar as pistas básicas para identificar a ocorrência, saber como ocorreu e o que é preciso para resolvê-la. Logs são responsáveis por prover detalhes sobre o que está acontecendo na rede, quais sistemas estão sendo atacados e os que foram de fato invadidos. É recomendável realizar backup de logs.

Transação sem fio desprotegida

Os equipamentos móveis são tecnologias emergentes. No entanto, os padrões de comunicação utilizados atualmente requerem configuração minuciosa para apresentar um mínimo de segurança (mais detalhes no próximo módulo deste curso). Novos padrões, como o WPA (que substitui o WEP, já quebrado em 2001), prometem mais tranqüilidade à comunicação wireless. No entanto, é recomendável ter cautela na adoção desses recursos, conforme o grau de confidencialidade do que está sendo transmitido pelo canal sem fio.

Falha na atualização de camadas de segurança e sistemas operacionais

A falta de gerenciamento de cada ferramenta de segurança e a correção de software disponibilizado pelos fornecedores estão entre os fatores mais críticos na gestão corporativa. Para muitos, esse é um desafio constante, visto o volume de "patches" anunciado por diversos fornecedores, bem como a velocidade com que se atualizam os softwares de segurança. Já existem, inclusive, empresas especializadas em fornecer ferramentas que cumprem a função específica de automatizar a atualização de patches de segurança. Um Plano Diretor de Segurança deve contemplar e explicar, em detalhes, como esses processos devem ser realizados.

Fontes consultadas:

FBI

Gartner

SANS Institute

Bibliografia recomendada:

Segurança e Auditoria da Tecnologia da Informação - Cláudia Dias