Quais são os desafios da Segurança Ofensiva nas empresas?

Quando falamos em segurança nas empresas normalmente conseguimos a atenção de quem nos ouve. Todos concordam que segurança é algo muito importante, mas nem sempre isso reflete nas atitudes no dia-a-dia.

Existe uma afirmação icônica que já utilizamos a muito tempo para justificar a importância do setor de TI nas empresas:
 

"A cada dia que passa as empresas estão cada vez mais dependentes da tecnologia".


Essa retórica já foi defendida por inúmeros autores e não vamos utilizar ela, mas partimos do pressuposto que realmente, a tecnologia está invadindo cada vez mais todos os espaços das empresas e muitos sistemas são desenvolvido ou adquiridos.

Opa! Já chegamos em um ponto importante, muitos sistemas são desenvolvidos ou comprados pelas empresas. Mas vamos por partes para compreender um pouco sobre o cenário atual que estamos vivenciando.

Existem alguns pontos que contribuem e muito para o cenário de segurança ofensiva de modo geral, mas que impacta diretamente as empresas, devido à postura que se tem diante de muitas vulnerabilidades. Vamos elencar algumas situações que afetam diretamente a segurança das empresas e que podem ser exploradas por um atacante. Temos os seguintes pontos:

  • Lag de Tecnologia
  • Skill Gap da TI
  • Assimetria entre ataque e defesa
  • Monetização de Malwares
  • IoT
  • Cloud
  • Popularização de Ferramentas de Ataque


Cada um dos ítens desta lista podem render debates calorosos sobre o assunto e como eles impactam na segurança das empresas, por isso merece um post exclusivo para cada um desses assuntos!

Outro ponto relevante é o nível de atualização do parque tecnológico das empresas. O que percebemos é que hoje temos poucas empresas que estão rodando a última versão de cada software ou sistema. Por exemplo, O Windows Server 2019. Poucas empresas já possuem a licença de uso para essa versão do sistema operacional, que em tese, é mais seguro que os anteriores por ter suas falhas corrigidas.

Existe muitas empresas que não possuem a última versão de cada sistema ou software instalado, mas ainda utilizam um produto que possui suporte e atualizações de segurança. Como por exemplo o Windows Server 2016 ou 2012. Porém temos um número muito substancial de empresas que estão utilizando sistemas ou software descontinuado e obsoletos, sem suporte dado pelo fabricante! Como por exemplo o Windows Server 2003 ou 2008 (está em eol). Garanto que na empresa que você trabalha ainda existe um Windows XP, guerreiro, que não sai de produção. Esse cenário é gravíssimo.

Depois dessa pequena explanação, vamos falar dos desafios que temos quando tratamos de segurança ofensiva nas empresas. Vou elencar alguns, mas não todos, para que possamos refletir.

1 - Isso só acontece com os outros...

Falar de invasão em uma empresa, é como falar da queda de um meteoro. Parece que nunca irá acontecer. O sentimento que os stakeholders muitas das vezes possuem é que uma invasão é algo distante e que isso não irá acontecer na empresa. Quando falamos de filosofia de segurança temos que ter em mente que a segurança é um estado, ou seja, nós estamos seguros até que alguém explore uma vulnerabilidade e exponha nossos dados.

Temos que pensar que nunca estamos seguros e que nossos sistemas estão sempre vulneráveis, para que de forma contínua seja necessário o teste de invasão em cada um deles para evitar surpresas e perda de dados. Infelizmente não é assim que muitos stakeholders pensam.

 

2 - O importante é o sistema funcionar...

Outro ponto muito relevante é o desenvolvimento de sistemas. Normalmente o que o programador pensa: "O importante é funcionar...". Mas antes de jogar pedra nos desenvolvedores, vamos analisar o motivo pelo qual existe esse sentimento. Normalmente a equipe de desenvolvimento trabalha com prazos apertados de entregas e são cobrados por isso. Quando algo é realizado com muita pressa, pontos relevantes podem ser deixados para trás. Mas a culpa é de quem desenvolve? Creio que temos uma culpa compartilhada, sendo 20% do desenvolvedor e 80% dos stakeholders.

 

3 - Já compramos um bom firewall...

Uma coisa que temos que ter em mente é que a tecnologia não irá parar a ação de um (c)hacker. Muitos stakeholders pensam que somente comprando soluções de segurança estarão protegendo o ambiente da empresa. A tecnologia ajuda e muito, sem dúvida alguma, porém uma invasão pode fazer bypass em qualquer tecnologia e mesmo assim conseguir acesso ao ambiente. Somente um pentest contínuo do ambiente, pode auxiliar no combate à invasões e também na validação das ferramentas, pois não adianta ter a melhor ferramenta de mercado, se ela estiver mal configurada.


Nesses 3 pontos, temos algo em comum, os stakeholders. Mas quem são essas pessoas? De forma simplória, são os acionistas, diretores, CEO, ou qualquer cargo de gestão de conduz a empresa e "paga a conta". A segurança é top-in-down, ou seja, ela vem de cima para baixo. A postura de quem governa a empresa é essencial para que a segurança ofensiva faça parte do dia-a-dia, afinal, são eles que "pagam a conta".

O principal desafio é a conscientização sobre esse temática dentro das organizações, pois são os stakeholders que podem definir que um sistema só será entregue com segurança, mesmo que isso faça a entrega demorar muito mais tempo e são eles mesmos que patrocinam novas ferramentas e capacitações das equipes.

Então pessoal, esse é o grande desafio, conscientizar, como sempre, o fator humano sendo o ponto mais fraco da segurança da informação.

Mas aproveite para ver a nova forma de realizar pentest da DESEC, o DNGP.

Com ela você pode ter um pentest contínuo em sua organização, sendo realizado por profissionais altamente capacitados e garantir que seu ambiente estará mais seguro.

https://desecsecurity.com/dngp_desec

Por Mateus Buogo - Pentester Certificado DCPT, Analista de Segurança, Professor de Ensino Superior, Palestrante da Defcon  DC5551 e TcheLinux

+55 11 3075 2780 contato@desecsecurity.com
Horário de Atendimento: 09:00 às 18 hrs

Av. Presidente Juscelino Kubitschek, 1455
4º Andar - Vila Olimpia - São Paulo - SP
CEP: 04.543-011 - Tel.: (11)2124-3725

Av. José Versolato, 101 - 12º andar
Centro - São Bernardo do Campo – SP
CEP: 09750-730 - Tel.: (11)2149-7222


Desec Security
Desec Security - Todos os Direitos Reservados