Ambiente de DR: sua empresa está realmente preparada?

Como a maioria dos profissionais de TI sabem, ambiente de contingência ou ambiente de DR (Disaster Recovery) é a infraestrutura que entrará em uso caso um problema grave ocorra por causa de incêndios, enchentes, quedas de energia, erro humano ou caso um malware/ransonware prejudique os servidores ou um datacenter. O ambiente de DR  permitirá que a empresa se mantenha em funcionamento enquanto o problema no ambiente produtivo está sendo solucionado.

Entendido o que é um ambiente de DR, precisamos ter em mente que não é consenso entre muitos gestores se devemos usar ou não usar um ambiente de DR, já que na maior parte do tempo ele não será usado. Mas esta não é a pergunta correta a ser feita. Eles deveriam estar se perguntando “qual será o prejuízo que a minha empresa terá se tivermos uma parada inesperada em algum sistema crítico para o negócio?

A palavra prejuízo neste texto nos leva a refletir sobre diversos aspectos. Dentre eles podemos citar danos à imagem, impacto na reputação do ambiente, perda de clientes, penalidades para o fechamento de contratos, riscos de ciberataques, ausência de treinamento para uma recuperação rápida e muitos outros pesadelos que tiram o sono de qualquer diretor financeiro.

De acordo com a empresa BackBox, especializada em backup e recuperações, 50% de todos os negócios já tiveram algum desastre ruim o bastante para interromper alguma aplicação, sendo 18,5 horas a média para o tempo de inatividade de uma aplicação (downtime). A mesma empresa afirma que pequenos negócios podem enfrentar perdas de US$ 8.000,00 por hora, enquanto empresas médias sofrem perdas entre US$74,000 a US$90,000 por hora. Já empresas de grande porte podem ter perdas que variam de US$700,000 a até US$800,000 por hora que a aplicação crítica ficou sem funcionar.

O estudo da BackBox aponta que cerca de 81% das paralizações duram pelo menos um dia e apenas 35% das pequenas empresas possuem planos de recuperação contra desastres. É impressionante observar que 75% das empresas pesquisadas informaram que seus planos contra paradas inesperadas (desastres) são inadequados. Comecei a me questionar quais passos estariam sendo desenhados de maneira errada?

Insatisfeito com os números, decidi examinar o que revelava o relatório “The State Of Disaster Recovery Preparedness 2017”, feito com a participação da Forrester Research e  o Disaster Recovery Journal. O relatório mostra diversos estudos, envolvendo estratégias para Continuidade de Negócio (BC-Business Continuity) e Recuperação de Desastres (DR-Disaster Recovery). O relatório entrevistou 73 tomadores de decisão, mostrando que:

Note que 45% (34%+11%) dos entrevistados não estão contentes com suas estratégias e sentem-se inseguros. Se realmente uma falha em seus sistemas críticos ocorrer estará em risco não só o impacto nos negócios, mas a reputação e a carreira de todos os responsáveis.

A mesma pesquisa revela que diversos motivos foram revelados para a criação de um ambiente para DR dentre eles podemos citar: competitividade e necessidade de permanecer online, motivos legais, custos das próprias empresas paradas, elevação de riscos naturais ou riscos causados pelo homem, elevação da disponibilidade de uma aplicação crítica, responsabilidade legal, ambiente de DR identificado como prioridade máxima pela diretoria.

Independente do motivo, desenvolver uma estratégia para a contratação de um ambiente de contingência é inevitável para qualquer empresa. Mas se a justificativa for custos, basta olharmos os valores que serão gastos com os prejuízos de uma parada inesperada em um ambiente crítico. Claramente estes custos são superiores do que os custos da grande maioria dos ambientes de contingência. É esta conta que os responsáveis pelo negócio de uma instituição devem fazer, sendo o papel dos gerentes de infraestrutura primordial para que esta visão seja considerada pela diretoria.

Ok, vamos assumir que a contratação do ambiente de DR é prioritária e foi aprovada pela diretoria, é importante destacar que frequentemente um ambiente de Backup é confundido com um ambiente de DR e isto pode trazer sérias complicações.

Pode-se dizer que Backup é a cópia de dados em um disco, fita ou em um ambiente de Cloud e o retorno desta informação em caso de necessidade pode ser muito longo e o tempo cíclico para elaborar a atualização dos dados tende a ser muito longo. Outro ponto importante é o baixo uso de automação, além de grande carga de horas da equipe de TI para guiar a recuperação do ambiente produtivo. Resumindo: muito suor e elevada possibilidade para grandes perdas financeiras.

Se imaginarmos os conceitos ligados a um ambiente de DR, veremos que o tempo entre replicações ou atualização das informações é chamado de RPO (Recovery Point Objective) e que o tempo para recuperar as informações e ativar o ambiente ou recuperar a aplicação prejudicada é chamado de RTO (Recovery Time Objective). Nem sempre isto é compreendido pelas empresas e o resultado é um projeto incompleto ou confuso. Importante destacar que:

 

“Não existem melhores práticas para serem usadas, tudo vai depender do negócio de cada empresa.”

 

Em um ambiente envolvendo o conceito de Disaster Recovery (DR) veremos que é indispensável a presença de mecanismos para a automação, estejam eles ligados a replicação de informações ou estejam eles ligados a orquestração para que as máquinas e bancos de dados sejam ligados na ordem correta.  Resumindo: temos aqui baixíssimo suor usando ferramentas para obter mínimas perdas financeiras.

Com isto em mente, muitas empresas acreditam que é suficiente, mas isto é um grande engano. É necessário ter uma equipe bem treinada, sendo apoiada por um bom run book. Um run book é um documento com a sequência de procedimentos e rotinas que devem ser seguidas por cada equipe envolvida no ambiente de DR.

Para finalizar, vamos imaginar um ambiente produtivo virtualizado que necessita ser protegido com a presença de uma estrutura de DR operando em um Data Center remoto. Quais as atividades recomendadas para a construção deste ambiente?

  • Primeiro deve-se mapear todas as aplicações realmente críticas para o negócio, juntamente com o impacto caso estas aplicações parem inesperadamente o seu funcionamento;
  • Depois é importante analisar se as aplicações identificadas estão devidamente configuradas, sem a configuração excessiva de disco, processamento ou memória RAM;
  • Com a validação do size correto das aplicações, é necessário analisar o impacto financeiro. Quanto tempo o negócio aceita ficar com suas principais aplicações sem atividade? O resultado desta análise é a definição do RPO e RTO;
  • Definidos o RTO e RPO, basta criar o run book;
  • O quinto ponto é o mais importante, estando ele centrado em pessoas. Sendo necessário:

I. Nomear uma equipe multidisciplinar para a elaboração das atividades quando for decretado o uso do ambiente de DR. Importante considerar não só membros da equipe técnica, mas também membros da diretoria ou da equipe jurídica. Deve-se nomear uma pessoa que será a representação da empresa para elaborar comunicados aos jornalistas e a mídia eletrônica, reduzindo as perdas na imagem da instituição;

II. Capacitar e treinar a equipe para elaborar simulações validando as atividades contidas com testes de DR. O resultado dos testes deve gerar um relatório com todos os pontos de melhoria;

III. Com os resultados das simulações, a equipe deve elaborar testes de DR duas vezes no ano. O resultado dos testes deve gerar um relatório apontando as evidências de cada atividade feita proporcionando auxílio ao processo de auditoria ou aos investidores da empresa;

Tenha em mente que as atividades “a” e “b” possuem o objetivo de reduzir custos do ambiente de DR. Este ambiente deve impactar minimamente a equipe envolvida, sem abrir mão de transparência, simplicidade operacional e deve-se ter suporte de uma equipe externa devidamente capacitada sempre que necessário.

 

Denis Souza

 

Links Recomendados:

 

Do you WannaCry? Veja por que este ransomware é só a ponta do Iceberg

O tema ransomware não é nada novo, mas o que realmente significa? Podemos dizer que ransomware é um código malicioso usado por criminosos digitais para sequestrar dados e orquestrar ataques com o objetivo de desvio financeiro ou extorsão (cyber extorsão). O motivo para o ataque de ransomware é sempre monetário, onde a vítima é informada que o ataque está ocorrendo e é detalhadamente instruída de como o pagamento deve ser feito para obter sua as informações novamente. Importante deixar claro que não existe nenhuma garantia de que esta devolução vai realmente ser feita. Geralmente é usada moeda virtual (bitcoin) para proteger a identidade dos criminosos e dificultar o rastreamento do dinheiro pago.

 

O modelo padrão de funcionamento do ransomware baseia-se em mudar a senha do logon da vítima e criptografar o disco do computador infectado. Após esta atividade o computador é reiniciado com o objetivo de mostrar a mensagem indicando as instruções para pagamento. Segundo a Carbon Black, um importante fornecedor de hardwares e softwares de segurança, o ano de 2016 demonstrou um crescimento de 50% nos ataques de ransomware a industrias quando comparado ao ano de 2015. Empresas de manufaturas demonstraram um crescimento de 21,8% e empresas de energia e utilitários apresentaram um aumento de 16,4%. Este crescimento foi baseado em diversos fatores, dentre eles temos:

  • Grande quantidade de frameworks ou kits para desenvolvimento de variações de ransomware existentes ou para a criação de novas famílias de ransomware encontrados facilmente na Deep/Dark Web;
  • Uso a preços irrisórios de programas focados em Ransomware as a Service (RaaS) objetivando a elaboração de um ataque com pouquíssimo esforço;
  • Empresas continuam sem política para atualização de sistemas operacionais, deixando que funcionem com falhas muito antigas em seus ambientes;
  • Ausência de proteções adequadas para o correio eletrônico. Grande parte dos ataquem entram no ambiente corporativo pelo correio eletrônico iludindo o destinatário a abrir arquivos anexados ou a instalar aplicativos em seus computadores;
  • Não elaboração de treinamento dos usuários destacando as armadilhas dos criminosos cibernéticos ou mesmo a inexistência de política de segurança nos ambientes corporativos.

 

Infelizmente a tendência de 2016 foi mantida não só para ransomware, mas também para as ameaças disfarçadas, também conhecida como trojans. Segundo o relatório Desenvolvimento de ameaças de computador, elaborado pelo Kaspersky Lab, uns dos mais respeitados centros de estudos de ameaças digitais, foram identificadas 11 novas famílias de trojans e 55.679 novas modificações foram identificadas só no primeiro trimestre de 2017. Os maiores vetores de ataques são os navegadores Web, em segundo lugar o sistema operacional Android, em terceiro lugar estão os ataques focados em documentos do Microsoft Office. Os próximos vetores de ataques são as aplicações feitas com a linguagem de programação Java, aplicações envolvendo Adobe Flash e documentos em PDF.

 

Realmente o ano de 2017 foi a concretização de uma tendência de crescimento que começou em 2014. Época quando o número de dispositivos móveis começou a crescer assustadoramente em comparação com os anos anteriores e hoje não temos só a possibilidade de contaminar dispositivos móveis, mas também de atacar dispositivos ligados ao conceito de IoT. Segundo um estudo da GSMA Intelligence, o braço de pesquisa da GSMA, em 2020 teremos quase três quartos da população mundial conectada. Imagine o que aconteceria se estes dispositivos forem dominados por atacantes digitais.

 

E a cada ano as surpresas são mais devastadoras, estejam elas focadas em ransomware ou não. No final de 2016 vivenciamos o maior ataque digital deixando diversas empresa sem acesso internet atingindo 665Gbps de tráfego e mais de 130 milhões de pacotes por segundo para contaminar ambientes em mais de 164 países. Este ataque foi associado ao malware Mirai que envolveu mais de 500.000 dispositivos sob domínios dos atacantes digitais. O Brasil foi o segundo pais com maior concentração de computadores contaminados com o Mirai nesta época. A falha foi na ausência de procedimentos adequados que deveriam guiar a mudança da senha padrão dos usuários administrativos. Algo básico que deveria ser orientado de maneira automática pelos fabricantes de hardwares.

 

Muitas vezes para olhar o presente e validar o futuro devemos olhar para o passado. Em 2003, o mundo sofreu com o malware SQL Slammer, criado para explorar uma vulnerabilidade em ambientes Microsoft SQL Server 2000 desatualizados. No final de 2016 este ataque retornou a ocorrer com origem fundamentada nos países China, Vietnã, México e Ucrânia.

 

Com tudo isto em mente, como foi o ataque digital guiado pelo WannaCry criou cerca de 200.000 infecções em mais de 150 países e como ele continua a se espalhar? Primeiro precisamos observar que os computadores afetados exibiam mensagens com pedidos de resgate entre US$ 300 e US$ 600. O segundo elemento importante é que pesquisadores estimam a criação do WannaCry baseada na divulgação de uma vulnerabilidade (EternalBlue) pelo grupo de atacantes digitais Shadow Brokers. A vulnerabilidade possibilita a execução remota de código e foi corrida pela Microsoft em 14 de março de 2017 (MS17-010). Nesta época, a própria Microsoft considerou-a como crítica, afetando sistemas operacionais como Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1/8.1 TR, Windows Server 2012/2012 R2, Windows 10 e Windows Server 2016.

 

Sem dúvida que é um cenário mais do que crítico. Se olharmos com cuidado, veremos que existe algo em comum entre o os malwares SQL Slammer e o Mirai com o ransomware WannaCry. Vejo que além do componente humano, que por padrão adiciona centenas de falhas, existe a ausência de procedimentos para a análise e correção de vulnerabilidades. Observe que temos 14 anos desde a criação do SQL Slammer e o problema continua o mesmo, sendo tratado da mesma maneira por grande parte das empresas em diversos países ao redor do mundo. Esta é a verdadeira explicação de termos hoje algo tão devastador.

 

Por esta razão diversas empresas posicionadas na Espanha, Taiwan, Rússia, Portugal, Ucrânia, Turquia e Reino Unido foram afetadas pelo WannaCry. Segundo a própria Telefônica, 85% dos seus computadores em Madri foram contaminados, fazendo com que seus funcionários retornassem para casa a pedido da própria empresa. Imagine o prejuízo financeiro! Segundo o jornal valor Econômico, mais de 220 companhias com mais de 1,1mil computadores comprometidos foram alvo do WannaCry no Brasil.

 

Em 2014 escrevi um artigo descrevendo algumas ameaças presentes em SmartPhones e o mais incrível é que o discurso para a proteção pode ser aplicado ao cenário que temos hoje, mesmo sendo ele algo muito pior do que o existente em 2014. Segundo a Nokia Threat Intelligence Report, o mercado de malware para mobile banking está tão aquecido que cresceu 400% em 2016. Junte isto com a pesquisa da FGV mostrando que o Brasil já tem um smartphone para cada habitante (208 milhões de smartphones) e teremos um oceano de possibilidades para os terroristas digitais.

 

Se você está ainda não está preocupado com o WannaCry, deveria. E também deveria estar preocupado com o malware Adylkuzz, pois as previsões apontam para algo muito pior do que o WannaCry. Apesar de explorar as mesmas vulnerabilidades, o comportamento é diferente, não havendo bloqueio do acesso ao computador, usando o ambiente infectado como parte da sua botnet. Botnets podem conter centenas de milhares de computadores controlados remotamente com computadores prontos para responder a pedidos dos atacantes digitais.

 

Os desafios não são os mesmos, são bem maiores, mas os erros sim, são exatamente os mesmos cometidos no passado. Os erros cometidos pelas empresas de hoje são os mesmos cometidos a 14 anos atrás. Continuamos fornecendo artefatos, criando possibilidades gigantes para os atacantes digitais. Se você sente que vive em um momento de calmaria, possivelmente você se encontra no olho do furacão.  Vejo mais do que uma tempestade se aproximando, vejo um verdadeiro furação!

 

Denis Souza

 

Links indicados:

Ransomware móvel triplicou no primeiro trimestre de 2017

Ransomware e phishing estão no topo das ameaças corporativas

51% das empresas brasileiras foram vítimas de ataques ransomware no ano passado

O Adylkuzz é mais perigoso do que o WannaCry

Relatório sobre desenvolvimento de ameaças de computador

Grupo de atacantes ShadowBrokers

Prejuizo financeiro para as empresas com o WannaCry

Mais de 220 companhias são alvo de vírus no país

 

 

OpenShift e o Desafio dos Containers

Apresentando o Container

O primeiro ponto que precisamos entender é o tema Container. Podemos dizer que um Container é um isolamento de aplicações dentro de um sistema operacional, onde é possível individualizar diversas aplicações em uma mesma infraestrutura física compartilhando acesso internet, disco, processamento e memória. Ao usarmos Container conseguimos prover limites de isolamento para cada aplicação, ampliando não só a segurança do ambiente, mas também o desempenho das aplicações. Entretanto, você pode questionar: Denis, mas isto é o conceito de virtualização como eu já conheço! A resposta é um grande e sonoro “não”. Vamos aprofundar o tema para deixar mais claro, pois existem diferenças muito importantes para o nosso estudo.

Primeiro precisamos entender os motivos que estão fazendo com que o uso de Containers seja cada vez mais popular. Tenha em mente que quando fazemos uso da virtualização tradicional usamos um software chamado virtualizador (hypervisor), que é responsável pelo compartilhamento do hardware físico (memória, disco, processador, placa de rede, porta USB, etc) entre diversos sistemas operacionais (Guest OS/Máquina Virtual). Cada sistema operacional pode ser distinto (Windows, Linux, FreeBSD, etc), necessitando apenas manter a compatibilidade com a plataforma física selecionada que suporta este ambiente computacional.

Para compreender mais profundamente, considere o uso de uma máquina virtual, onde colocamos diversas aplicações. Imagine o que pode acontecer se uma aplicação for invadida, por exemplo? Neste cenário, todo o ambiente pode ser comprometido ou ainda o que aconteceria se uma aplicação apresentar um problema de desenvolvimento e consumir grande parte da memória deste servidor? Possivelmente teremos todas as outras aplicações prejudicadas.

Pensando ainda na maneira tradicional, como solucionaríamos este problema? Basta criar um ambiente com servidores redundantes contendo o mesmo virtualizador e configurar nele várias máquinas virtuais (VMs) separando as aplicações. Claro que o impacto negativo deste modelo é guiado principalmente pelo custo, principalmente se desenvolvermos um projeto onde o uso de sistemas operacionais exige licenciamento. Para materializar o que foi dito até o momento, observe o gráfico seguinte:

tabela

 

Note como é diferente o desenho de aplicações inseridas em VMs e aplicações projetadas para ambientes com Containers.  Se continuarmos a olhar para o tema “custo”, perceberemos que licenciamos apenas um sistema operacional e configuramos diversas aplicações individualizadas em quantos Containers forem necessários ou suportados pelo hardware usado. Vamos ampliar os horizontes este conceito para o ambiente de Cloud Pública ou Cloud Privada. Ao fazermos isto, perceberemos que é cada vez mais natural o uso de duas tecnologias importantes: Docker (https://www.docker.com/) e Kubernetes (http://kubernetes.io/).  Vamos estudá-los um pouco e identificar quais benefícios podemos encontrar neles.

 

Entendendo Docker, Kubernetes e OpenShift

Ponto 1: Docker é uma plataforma onde um Container é tratado como uma “imagem” contendo todos os elementos para o funcionamento de uma aplicação. Assim a ideia de compartilhar e colaborar muito usada por uma equipe de desenvolvedores é facilmente mantida.

Ponto 2: Docker consegue controlar atualizações, mapear as mudanças ou controlar de maneira automática todo o ciclo de vida de uma aplicação contida em uma imagem. Neste cenário não existe a preocupação em depositar uma aplicação em um ambiente de homologação e sofrer com problemas de funcionamento ao migrar para o ambiente de produção. O segredo é que tudo que é necessário para a aplicação funcionar está dentro do Container.

Ponto 3: E o que podemos falar a respeito do Kubernetes? É importante termos em mente que é inviável controlar manualmente o ciclo de vida de uma quantidade elevada de Containers devido a diversos fatores, dentre eles podemos citar a ordem com que eles são iniciados, por exemplo. É neste tema que entra o Kubernetes. O Google faz uso dele há mais de 15 anos para controlar as cargas de trabalhos (workloads) existentes em seus Data Centers. Desta forma podemos encontrar nele elementos como:

  • Controle da saúde de cada aplicação durante o processo de deploy, facilitando a identificação de problemas, possibilitando a reinicialização do Container que falhar, substituindo ou até reagendando um Container quando uma máquina virtual falhar;
  • Presença de Load Balance (Balanceador de Carga) para controlar o fluxo de acesso a aplicação duplicada;
  • Crescimento ou demolição automática da quantidade de réplicas de uma aplicação. Isto é feito com o controle da quantidade de Containers seguindo as regras previamente estabelecidas ou interagindo diretamente via linha de comando.
  • Crescimento horizontal da aplicação usando Containers;
  • Execução de tarefas usando arquivos em lotes para otimizar e automatizar atividades de maneira sequencial que normalmente seriam feitas por técnicos ou programadores (Batch).

Imagine se uníssemos em uma única plataforma todas as funcionalidades e benefícios do Docker com o Kubernetes. Claro que seria algo fantástico, mas será que realmente é possível? Tenho uma ótima notícia para você, esta pergunta já foi respondida com um grande “sim” pela Red Hat com a criação do OpenShift em 2013. O OpenShift posiciona-se como um PaaS (Plataforma como Serviço/Platform as a Service) permitindo simplificar o desenvolvimento, acrescentando ganho de escala nas aplicações em diversos tipos de ambientes e deixando mais simples o armazenamento de aplicações.

Para o UOLDIVEO introduzir o OpenShift em nossas atividades foi um caminho natural trilhado pela parceria de longa data com a Red Hat. Nossa experiência nos possibilita entender a necessidade de dinamismo em um mundo que segue com força para a transformação digital e nos capacita a desenvolver diversos modelos de projetos envolvendo OpenShift.

Esta parceria proporciona ganhos para os nossos clientes, pois permite um acesso direto ao suporte especializado e diferenciado, juntamente com treinamentos e certificações para nossa equipe, garantindo acesso às novidades e lançamentos da Red Hat com bastante antecedência.

 

Denis Souza

 

Links indicados:

 

Ataques DDoS atingem novo patamar, qual será o futuro?

Sempre me questionei a respeito do que aconteceria se um ataque digital fosse feito usando centenas de milhares de dispositivos móveis ao redor do mundo, e me deparei no passado perdendo o sono diversas vezes com algo desta magnitude. Infelizmente hoje podemos dizer que algo similar aconteceu recentemente no mês de setembro e outubro deste ano. Neste cenário, é fácil dizer que não foi surpresa o ataque ter acontecido, mas foi realmente uma surpresa a forma como foi feito.

Preocupado com este cenário, venho acompanhando o crescimento do número de dispositivos conectados à internet, sejam eles celulares, tablets, câmeras, roteadores wireless ou diversos outros tipos de equipamentos, há mais de 3 anos e facilmente ver-se que existe um crescimento surpreendentemente a cada ano. Segundo o Juniper Research, uma empresa especializada na elaboração de pesquisas, em 2020 teremos mais 38,5 bilhões de dispositivos conectados em todo o mundo. Considerando que todos nós certamente pensamos em segurança em um dispositivo antes de conectá-lo a internet, imagine o tamanho do estrago que teremos quando 38,5 bilhões de dispositivos estiverem enviando e recebendo informações em diversos cantos do mundo? Só no Brasil, segundo um estudo realizado pela Fundação Getúlio Vargas, existem mais usuários de smatphones do que de notebooks e tablets, adivinhe o novo resultado desta pesquisa quando tivermos mais opções a um preço menor para compra.

Olhando de forma ampla, podemos dizer que as opções para este post são muitas. Poderia eu aqui falar do crescimento espantoso de malwares bancários para dispositivos móveis, já que um recente levantamento da Kaspersky Lab, uma importante referência para pesquisas envolvendo o tema segurança, detectou mais de 77.000 trojans bancários, sendo 98% projetados para o sistema operacional Android, mas não vou! Poderia também discutir neste post a ameaça que expos mais de 100 milhões de usuários do WhatsApp, mas também não vou abordar isto hoje! Então, pelo amor de Deus, que tema você vai falar Denis?

Vamos detalhar o ataque digital que ocorreu em 21 de outubro nos servidores da Dynamic Network Services, conhecida como Web Dyn. Primeiramente é importante saber que a Dyn conduz o acesso a sites como Twitter, Netflix, Spotify ou CNN através dos seus servidores de DNS (Domain Name System) e ao receber este ataque, mais de 1,2 mil sites ficaram inacessíveis. Entenda que quando navegamos pela internet, precisamos dos servidores de DNS para apontar onde estão os sites desejados e sem eles nenhum ambiente Web pode ser alcançado.

As análises iniciais da própria Dyn apontam que o ataque superou 50 vezes a volumetria de seu acesso normal, recebendo uma volumetria maior que 1.2Tbps com origem em localidades como Ásia, América do Sul, Europa e US. Observe que a complexidade deste ataque poderia prejudicar qualquer site isoladamente, seja em grande ou pequena escala de impacto, mas acredito que neste caso certamente foi feito um estudo detalhado envolvendo a relação fragilidades vs impacto. Não tenho dúvida que a Dyn tinha diversas proteções, poderia ter sido bem pior se não tivesse, mas nada poderia preparar para o que aconteceu. O objetivo final de quem fez o ataque era afetar o máximo de empresas possível e isto segue o padrão do novo atacante digital, que é capaz de elaborar atividades focadas sempre em maior poder de devastação.

Entretanto, como podemos classificar ou identificar este ataque? Primeiro ponto, o alvo foi a infraestrutura da Dyn, impedindo que seu principal negócio fosse acessado. O volume de requisições recebido foi muito superior ao planejado. O segundo ponto que devemos analisar baseia-se em no fato de que o acesso à internet e a consulta a dispositivos como firewalls, roteadores e switchs recebeu tantas conexões que saturou, prejudicando seu funcionamento. Provavelmente foi até o momento o ataque mais complexo e sofisticado deste tipo já feito. Com isto podemos concluir que é o comportamento devastador de um ataque chamado Distributed Denial of Service/Ataque de Negação de Serviço (DDoS).

O primeiro ponto importante do ataque a Dyn é que o atacante estava se preparando há algum tempo, fazendo uso de maneira inteligente e coordenada do código público pertencente ao malware mirai, que afeta ambientes com o sistema operacional Linux e transforma-os em ambientes controlados remotamente.  Em linhas gerais podemos dizer que o atacante digital se aproveitou do conceito que guia a Internet of things/Internet das Coisas (IoT) e infectou diversos dispositivos ligados a internet, principalmente câmeras e dispositivos caseiros de armazenamento usando seus acessos conhecidos. Um ambiente infectado pelo Mirai vasculha continuamente a internet procurando por dispositivos não contaminados usando uma tabela com nomes comuns de usuários e senhas padronizados por fabricantes.

Note que nenhum ataque complexo buscando por falhas em programas foi feito e para remover o controle do Mirai basta remover o cabo de rede, reiniciar o dispositivo e mudar a senha do usuário administrador no dispositivo. Veja que as bases para um ataque desta magnitude estão na fragilidade humana, que novamente não seguiu regras simples baseadas na modificação de um usuário e senha.

Quem estuda segurança da informação identifica estes traços na técnica chamada de engenharia social. Tal técnica está presente na séria de ficção Mr. Robot, que em pouco tempo se tornou a primeira produção original do USA a ser indicada na categoria Melhor Série Dramática concorrendo a um Emmy, um dos maiores prêmios da TV. Mr Robot é uma série criada por Sam Esmail, Steve Golin (True Detective) e Chad Hamilton, sendo produzida pela Universal Cable Productions e encontra-se na segunda temporada, sendo exibida aqui no Brasil pelo canal Space.  A história acompanha a vida de Elliot (Rami Malek, de The Pacific), um jovem programador que sofre de uma desordem que o torna antissocial. As atividades de Elliot chamam a atenção de Mr. Robot (Christian Slater, de Mind Games), um misterioso anarquista que o convida a fazer parte de uma organização que atua na ilegalidade com o objetivo de derrubar as corporações americanas.

Retornando ao tema do nosso post, quero concluir dizendo que infelizmente tenho visto minhas previsões se concretizarem e a tendência é que encontremos pesadelos mais frequentes nas mesas de CSO, Gerentes de TI e diversos membros do board de corporações. Segurança é algo que não podemos descartar, precisamos ter sempre em mente que ataques como o sofrido pela Dyn estão e estarão cada dia mais presentes, necessitando do apoio de empresas de Data Centers, provedores de acesso internet e diversos especialistas que saibam quais são os caminhos para proteger contra quaisquer ataques digitais.

 

Denis Souza

 

Links indicados:

Kaspersky Lab detecta mais de 77 mil trojans bancários em dispositivos móveis

27ª Pesquisa Anual do Uso de TI, 2016 – Estudo da Fundação Getúlio Vargas

Quantidade de objetos conectados no mundo alcançará 38,5 bilhões em 2020

Dyn Analysis Summary Of Friday October 21 Attack

 

Indisponibilidade de aplicações: Qual é o prejuízo para a sua empresa?

Passei alguns anos da minha carreira construindo projetos em ambiente de Data Center requisitados por diversas empresas de setores industriais distintos e muitas vezes percebi que o tema indisponibilidade e seus efeitos para o negócio como um todo não eram abordados com o aprofundamento necessário ou eram esquecidos ao se “espremer” por redução de custos. Lembro que em muitas reuniões tive que revelar este tema e perceber que era tratado com certa surpresa.

Se observarmos o relatório publicado pela Veeam (2016 Veeam Availability Report) feito com 1.140 tomadores de decisão de TI de 24 países, veremos claramente que as necessidades da corporação estão bem distantes de serem atendidas, e que as empresas de uma forma mais macro, precisam fazer da disponibilidade uma prioridade estratégica ou estarão arriscando a perda de até 16 milhões de dólares por ano em receita. Para ficar mais claro, vamos comparar os dados de 2014 com as informações obtidas em 2016:

  • O tempo de inatividade anual não planejado foi elevado:
    • 1,4 a 1,9 hora para aplicações essenciais.
    • 4 a 5,8 horas para aplicações não essenciais.
    • O número médio de eventos aumentou (de 13 para 15 eventos).
  • O custo médio anual do tempo de inatividade para uma organização pode chegar até US$ 16 milhões (US$ 6 milhões a mais que 2014).

É sempre importante destacar que o preço de uma indisponibilidade para um ambiente de produção pode ser mais impactante do que se pode imaginar. Observe a figura seguinte:

 

blog56546

 

Veja que mais da metade dos entrevistados (68%) revela que a confiança na organização pode ser afetada e 62% afirma que a confiança na marca pode sofrer danos. Os dados revelam que foram notadas quedas nos preços das ações, juntamente com a presença de processos judiciais. São dados que precisam e devem ser levados em consideração.

Imaginemos este acontecimento em empresas que operam com bolsa de valores ou com compras pela internet. É inaceitável imaginar que os consumidores de hoje aceitariam esperar 1 minuto para um site retornar ao funcionamento com o objetivo de concluir a sua compra. Questionar suas instituições se estão à altura deste desafio é uma tarefa que todos os líderes de negócio deveriam fazer.

Outro ponto importante para ser avaliado está centrado na causa do e nos efeitos do temido downtime (quedas funcionais) de uma aplicação. Quase metade dos entrevistados (48%) reportaram que suas organizações tiveram repetitivas experiências com quedas causadas pelo uso de upgrades na aplicação ou problemas gerados por correções feitas no sistema operacional. Aqui vale o questionamento: onde estão os ambientes para homologação e onde estão as metodologias para aplicação das correções em ambientes com cluster balanceados por cargas de trabalho?

Observe que a presença de um balanceamento de cargas é um importante aliado para corrigir um grupo de aplicações que apresentou algum tipo de problema. Outro elemento importantíssimo é o teste de backup. Somente 41% dos entrevistados afirmaram que usam seus backups como parte dos testes de recuperação e ainda assim, este backup possui uma recuperação em dias relativamente pequena. No Brasil, a média foi de 11 dias de dados recuperados por mês, na Alemanha 12 dias e na Itália 14.

Para concluir, é importante termos em mente que o desenho de qualquer projeto, seja ele físico ou virtual, deve considerar a sobrevivência da aplicação mesmo em condições de falhas. Claro que o desafio é sempre alinhar custos com perdas financeiras causadas pela ausência funcional da aplicação. Acredito que os números apresentados pela Veeam mostram que existe um longo caminho a ser trilhado, mas que existe solução se pensarmos estrategicamente com cuidado.

 

Denis Souza

 

Links indicados:

https://go.veeam.com/2016-availability-report-latam-br.html

http://convergecom.com.br/tiinside/home/internet/19/02/2016/indisponibilidade-de-aplicacoes-gera-prejuizo-de-us-16-milhoes-por-ano-as-empresas/

http://computerworld.com.br/brasileiras-perdem-us-18-milhoes-com-indisponibilidade-de-aplicacoes

O Desafio da Transformação Digital

Uma vez um amigo comentou que tenho uma curiosidade exagerada por pesquisas com o tema tecnologia e arrisco dizer que realmente é verdade. Busco sempre por estudos feitos por referências como PricewaterhouseCoopers (PWC), Instituto Ponemon, Gartner e IDC (International Data Corporation) dentre muitos outros da minha lista.

Mas hoje quero compartilhar alguns elementos posicionados pelo IDC que podem nos orientar a obter a tão comentada Transformação Digital. Neste ano o IDC envolveu em uma pesquisa 150 empresas brasileiras envolvendo as verticais de Serviço, manufatura, Governo, Comércio, Finanças e Recursos. Veremos nas linhas seguintes como estas empresas observam seu caminho para realizar a Transformação Digital.

Primeiramente é importante destacar um ponto importante e posicionar o que é realmente Transformação Digital. Quando comento a respeito deste tema, vejo que para alguns é inevitável pensar imediatamente no conceito de nuvem ou na jornada para a nuvem. É preciso entender que não é nada disto, sendo Transformação Digital um conceito muito mais amplo. Podemos dizer que Transformação Digital posiciona-se como uma abordagem em que as empresas conduzem mudanças em seus modelos de negócios e os ecossistemas de negócios, alavancando tecnologias digitais e competências. Já os ecossistemas de negócios são compostos por clientes, parceiros, concorrentes e o ambiente regulatório. Assim, Transformação Digital possuirá sempre múltiplas faces.

A pesquisa feita pelo IDC questionou como as empresas se comparam aos seus concorrentes para alavancar mudanças nos modelos e ecossistemas de negócios. Observa-se que 47,9% das empresas revelaram igualmente capazes aos concorrentes para conduzir mudanças rumo a Transformação Digital, 28% informou que excede os concorrentes, 16% consideram-se um pouco atrás, 6% se posicionam como os melhores e 3% muito atrás dos concorrentes.

Se analisarmos com mais cuidado, veremos que existe a influência do que chamamos de nível de maturidade para alcançar a tão sonhada Transformação Digital. Claro que isto envolve diversos temas que precisam ser respondidos de forma clara. Dentre eles podemos citar:

  • Existe ousadia no uso de novas tecnologias e modelos de negócio que afetam o mercado e criam novos negócios?
  • A gestão da transformação digital é integrada demonstrando sinergia com os produtos, serviços e experiências voltados para o cliente?
  • Os objetivos da transformação digital estão alinhados ao nível de estratégia de curto prazo incluindo iniciativas de produtos e experiências digitais?
  • Foram identificadas necessidades de desenvolver estratégias de negócio digital aprimoradas aos clientes?
  • As iniciativas de transformação digital estão desconectadas e mal alinhadas com a estratégia da empresa e continuam não focadas na experiência dos clientes?

Dos questionamentos anteriores, se a resposta foi sim para o último, fatalmente a ida para a sonhada Transformação Digital estará prejudicada. Na pesquisa feita pelo IDC, uma boa parcela das empresas identificou que existe a necessidade de realmente desenvolver estratégias de negócio digital aprimoradas aos seus clientes, mas a execução do projeto encontra-se ainda isolada. Este é um ponto importante para estudo.

Qualquer iniciativa de projeto deve estar envolvida com a estratégia empresarial para ter sucesso. Segundo o IDC, até 2017, um em cada três CEOs das 3 mil maiores empresas da América Latina colocará a Transformação Digital como base de sua estratégia corporativa. Ainda não observei isto surgir no Brasil. O tema envolve basicamente quatro pilares: Gestão de Processo de Negócios, Gestão de Pessoas e Mudanças, Gestão de Valor e Gestão de Tecnologia.

Para concluir, a digitalização de negócios é o meio de alcançar objetivos e resultados nos negócios de cada instituição, mas deve estar focado em fornecer benefícios para conduzir as empresas em caminhos mais produtivos e competitivos”. Estou convencido que é um grande desafio, mas é um caminho que precisa ser trilhado com compromisso e dedicação para a sobrevivência de qualquer instituição.

 

Denis Souza

 

Links indicados:

Olimpíada Rio 2016: Oceano de Oportunidades para o Cybercrime

Devido a minha vivência em segurança da informação, sempre observo eventos com grandes aglomerações de pessoas como uma oportunidade perfeita para atacantes digitais. Desta forma, foi natural refletir e imaginar o que poderia ser feito por um atacante digital experiente na Olimpíada do Rio de Janeiro. Assim, durante um final de semana fiz um pequeno exercício.

O primeiro exercício que fiz foi identificar alguns números e avaliar a verdadeira importância do evento em questão para tentar mensurar um elemento importante chamado de motivação. Considerando que tivemos neste evento 205 países, mais de 7,5 milhões de ingressos vendidos e que a maioria das pessoas levam consigo no mínimo um celular, teremos pelo menos um vetor para ataques focado em dispositivos móveis, sejam eles pessoais ou empresariais.

E neste “oceano” de celulares nasceu o Samsung Pay, mostrando para o mundo que é possível ter uma tecnologia wireless de curto alcance focada em fazer pagamentos. A Samsung saiu na frente da Apple e do Google usando como tecnologia o NFC (Near Field Communication). Isto possibilita o registro de catões de créditos cadastrados em celulares, bastando aproximar o celular de terminais de compra para autenticar a transação. A segurança é concluída inserindo a impressão digital ou outros elementos para autenticar a transação.

O uso do NFC é algo recente, mas a segurança aplicada no gateway de pagamento ou nos elementos que o cercam é algo bem conhecido que vem evoluindo com o passar do tempo. Entretanto, existe um outro ponto muito importante que devemos considerar para uma análise macro. Veja que tivemos 28 edições dos jogos olímpicos na era moderna, onde 17 foram na Europa, 6 na América do Norte, 3 na Ásia e 2 na Oceania. Não há dúvida que um evento desta magnitude na América do Sul impulsionaria as vendas, principalmente dos patrocinadores. Assim, é natural que os ataques digitais sejam mais focados nestas empresas. Precisamos no exercício deste texto imaginar quais as preocupações que o C-Level deveria ter em mente?

Preocupações

O primeiro ponto é a infraestrutura. Ataques DDoS (Distributed Denial-Of-Service) são usados em conjunto com outras metodologias para indisponibilizar o ambiente exposto à internet. Está ficando muito comum identificarmos ataques múltiplos, representando a combinação de diversas estratégias usadas para alcançar fama, furto de dados ou enriquecimento ilícito. Algumas aplicações são muito sensíveis a latência e este modelo de ataque afeta principalmente isto. Ter uma proteção que não penalize a latência é importante.

O segundo ponto está ligado na proteção direta do gateway de pagamento, da aplicação Web e dos bancos de dados usados por ela. Atualmente os ataques específicos na camada de aplicação são furtivos, assim, o atacante aprimorou sua técnica para não gerar alertas, ganhando tempo para instalar ferramentas na rede e invadir ambientes ou copiar informações dos bancos de dados. Isto é muito diferente de um ataque DDoS, que é relativamente mais fácil de detectar, pois o ecossistema da aplicação é exposto a um grande volume de acessos, superando o volume previsto de conexões por segundo. Ou seja, existe uma assinatura previamente conhecida.

O terceiro e último ponto é a imagem da empresa ou do produto. Sabemos que as campanhas de marketing ligadas principalmente a grandes eventos fornecem uma exposição muito maior de marcas ou do nome das empresas envolvidas. Assim, é necessário sempre pensar nas ações que precisam ser tomadas visando proteger o ecossistema empresarial como um todo. Isto envolve também análise de spam/phishig, redes sociais ou de sites clonados.

Sabemos que ações ligadas a proteção de marcas envolvem atividades do Departamento Financeiro, representado pelo CFO (Chief Financial Officer) e do Departamento Jurídico, guiado pelo CLO (Chief Legal Officer). Muitas vezes a retirada de um site envolve ações legais, que são custosas e bastante demoradas.

Como elemento decisivo para o negócio, podemos olhar para o tema infraestrutura. As necessidades atuais mostram que as empresas precisam direcionar o desenvolvimento das aplicações em ambientes flexíveis que forneçam de forma rápida, orquestrada e inteligente um crescimento ou uma redução de recursos computacionais (computing), de rede (network) e de armazenamento (storage). Claro que estamos falando de Cloud. A jornada para a Cloud passa basicamente por cinco fases: padronização, consolidação, virtualização, automação e orquestração. O estudo de cada fase junta-se como a análise de maturidade da aplicação dentro desta jornada, mas estes serão tema de outro artigo.

 

Denis Souza

 

Links indicados:

Você está atento a estes problemas de segurança?

Dicas para monitorar e garantir a segurança virtual da sua empresa:

Segurança da informação já deixou há muito tempo de ser modismo para ser necessidade em qualquer tamanho de empresa. A presença da internet flexibiliza, amplia e concebe um universo de oportunidades para qualquer estratégia de negócio, mas também interliga uma variável relativamente nova chamada de atacante digital.

Na década de 90, era muito comum encontrarmos o atante digital dentro das organizações. Vivíamos momentos com a presença de viroses limitadas a contaminação de disquetes como o vírus ping-pong. Bons momentos, onde era possível fazer uma pausa no texto digitado e observar o símbolo de uma pequena bola sendo arremessada contra os cantos da tela.

Vivemos momentos onde os ataques são altamente sofisticados com estratégias customizadas para cada empresa alvo, orientada por campanhas de e-mails, ataques usando criptografia SSL, furtos de informações pela camada Web ou indisponibilizar a infraestrutura de maneira parcial ou total. Vamos neste texto analisar alguns desafios ligados a Segurança da Informação e identificar como empresas como o UOLDIVEO podem ajudá-lo a resolver cada um destes desafios para que você tenha diferenciais significativos para a sua empresa.

Fraude nos e-mails estão mais agressivas e frequentes

O primeiro elemento que gostaria de abordar é muito comum em qualquer organização. São os e-mails recebidos e identificados como Spams e Phishing. Este último pode ser encontrado em uma versão mais devastadora chamada de Spear Phishing.

Precisamos ter em mente que enquanto o Spam foca-se em um e-mail visando promover a venda de um produto, seja ele legal ou não, o phishing tem o objetivo direcionar a vítima para um site que vai furtar informações pessoais, cartões de crédito, informações bancárias e qualquer coisa que o atacante considere importante. O Spear Phishing estuda todas as características do destinatário do e-mail, indo desde o departamento trabalhado, nomes dos seus superiores e gostos pessoais. Tudo é customizado em um e-mail que ilude o destinatário a instalar um programa em seu computador ou a fazer algo que seja benéfico para o atacante.

Grande parte dos e-mails acompanham campanhas publicitárias e direcionam para sites clonados causando danos financeiros a marca de uma empresa, forçando o envolvimento do departamento jurídico com ações de clientes que foram enganados pelos atacantes ou ainda forçando o investimento em estratégias para refazer a credibilidade de uma marca no mercado. O site clonado pode estar presente nas redes sociais, em blogs ou em ambientes de cloud pública dentro ou fora do Brasil. O processo de desativação deste site pode ser muito complexo e custoso. É necessário o monitoramento de e-mails, redes sociais ou mídias sociais 24 horas por dia por especialistas que tenham experiência neste modelo de operação. Como definir um plano que realmente funcione contra estes ataques?

Ataques criptografados se destacam nas previsões do Gartner

Segundo o Gartner, o tráfego criptografado cresce 20% ao ano e 80% das empresas não inspecionam seus tráfegos Web. Existem centenas de justificativas para esta ausência de inspeção, mas podemos dizer que a principal é a sobrecarga em processamento que gera nos hardwares de firewalls ou equipamentos de IPS (Intrusion Prevention Systems), por exemplo.  Infelizmente percebe-se que o uso de ataques envolvendo criptografia se elevam a cada ano, seja para a comunicação de malware ou para ataques a servidores Web. O resultado final é sempre a perda financeira, seja por dano diretos ou indiretos à imagem, perda de vendas devido a sites invadidos ou furto de informações pertencentes a clientes. Ter a informação furtada é sem dúvida um grande problema, mas tê-la divulgada é um problema maior ainda. É importante ter um plano de ação que inclua o corpo diretor e a equipe de operação envolvida e treinada.

Note que um erro muito comum é ter um plano de ação de segurança de várias páginas e não ter a equipe treinada para responder a um evento guiado por um ataque digital. Mais importante do que comunicar é como comunicar um incidente de segurança. Ter uma assessoria de imprensa que não está preparada ou que não tem o apoio para responder tecnicamente aos questionamentos é pior do que não comunicar.

Uma estratégia usada com sucesso por empresas internacionais é minimizar o aparecimento na mídia e limitar a uma única reunião para apresentar esclarecimentos aos investidores e a imprensa. Outro ponto importante aderente a qualquer empresa é testar periodicamente o plano de resposta a incidentes de segurança.

Com os ataques se tornando mais complexos e mais frequentes, torna-se necessário criar uma cultura de segurança mais transparente, preparando e concebendo as aplicações de maneira diferenciada, juntamente com os elementos que a protegem. Ver-se que elementos de uso simples e de baixo custo não usados por muitas empresas. Um exemplo disto é o certificado SSL. Apesar dos benefícios da criptografia em sites Web serem claros e muito vantajosos, possibilitando não só a elevação da confiança dos usuários, mas também elevando a prioridade nas listas de pesquisa do Google, vê-se que poucas empresas fazem usos desta vantagem, deixando um farto oceano de oportunidades para os atacantes digitais. Os certificados digitais podem e devem ser usados por qualquer tipo de aplicação Web.

Bom lembrarmos que segundo o HIPAA (Health Insurance Portability and Accountability Act), PCI Security Standards Council e PII Laws (Personally Identifiable Information), deve-se manter criptografadas todas as informações referentes a dados pessoais, elementos financeiros e informações envolvendo empresas de saúde. Não obedecer a estas indicações pode acarretar em implicações graves.

Novamente devemos nos perguntar o que fazer? Que estratégia devemos seguir para elevar a proteção?

Cloud são seguras, mas você está usando-as corretamente?

Muitas vezes imagina-se que um ambiente de Cloud é inseguro e que projetos usando plataformas de virtualização dentro das empresas formam ambientes de segurança superiores. Primeiramente é importante o entendimento que existem tipos distintos de Cloud, e estes tipos são aderentes ao grau de maturidade da aplicação analisada. Saber se uma Cloud pública em OpenStack, AWS, Microsoft Azure, Google ou ainda uma Cloud Privada é mais adequada a maturidade da sua aplicação é um elemento de sobrevivência indispensável para qualquer empresa.

Observe que não é uma questão de saber qual é a Cloud mais barata para o portal Web da campanha do mês de novembro, mas saber onde a aplicação vai ter uma melhor performance ou onde vai apresentar melhores requisitos de segurança para o projeto proposto. Observe as Clouds Públicas, o uso de controles em seu ambiente são elementos mais rígidos do que muitos projetos dentro das corporações. Este fator é certamente influenciado pelo compartilhamento físico dos servidores. Note que o nível de segurança é muito maior do que os usados tradicionalmente e que a invasão de um cliente por outro é praticamente impossível.

Outra visão importante aborda a relação Compliance e Ambiente em Cloud. Devemos entender que mesmo contratando um provedor em nuvem que possui uma certificação em segurança, isto não faz com que a aplicação de uma empresa hospedada e exposta para a internet esteja segura ou seja resistente a qualquer tipo de ataque digital. A proteção contra este modelo de atacante é um projeto adicional que faz uso de diferentes camadas de defesa, indo desde do desenvolvimento do código-fonte, passando pelo projeto de camadas de defesa e terminando com a escalabilidade e flexibilidade do ambiente usado.

Os ataques direcionados a aplicações em nuvem não são diferentes dos ataques direcionados para os ambientes fora dela. A abordagem buscando por erros humanos continua a mesma, a busca por falhas na aplicação ou no modelo de acesso ao ambiente de gestão continua a mesma. O questionamento também continua o mesmo: o que pode ser feito para elevar a proteção do negócio?

Quais lições podem ser aprendidas?

Os ataques digitais não vão reduzir de intensidade. A realidade mostra que teremos volumetrias bem superiores e muito mais agressivas a tudo que vemos hoje. Olhando somente para os dispositivos móveis, encontraremos previsões indicando que 70% da população mundial estará fazendo uso de algum tipo de dispositivo móvel conectado à internet em 2020 e isto representa 5,5 bilhões de pessoas. Só para o Brasil estima-se que terá mais de 182,1 milhões de usuários móveis e nem aprofundamos as análises envolvendo IoT (Internet das Coisas).

O segredo é como estaremos preparados para estes ataques. Ter um comitê de segurança multidisciplinar é importante, mesmo para as pequenas empresas. Treinar a equipe técnica, juntamente com este comitê vai ser inevitável para responder de maneira clara e objetiva a um atacante digital.

Outro ponto importante é que não podemos construir toda defesa eletrônica em uma tecnologia apenas ou em um processo de gestão que não opera 24×7. Ter o apoio de uma equipe experiente é questão de sobrevivência. Um exemplo claro deste tema é representado pelos ataques DDoS (Distributed Denial of Service), que hoje atinge valores superiores a 500Gbps de pico. Tenha em mente que a defesa contra um ataque DDoS não se faz só, sendo necessária a presença intensa do provedor de acesso bloqueando e identificando o atacante internacional e nacional.

Para concluir, tenha em mente que a defesa digital é uma equação que precisa ser equalizada entre três variáveis importantes representadas por processos, pessoas e tecnologia, independente se lidamos com um ambiente em Cloud ou não.

 

Denis Souza

 

Alerta: Novo malware se espalha agressivamente pela internet

A internet recebeu mais um convidado indesejado e provavelmente vai fazer muito mais que simples barulho. Estamos falando de um malware que usa o código do conhecido BARTALEX. Já é possível identificar uma elevação muito acentuada de e-mails contendo-o, principalmente para usuários do Office 365.

O BARTALEX explora os recursos de macros e já é conhecido desde abril de 2015. Inicialmente era disseminado por SPAMs usando URLs que exibiam uma página pedindo para o usuário habilitar macros em um documento Microsoft Word. Se esta atividade fosse feita, um download do malwareTSPY_DYRE.YUYCC era feito para monitoramento de atividades bancárias.

O novo malware deposita o BARTALEX no campo de formulário de um arquivo do tipo “dotm” para evadir a detecção de macros. O mesmo apresenta alto grau deobfuscação (técnica usada para evitar que seu código seja visto e seu funcionamento entendido), além de utilizar codificação RC4 para proteger e dificultar sua detecção. O código do BARTALEX foi modificado para fazer o download do Ransomware Cerber. Indicações da Check Point (equipe Threatcloud Incident Response) apontam que o CERBER está sendo distribuído via Botnet Dridex.

Importante destacar que até hoje de manhã, nenhuma das principais engines de antivírus do mercado conseguiam detectar este malware.

Acredito que este não será o primeiro, nem o último ataque deste tipo. Se analisarmos os ataques via macro, veremos que existe um crescimento com o passar dos anos. Possivelmente encontraremos muitos Ransomware como o RANSOM_LOCKY.A ou como o CERBER e ainda diversos outros meios destrutivos usando macros.

O dia 23 de junho de 2016 pode ser uma data importante para as empresas em todo o mundo. Devemos observar de perto a evolução para o ciclo de contaminação do BARTALEX e do CERBER. Aliado a isto devemos evitar que funcionários ativem macros para documentos não assinados por suas empresas e fazer uso de mecanismos que monitorem o tráfego Web ou o fluxo de Correio Eletrônico para identificar comportamentos comuns nos ataques de ransomware.

Entre em contato agora com o UOLDIVEO e entenda como podemos ajudar sua empresa a solucionar este e outros problemas de segurança.

http://uoldiveo.com.br/contato/
comercial@uoldiveo.com

 

Denis Souza

 

Referências:

  • Check Point Threatcloud Incident Response (Time de Resposta à Incidentes), Check Point ThreatCloud e Threat Intelligence (Nuvem Colaborativa de Segurança).
  • Trend Micro Blog.

Segurança em cloud: além da tecnologia

Hoje ouvimos falar muito de Cloud como algo importante para os negócios de uma organização, fazendo com que sejam feitos investimentos financeiros, redesenho de ambientes ou mudanças estratégicas importantíssimas de alto impacto para a organização. Mas, muitas vezes, esquecemos que como qualquer projeto, imaginar o uso de cloud Computing, sem pensar em segurança e compliance é cometer quase que um haraquiri sem a cerimônia obrigatória dos samurais.

Além disto, muitas empresas estão negligenciando o impacto que problemas de segurança podem causar à marca, muitas vezes destruindo em pouco tempo, o valor construído pela empresa durante anos.

Antes da segurança

É importante destacar que antes de imaginarmos um projeto de Cloud ou mesmo como a segurança impacta este novo paradigma, devemos avaliar muito bem qual o modelo de cloud mais aderente para a aplicação desejada e avaliar também qual o impacto desta aplicação no negócio como um todo.

Sabemos que ao falarmos de Cloud, referenciamos geralmente os modelos Público, Privado e Híbrido.

Devemos questionar sempre qual o esforço que será feito para adequar a aplicação ao modelo escolhido? Vai haver alguma perda para ter a sonhada agilidade em TI ou para atingir a liberdade de adicionar ou remover recursos a qualquer momento? Vamos manter estes questionamentos em mente e identificar os modelos de Cloud existentes.

O Gartner define nuvem pública (Public Cloud Computing) como um ambiente computacional que possui escalabilidade e elasticidade provido como serviço de forma automatizada e orquestrado para clientes que, em sua essência, estão externos ao provedor usando tecnologias acessíveis pela internet em elementos de infraestrutura compartilhados. Completando o que diz o Gartner, é importante também entendermos que esta infraestrutura de Cloud é algo compartilhado por todos os clientes e que aceita menos requisitos de negócios, ou seja, é preciso se enquadrar dentro das características oferecidas pelo provedor de serviços.

A nuvem privada (Private Cloud Computing) posiciona-se como um ambiente de nuvem onde a infraestrutura é usada exclusivamente por uma empresa ou onde uma organização é completamente isolada das outras sem perder escalabilidade ou elasticidade, sendo auxiliada pela automatização e orquestração. Esta empresa tem os recursos de infraestrutura reservados para o seu uso, como se fosse a dona dela, detendo muito mais liberdade na definição do ambiente.

Dizemos que a nuvem híbrida (Hybrid Cloud Computing) é aquele que equilibra workloads entre nuvens públicas e ambientes privados (sejam eles em nuvem ou não). Um exemplo deste modelo é quando a empresa precisa manter certos workloads na Cloud Privada, por questões de compliance e soberania dos dados, e outros na nuvem pública, em uma região mais próxima dos usuários finais.

Brokers de segurança

Entrando mais fundo no universo Cloud Computing, vemos um conceito que cresce com bastante força, firmando-se na representação da sigla CASB (Cloud Access Security Brokers). Pode-se dizer que um ambiente CASB é aquele que pode ser posicionado dentro do próprio cliente ou em um ambiente de Cloud externo controlando as regras de segurança que gerenciam o acesso ao ambiente em nuvem do cliente. O CASB é posicionado entre o cliente e o Provedor de Cloud e as políticas de segurança podem incluir elementos como single sign-on, autorização, mapeamento de credenciais, criptografia, uso de token para duplo fator de autenticação, registro de acesso (logging), geração e alertas, detecção e prevenção de malware.
Segundo o Gartner, até o final e 2018, 50% das organizações com mais de 2.500 usuários estarão com uma plataforma de CASB para controlar o uso dos produtos mantidos como SaaS (Software as a Service). Ainda segundo o Gartner, em 2020, 85% das maiores empresas usarão um produto de CASB. Desta forma, a camada de segurança não precisa estar por padrão incluída no ambiente de Cloud, mas ele precisa estar pronto para ambientes que usem CASB.
Com o holofote em Segurança da Informação e olhando para os dias atuais, ver-se que independentemente do modelo de Cloud escolhido, ele tem que possuir mecanismos que protejam a autenticação para acessar o painel de gerenciamento. É comum termos o atacante digital descobrindo o usuário responsável pela administração das máquinas em Cloud e pedir resgate para devolver o acesso e não apagar ou danificar as máquinas virtuais que foram criadas. Tem-se assim, perdas financeiras reais. É importante ter um ambiente de contingência e um plano bem detalhado e ensaiada com simulações periódicas para recompor de forma rápida o ambiente em Cloud.

Além da indisponibilidade

Acredito que devemos sempre olhar nossos projetos com análises bem mais críticas e observar o que acontece no restante do mundo para identificar se é possível aproveitar algo. Um exemplo deste tipo de análise pode ser encontrado na pesquisa feita pela Veeam Software. A Veeam Software é uma empresa reconhecida pelos produtos de Backup, Replicação e Disponibilidade. Esta pesquisa mostra que muitas empresas estão tendo perdas financeiras por não avaliarem corretamente se suas aplicações estão realmente respondendo as necessidades de seus usuários. A pesquisa elaborou 1.140 entrevistas com os principais responsáveis pelo departamento de TI em 24 países. Segundo a pesquisa, 84% dos entrevistados admitiram que suas organizações possuem problemas com disponibilidade de seus serviços. Isto implica em danos na marca ou na imagem da corporação.

A Veeam revela também que para tentar solucionar estes problemas, muitas instituições estão investindo em Data Centers próprios ou melhorando os que já existem. Mesmo assim as paradas continuaram se multiplicando, indo de 13 para 15 eventos em 2015. A média de cada parada subiu de 1,5h para 2h por aplicação de missão crítica. O resultado é um custo médio anual do superior a US$ 16 milhões (US$ 6 milhões a mais que 2014).

Isto é extremamente assustador, mas o que precisa ser entendido é que existem diversos impactos mais devastadores. Observe que 68% destas empresas entrevistadas apontaram perda da confiança do cliente, 62% indicaram dano a integridade da marca, 51% revelaram perda de confiança dos parceiros, 31% disseram que houve redução do preço dos estoques e 26% tiveram ações legais de parceiros ou clientes alegando perdas financeiras.

Observe que os custos para refazer a imagem de uma instituição podem ser gigantes. Este foi o tema da pesquisa International Business Resilience Survey 2015. A pesquisa revela que 73% dos executivos informam ter uma falta de planejamento de gestão de crise nas empresas. Para se proteger dos ataques cibernéticos, 28% deles afirmam ter apólices de seguros especiais para coberturas ataques cibernéticos. Outros 21% contratam seguros também para se proteger de possíveis danos à reputação das empresas após uma violação de dados e ainda assim, 60% dos CEOS e gestores entrevistados têm dado pouca importância na resiliência dos sistemas de TI em relação à gestão de reputação de suas empresas.

As ameaças são muitas, mas como o UOLDIVEO pode ajudar a proteger seu negócio, evitando perda da confiança dos seus clientes e fornecedores, dano a integridade das suas marcas e problemas jurídicos?

Com os serviços de segurança do UOLDIVEO, sua empresa pode encontrar diversos serviços que buscam a continuidade do negócio e proteção de informações dos clientes.

Os serviços são diversos e vão desde DDoS Protection, um pilar para sustentar a disponibilidade dos seus serviços, e evitar perdas financeiras importantíssimas, até a proteção específica para a aplicação Web, por meio do Web Application Firewall (WAF), um produto destinado a aplicações web, protegendo-as contra ataques à sua aplicação exposta à internet, deixando seu acesso mais rápido ou auxiliando na defesa contra o furto de informações existentes nas bases de dados usada pela sua aplicação.

Sabemos que não basta ter uma infraestrutura confiável ou hardwares tecnicamente reconhecidos pelo marcado, é importante termos o apoio de uma equipe especializada em ciberataques (cyberattack). Protegemos o maior portal de serviços da América Latina, o UOL, além das aplicações de 250 das 500 maiores empresas do Brasil.

Muitas vezes uma Tecnologia é cercada por medos, sejam eles posicionados em Cloud ou não. Na grande maioria das vezes o medo é algo benéfico, pois nos inspira a repensar nossas estratégias. Entretanto, é importante termos em mente que o uso da Segurança Digital precisa ser avaliado em conjunto com o custo da perda financeira para entender que a salvação de qualquer modelo de negócio dependerá de como definimos e implantamos a Segurança Digital como um todo envolvendo: pessoas, tecnologia e processos. Quando isto é feito, Segurança Digital será sempre a salvação para qualquer negócio.

 

Denis Souza

 

Fontes: