Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Gerenciamento da Segurança - Dezembro de 2005

Microsoft Small Business Server e Segurança: O Assunto É Gerenciamento de Risco!

Publicado: 13 de dezembro de 2005

Cc512625.secmgmt0205_01(pt-br,TechNet.10).jpg

Por Jesper M. Johansson
Estrategista de Segurança Sênior
Unidade de Tecnologia da Segurança
Microsoft Corporation
Veja outras colunas sobre Gerenciamento da Segurança (em inglês).

Recentemente me envolvi em mais um debate quase religioso sobre segurança. (Parece que realmente os atraio por alguma razão.) Esse era sobre o Microsoft Small Business Server (SBS). Discutia-se basicamente se o SBS é um comprometimento inerente da segurança. Bem, que sistema não o é? Segurança não é uma decisão binária. Está ligada a um pequeno elemento chamado "gerenciamento de risco." Trata das permutas entre segurança, usabilidade, e custo. Neste artigo, tentarei explicar o conceito de gerenciamento de risco no contexto do SBS e mostrar que, embora o SBS sacrifique um pouco da segurança, há boas razões para essa permuta e sobra bastante segurança para todos. Espero que, durante o processo, eu consiga expor algumas razões pelas quais o gerenciamento de risco é o conceito mais importante a ser considerado quando se trata de proteger suas redes.

Small Business Server e o Mercado

O SBS é em sua essência uma compilação de diversos produtos da Microsoft para servidores. Ele vem com um grande número de coisas bem interessantes incluídas. Por exemplo, tem o sistema operacional, IIS, Exchange para e-mails, serviços de fax, acesso remoto, uma grande quantidade de "assistentes" para ajudá-lo a configurar as coisas, e até um firewall básico. Gaste um pouco mais e adquira ainda uma cópia do SQL Server e ISA Server. Se quiser informações sobre como proteger a rede inteira, há orientações relativamente simples em http://www.microsoft.com/technet/security/secnews/articles/sec_sbs2003_network.mspx. É tudo o que você precisa, em um único pacote. Essa última parte, o pacote único, é a fonte da controvérsia e das reclamações sobre o SBS ser um comprometimento da segurança. Antes de falar sobre isso, no entanto, vejamos o mercado dos servidores para pequenas empresas.

Admito francamente que não sou especialista em mercado de pequenas empresas. Honestamente, nunca trabalhei nesse mercado. Aprendi algumas coisas, entretanto. Primeiro, pequenas empresas são tão avarentas quanto qualquer outra pessoa, assim como meu ambiente original - a universidade. Na verdade, não se trata realmente de avareza, mas sim de que simplesmente não há dinheiro para tudo, e certamente pouco dele é gasto em servidores. A idéia de comprar mais de um servidor é bastante consternadora para eles. De fato, a idéia de comprar um servidor que seja já é um pouco estranha, já que você poderia apenas dar uma impressora a cada um e acabar com a história. Segundo, as habilidades dos especialistas em TI nesse mercado são geralmente básicas, na melhor das hipóteses. Raramente há um gerente de TI em tempo integral em uma pequena empresa. Terceiro, pequenas empresas precisam de serviços de servidores. Não precisam de e-mail. Podem economizar uma quantia considerável com impressão em rede. Compartilhar documentos pela rede é uma boa idéia, agora que os disquetes são coisa do passado, e todos "sabem" que os drives USB são uma grande fonte de comprometimento da segurança (veja Myth #8). Muitas precisam de um site para divulgar seus produtos. Algumas podem até mesmo usar acesso dial-in ou VPN (rede virtual privada).

O problema, é claro, é como oferecer toda essa funcionalidade de um modo que uma pequena empresa, com uma equipe de TI e orçamento insignificantes, possa aproveitá-la. Em um ambiente maior há um conjunto de pessoas treinadas para realizar serviços de TI. Há também um orçamento para sistemas múltiplos, a perícia para instalar tudo isso, e às vezes até um esforço consciente de proteger o sistema. Em pequenas empresas não é assim. Arrancar US$1.500 do contador (ou secretário) pão-duro responsável pelos livros para um único servidor já é bastante difícil, então é melhor que esse servidor venha com o software necessário para funcionar. Foi para preencher esse nicho que o SBS foi projetado. (Também pode servir para o indivíduo entusiasmado mas pão-duro, que lida com segurança de TI e quer um servidor doméstico para brincar, mas eu não sou um mercado-alvo para ninguém.)

Para oferecer todos esses recursos, a Microsoft formou um time de pessoas muito competentes para unificar vários produtos em um único pacote de instalação. Uma das demandas fundamentais era que todos se encaixassem em um único servidor, já que as pequenas empresas não estariam dispostas a gastar com múltiplos servidores e, mesmo que o fizessem, não teriam funcionários habilitados para gerenciar esse sistema. O time também criou um grande número de assistentes para a instalação. Por exemplo, se você quiser alterar o endereço IP em um servidor multitarefa, há vários passos a seguir. Você precisa mudar o endereço, ir até o DNS para atualizá-lo, alterar a exclusão no servidor DHCP, atualizar qualquer site que seja mapeado com esse endereço IP, e provavelmente reconfigurar o firewall. Ou use o assistente de "alteração de IP do servidor" do SBS; ele faz tudo para você. Honestamente, essa ferramenta seria útil no próprio SO central.

A compreensão de que poucas organizações no Mercado de pequenas empresas têm as habilidades de TI para configurar e integrar todas as coisas que uma pequena empresa precisa tornou essencial, para o sucesso do SBS, que o máximo possível desse trabalho fosse automatizado. O resultado é um processo de instalação quase automatizado que vai surpreendê-lo, e espantá-lo também, se você é fanático por segurança e quer virar todos os botões para sintonizar tudo sozinho. Para proteger tudo, o time do SBS garantiu que há um firewall básico - um firewall de Serviço de Roteamento e Acesso Remoto (RRAS), na verdade - ativado como padrão. É um firewall de filtragem de pacotes sem inspeção de conteúdo. Faz um trabalho de tráfego de filtragem tão bom quanto qualquer outro firewall de filtragem de pacotes, como os que você compra em uma única caixa para ligar a um modem DSL ou a cabo, por um preço de US$99 a US$1.500, dependendo da cor da caixa e do número de conexões que você precisa. Assim como aqueles, que são quase universalmente baseados no Linux Kernel, e portanto precisam de muitas Atualizações do Linux (em inglês), esse precisa ser atualizado com atualizações de segurança para o SO em que ele roda - o Windows Server 2003.

Resumindo, o SBS realiza algo que não seria possível sem esse produto: expande a esfera da computação baseada em servidores para um mercado que, de outro modo, seria incapaz de se beneficiar dela. Sem um servidor para proteger os clientes e seus dados, cada cliente estará realmente menos seguro, e assim a empresa se tornará menos segura, o que seria menos provável se houvesse um servidor na organização.

As Ameaças

A próxima questão a ser considerada são as ameaças às quais uma pequena empresa está sujeita. Há muitas, mas vamos ignorar algumas que não são ataques à tecnologia. Elas incluem worms de e-mail, que atacam pessoas; navegar em sites malignos, o que ataca erros humanos ou intenções mal direcionadas; phishing (programas malignos enviados ao internauta através de e-mail), que também ataca pessoas; e ataques diretos de engenharia social. Todos são contra humanos, e afetam todos os tipos de organização, pequenas e grandes. Há muito pouco a ser feito, tecnologicamente, para impedi-los, salvo a detecção pós-evento da ameaça e sua remoção por alguma solução anti-malware ou outras.

Há uma ameaça adicional que vamos ignorar, uma que afeta a todos. Ela vem de administradores malignos. Você pode se proteger contra usuários malignos de diversos modos, e é importante cuidar disso, mas não pode, por meios técnicos, proteger-se contra usuários malignos especializados, com acesso administrativo. Eles vão acabar fazendo tudo o que quiserem. O modo adequado de lidar com essa ameaça é transformar as pessoas em questão em ex-funcionários.

Quais ameaças sobram então? Bem, há a espionagem industrial. Contudo, é menos provável que pequenas empresas sejam alvo dessa ameaça do que uma grande organização. Também temos a espionagem governamental (com exceção das autoridades responsáveis pelos impostos, naturalmente), mas novamente, não é uma ameaça provável contra pequenas empresas (novamente, com exceção das autoridades responsáveis pelos impostos). Então temos criminosos profissionais organizados, que atacam organizações por razões que vão de extorsão ao mero prazer da destruição e do terrorismo. São ameaças plausíveis, mas menos prováveis de ocorrerem contra uma pequena organização simplesmente porque o ganho possível é mais baixo do que com uma grande organização.

Finalmente, temos as ameaças mais comuns entre todas, worms drive-by, um caminhão Mack disparado estrada abaixo achatando tudo em seu caminho, no formato do worm mais recente. São ameaças extremamente prováveis contra pequenas empresas, e provavelmente vão ocorrer se não houver uma equipe profissional de TI para proteger os sistemas. Na verdade, em muitas pequenas empresas, cada sistema se defende sozinho, sem nenhuma proteção contra esses ataques. Como surgem esses ataques? A fonte mais comum é um "Investigador de Segurança" (leia-se: "alguém muito inteligente, com moral duvidosa, integridade questionável, e intenções dúbias") com "uma abordagem única da segurança da empresa" (leia-se: "fabrica as próprias ameaças contra as quais ele vende produtos e serviços"), quem, em favor da segurança pública (leia-se: "para mostrar como sou inteligente e para anunciar meus produtos/serviços"), realiza uma "proeza prova de conceito" (leia-se: "um conjunto de worms que preenchem lacunas e permite que qualquer garoto no mundo fabrique um worm devastador, em questão de minutos") por certa vulnerabilidade recentemente descoberta na segurança. Quando você perceber, haverá um worm destruindo centenas de milhares de sistemas, causando prejuízos de bilhões de dólares, e condenando o autor, caso seja encontrado, a uma sentença de várias horas de serviços à comunidade e cerca de 4.000 ofertas de emprego.

Esses worms são indistintos. Não estão atrás de você. Estão atrás de todos. O objetivo é simplesmente causar tanto dano quanto for possível. Se uma determinada rede não está aberta ao ataque, ou não está vulnerável, o worm não guarda rancor e segue em frente. É uma das ameaças mais importantes contra pequenas empresas atualmente, e provavelmente pode ser comparada apenas a usuários malignos.

A Defesa

Explicar essa situação por analogia pode ser proveitoso. Se você esteve no serviço de infantaria, talvez tenha sido submetido a batalhas com antitanques. É um conceito maravilhoso, em que o soldado pode representar a pequena empresa, parado em frente a um tanque, o worm, que se aproxima dele a uma velocidade muito alta. Para se defender, ele tem um fuzil automático calibre .223 - o que equivale a um atirador de ervilhas, se estiver enfrentando um tanque - e, se ele tiver sorte, uma pá. A pequena empresa tem um scanner de vírus desatualizado há nove meses, e, se tiver sorte, o SBS. O soldado joga o fuzil para o lado e cava um pequeno buraco fundo o bastante para o seu tamanho, e talvez para alguns amigos. A pequena empresa instala o SBS e roda o Assistente de Conexão à Internet e Configuração de E-mail (CEICW), que ativa o firewall. O tanque passa por cima do buraco, deixando os soldados ilesos. O worm avança para a Internet, atacando outra pessoa.

Naturalmente, eu preferiria estar em uma fortaleza mais adiante na estrada, fora do caminho do tanque, com muros de alguns metros de espessura entre mim e os tanques. Gostaria de substituir o fuzil calibre .223 por um par de metralhadoras Gatling calibre .50, alguns morteiros antitanque, talvez algumas baterias antiaéreas, e, por precaução, no caso de os vilões também possuírem infantaria, óleo fervente para despejar neles. Entretanto, ocupar tal posto requer um pouco mais de recursos e pessoas do que os que tenho disponíveis, e de qualquer forma, transformar minha pá e meu fuzil nessa estrutura é algo bastante incômodo.

O mesmo vale para a segurança da rede. O principal argumento é o de que o SBS representa um comprometimento fundamental porque é baseado em um único servidor. Usar um único servidor para abrigar mais de uma função significa que você deve fazer configurar o servidor com o denominador comum de segurança mais baixo para todas as funções que ele abriga. Em outras palavras, você pode expor itens em uma função, mesmo que não forem necessários para essa função, porque são necessários para alguma outra. Além disso, se há vulnerabilidade em qualquer componente do servidor, ele expõe o servidor inteiro. Por exemplo, se você está usando IIS em um controlador de domínio (como faria com o SBS) e há vulnerabilidade no IIS, estaria expondo o componente do controlador de domínio automaticamente. Por outro lado, se você separar os dois componentes em dois servidores diferentes, expõe apenas um deles por vez. O aspecto negativo é que você tem que comprar mais servidores, gastar mais dinheiro gerenciando-os, e aumentar a complexidade do gerenciamento. Complexidade é em vários aspectos nociva à segurança. Naturalmente, colocar múltiplos componentes em um único sistema também é complexo. Assim, o mais importante não é se você tem um sistema complexo, mas se seus métodos de gerenciamento dão conta do serviço.

O argumento geralmente estimulado pelos que são contrários a pôr tudo em um único sistema, como o SBS, é o de que é possível criar uma rede consideravelmente mais segura do que você conseguiria com um único servidor SBS. Eu provavelmente poderia criar uma dessas, ainda que o projeto fosse muito complicado e além do objetivo deste artigo (de certa forma, é o assunto do livro que escrevi com Steve Riley). Muitos outros poderiam. Se precisasse, poderia até mesmo fazê-lo em um único servidor, apesar de ser muito difícil. O que eu não poderia fazer é proporcionar a funcionalidade que você tem no SBS, nem poderia fazê-lo a um custo comparável ao do SBS. Disso trata a permuta fundamental. O SBS é planejado a partir de um conjunto de procedimentos, para gerenciar a complexidade de colocar múltiplos componentes em um único sistema. São procedimentos que o arquiteto do sistema teria que duplicar, ou ao menos substituir, se em vez disso criasse uma solução habitual. Isso certamente não é impossível, mas definitivamente está fora das metas da grande maioria das pequenas empresas. Seu intuito é gerenciar a segurança adequadamente para sua situação.

Segurança Boa o Suficiente

Se você está tão disposto, pode ter segurança, entendida aqui como "o estado de não estar exposto ao perigo". É bastante fácil. Primeiro, assegure-se de que não pode ser atacado pela rede. Ative o firewall e desative todos os serviços. Não há mais nenhum ataque de rede possível. Agora se assegure de que nenhum usuário maligno pode atacá-lo. O modo mais simples é remover todos os usuários e sua habilidade de fazer logon no sistema. Depois precisamos proteger a caixa. Vá até a loja de hardware mais próxima, compre um tubo de epoxy, e use-o para preencher todos os orifícios que encontrar atrás, na frente, em cima, dos lados, e embaixo do computador. Cada um deles, desde as portas USB à tomada de eletricidade, pode ser usado para roubar dados de ou comprometer seu computador. Finalmente, pegue o que sobrou do epoxy e cole uma corrente em sua nova âncora. Ao menos assim servirá para alguma coisa, pois como computador está agora completamente inútil.

Quando eu era professor, o conceito de "segurança boa o suficiente" costumava ser ensinado em universidades. Agora parecem ensinar mais como se invade sistemas ou como, de modo irresponsável, se expõem vulnerabilidades, já que isso parece mais atrativo - mas muito menos útil. É uma pena que essa distinção tenha desaparecido porque o fundamental é que segurança tem a ver com gerenciamento de risco, nada mais. Você não precisa de segurança perfeita; você precisa de segurança boa o suficiente. Isso se torna mais complicado pelo simples fato de que gerenciamento de segurança tem muito a ver com gastar um bom dinheiro para garantir que nada aconteça. O indivíduo que trabalha com a segurança é quem vai até o pessoal das finanças e pede enormes somas de dinheiro, com a promessa de que se lhe derem o dinheiro, nem perceberão onde ele foi gasto. A medida do sucesso, ao falar em segurança, é não ser atacado (o que é diferente de não perceber que foi atacado). É virtualmente impossível registrar a falta de ataques como o sucesso da segurança, em oposição à pura sorte ou talvez mecanismos falhos de detecção. Junte essas afirmações ao fato de que ninguém que administra sistemas recebe chamadas quando as impressoras estão funcionando, quando chegam e-mails, e quando os arquivos estão no lugar, e então precisará urgentemente de "segurança boa o suficiente".

Segurança boa o suficiente significa que você atenuou as ameaças com as quais você decide que não pode viver, e em vez disso pode viver com essas atenuações. Em alguns casos, você decide viver com uma ameaça (espionagem industrial, por exemplo) em vez das atenuações (epoxy em todos os orifícios), e portanto aceitar o risco. A chave aqui é a filosofia de gerenciamento de risco que você, como organização, decide adotar, e as ameaças que você julga válidas para sua organização. Todos os produtos para computadores são projetados para um modelo de ameaça. Às vezes esse modelo é lamentavelmente inadequado; às vezes é muito específico. O SBS não é uma exceção, e nesse caso, é projetado para um modelo muito específico de ameaça - uma direcionada especificamente contra pequenas empresas que não se consideram sujeitas a ameaças como espionagem industrial, administradores potencialmente malignos, e outras mais prováveis de atormentar organizações maiores com mais recursos para se defender. Se não é esse o seu modelo de ameaça, se não lhe proporciona segurança boa o suficiente, é melhor comprar outro produto.

Conclusão

A questão não é se você pode ou não criar algo mais seguro que o SBS. Muitos podem, e alguns podem criar algo tão útil quanto, ou ao menos quase tão útil quanto o SBS, e ainda algo que ao menos seja tão seguro quanto. A questão é quanto tempo, esforço e dinheiro isso lhe custaria e de quanta funcionalidade você abriria mão durante o processo. A verdade é que a maioria das pessoas falharia ao tentar criar algo que tenha a funcionalidade ou a segurança do SBS-particularmente se tentassem criá-lo em um sistema único. Nessa dimensão, o SBS de fato melhora significativamente a postura de segurança das organizações para as quais é projetado. Ele faz algo por elas que elas não seriam capazes de fazer: lhes dá os benefícios de funcionalidade e segurança de um modelo de computação baseado em servidores, sem expô-las a riscos desnecessários relativos ao modelo de ameaça correspondente àquele para o qual o SBS foi projetado.

No entanto o próprio fato de que estamos tendo este debate aponta para uma tendência perturbadora na área de segurança de informações. Se você vai a uma loja de hardware para comprar uma fechadura para sua casa, nunca verá uma que mencione na embalagem: "esta fechadura impede roubos". Se visse, não a compraria, porque perceberia imediatamente que o fabricante está afirmando algo que não pode cumprir. Isso o deixaria muito desconfiado. Contudo, em segurança de informações, vemos o tempo todo software e hardware que afirmam ser "inquebráveis", que tornarão sua rede "impenetrável", ou que "vão garantir a segurança… de suas informações". Obviamente, nenhuma dessas afirmações é verdadeira; no entanto as pessoas compram esses produtos. A mesma percepção de compreensão inata da segurança como uma disciplina de gerenciamento de risco que nos conduz por nossas vidas parece sumir assim que começamos a lidar com computadores. Precisamos voltar ao básico. Volte a se dar conta de que embora não possamos estar seguros, podemos estar protegidos. E para estarmos protegidos, precisamos de segurança boa o suficiente.

Mais um pouco...

Se este artigo parece um panfleto de propaganda sobre o SBS, não era essa a intenção. A intenção era ressaltar que segurança não é um campo binário. Não se trata de estar ou não seguro. A questão é que podemos estar tão seguros quanto quisermos, mas se o nível de segurança não corresponde à sua filosofia de gerenciamento de risco, ou será inadequada ou vai acabar com a funcionalidade. Nenhuma das hipóteses é aceitável. Você precisa julgar sozinho se sua filosofia de gerenciamento de risco corresponde à de um produto de software que você está pensando em comprar. Se sim, avalie outros critérios. Se não, avalie se pode fazer o produto corresponder à sua filosofia a um custo mais baixo que o de produtos concorrentes. Se puder, avalie-o com outros critérios. Se o produto não é capaz de corresponder, considere outros e esteja preparado para pagar por um que corresponda.

Como sempre, esta coluna é para você. Se há algo que gostaria de ver, por favor envie uma mensagem clicando em "Fale Conosco" no final da página. Você pode também entrar em meu blog (em inglês). Lá encontrará uma thread em que podemos continuar as discussões sobre este artigo.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft