Gerenciamento de segurança - Compensações fundamentais

Jesper M. Johansson
Gerente do programa de segurança da Microsoft Corporation

Bem-vindos à coluna Gerenciamento de segurança no Microsoft® TechNet®. Essa é uma nova coluna dedicada à segurança de administração de sistemas e redes. Como a coluna ainda não tem uma programação, podemos esperar por novos artigos publicados todo mês ou a cada dois meses. O objetivo dessa coluna é mostrar como aperfeiçoar a segurança da rede e ajudá-lo a compreender os tipos de problemas de segurança comuns. Além disso, ela também mostra como aperfeiçoar a postura de segurança e, ao mesmo tempo, manter o alto nível de disponibilidade que os usuários e o gerenciamento exigem. O Infosec (segurança de informações), do qual a segurança de rede é parte fundamental, é um processo. Não é um estado finito e nem algo que pode ser ativado e utilizado. O Infosec é como um recém-nascido que precisa de muitos cuidados, agrados e atenção. Uma parte do enfoque dessa coluna destina-se ao trabalho contínuo que deve ser executado para aperfeiçoar a segurança da rede. Nesse primeiro artigo, vou descrever as compensações fundamentais que devem ser consideradas para melhor proteção das redes.

Compensação fundamental

Antes de vir para a Microsoft, passei 12 anos administrando redes de vários tamanhos com capacidade total ou parcial. Nesses 12 anos, tornou-se muito óbvio para mim que nunca ninguém vai procurá-lo para dizer que a rede está com um ótimo funcionamento. Nunca, nos meus 12 anos como administrador de rede, atendi a um telefonema de alguém dizendo que o email estava funcionando, que os usuários podiam imprimir documentos sem que ocorresse falha na impressora e que os arquivos estivessem disponíveis sem problemas. Os telefonemas que recebia eram sempre às 5:00 da manhã, no sábado, de alguém histérico com problemas de conexão de rede. Isso me fez pensar em duas coisas:

1. As pessoas que me ligavam às 5:00 eram normalmente aquelas que interrompiam a rede em primeiro lugar.
2. A tecnologia da informação trabalha adequadamente apenas quando os usuários param de pensar em como e por que ela funciona.

Enquanto minha observação acima parece não ter nexo, a segunda observação é um exemplo do que chamo de "princípio de transparência". Os usuários, diferentemente de muitos administradores, não estão interessados na tecnologia para a tecnologia. Na verdade, eles não estão interessados em tecnologia de modo geral. Os usuários querem apenas que ela funcione, para que seus trabalhos sejam feitos sem que haja necessidade de pensarem por que e como. O desafio final para a tecnologia de informações é ser invisível - complemente transparente para o usuário. Quando os usuários precisam pensar em tecnologia é porque algo não está funcionando do modo que deveria ou porque eles não conseguem acessar os recursos que desejam. Quando os gerentes têm que pensar em tecnologia é, normalmente, porque eles precisam gastar mais dinheiro com ela. Basicamente, o trabalho dos administradores de rede é tornarem-se invisíveis.

Então, qual é a relação disso com a segurança? O problema é que enquanto a administração de rede deve garantir que os usuários possam obter tudo de que precisam, a segurança deve restringir o acesso a recursos, etc. Um colega meu costumava ironizar "acesso negado? Ótimo, a segurança está funcionando". Isso significa que a administração de segurança é fundamentalmente oposta à administração de rede - elas têm, na verdade, objetivos conflitantes. Aqui temos uma compensação elementar que deve ser considerada.

A transparência pode ter muitas formas. A tecnologia deve ser fácil de usar. Contudo, a pesquisa de aceitação de tecnologia, feita pelo Professor Fred Davis em Sistemas de informação de gerenciamento, comprovou que a tecnologia também precisa ser útil, isto é, precisa ter algum tipo de funcionalidade determinante, para ser aceita pelos usuários. Vou juntar todos esses conceitos em um termo "útil". Essencialmente, a compensação está entre a segurança e a usabilidade. O sistema mais seguro é aquele desconectado e fechado em um cofre.

Isso tem implicações para todas as tecnologias de software. Ao instalar um aplicativo em qualquer sistema operacional, você habilita funcionalidades adicionais que podem tornar seu sistema menos seguro, pois o aplicativo aumenta a superfície de ataque do sistema. Em um próximo artigo discutiremos os aspectos ambientais de segurança mais robusta e observaremos como você analisa o cenário de utilização para aumentar a robustez de um sistema, de modo otimizado.

Podemos tornar qualquer tecnologia mais segura, mas fazendo isso, provavelmente a tornaremos menos útil. Então, como podemos torná-la mais segura e mais útil? Esse é o ponto em que o terceiro eixo da compensação entra em cena. Qualquer bom engenheiro conhece os princípios "bom, rápido e barato". Você precisa escolher dois.

Recentemente, estava visitando um cliente para ajudá-lo a projetar uma arquitetura de rede para segurança. Durante nossa conversa, ficou claro que as pessoas estavam lutando com uma compensação entre segurança e usabilidade. Tornando a rede mais segura, por um lado, eles teriam de torná-la menos útil, por outro. Depois de 15 minutos de discussão eu fui até ao quadro branco e escrevi:

Então, olhei para o CIO e disse que ele deveria escolher dois dos itens. Ele pensou por alguns segundos e, em seguida, disse: "OK. Escolherei seguro e útil". De repente, todos sabiam com o que tinham de trabalhar, e o assunto da discussão passou a ser os recursos que seriam necessários para tornar o sistema seguro e útil.

Essa compensação fundamental entre segurança, usabilidade e custo é extremamente importante. Sim, é possível ter segurança e usabilidade, mas para isso há um custo em termos financeiros, de pessoal e de tempo. É possível tornar algo útil e econômico, e não é tão difícil tornar algo seguro e econômico. Contudo, tornar algo seguro e útil exige muito esforço e reflexão. A segurança exige planejamento e recursos.

Fazer com que os administradores de sistema e de rede gerenciem a segurança não é uma atividade produtiva, pois essas categorias de trabalho têm incentivos conflitantes. Como um administrador de sistema ou de rede, seu trabalho é garantir a funcionalidade dos sistemas e da tecnologia, sem que o usuário tenha que pensar nela, e tornar a tecnologia transparente. Como um administrador de segurança, seu trabalho é exatamente o oposto. Somente alguém com dupla personalidade pode ter sucesso em ambas as funções. Tentar favorecê-las é agir como o Dr. Jekyll e o Sr. Hyde. O que você obterá com uma ótima revisão de desempenho em uma área é exatamente o que gastará com os pontos de outra. Isso pode ser um problema hoje, por que muitos daqueles de gerenciam o Infosec são administradores de rede ou de sistemas que também são administradores de segurança. A princípio, um administrador de segurança deve ser alguém que compreenda a administração de sistema e de rede, mas cujo trabalho seja pensar primeiro sobre segurança e depois sobre usabilidade. Essa pessoa precisaria trabalhar com os administradores de rede/sistemas, e obviamente as duas funções devem ser ocupadas por pessoas que possam trabalhar juntas. Contudo, o conflito é uma necessidade na relação entre segurança e usabilidade. Somente com duas pessoas com objetivos diferentes, você poderá encontrar a melhor solução entre segurança e usabilidade para seu ambiente.

Na verdade, há vários meios de solucionar essa compensação. Cada tecnologia do fornecedor é usada em diferentes organizações. Se usarmos "esforço” como uma pré-condição para o eixo "barato” na compensação, poderemos visualizar que a quantidade de esforço que o fornecedor faz para tornar a tecnologia útil e segura irá alterar a quantidade de esforço que o cliente faz na mesma tarefa. A equação é simples:

A relação não é diretamente 1 para 1, porque há diferenças no que diz respeito à eficiência de cada um. Em outras palavras, nem tudo que o fornecedor faz para tornar o produto mais seguro e mais útil beneficiará o cliente. Contudo, parte do esforço que um fornecedor faz para tornar um produto mais seguro e mais útil beneficiará o cliente.

Como exemplo disso, veja o IPSec no Windows 2000 e posterior. O IPSec é, sem dúvidas, uma das tecnologias de segurança mais úteis disponíveis no Windows e em muitos sistemas operacionais não-Windows. Por exemplo, o IPSec era um dos principais mecanismos de proteção usados na entrada bem-sucedida da Microsoft no concurso eWeek's OpenHack IV, em 2002. (Para obter informações adicionais sobre como a entrada da Microsoft no OpenHack IV foi protegida, consulte https://msdn.microsoft.com/library/en-us/dnnetsec/html/openhack.asp) (site em inglês). Ele é incrivelmente versátil. Ele também é a solução para a inimizade de usuários. A maioria das pessoas não usam a interface de usuário complexa. Se você conseguir controlá-la, normalmente cairá em uma das bobagens sobre o IPSec: ele é muito melhor no bloqueio de tráfego que na permissão de tráfego. Há algumas ferramentas de análise que ajudam a descobrir porque o tráfego não é transmitido. Na versão mais recente do Windows, o Windows Server 2003, o monitor de rede foi aprimorado para permitir uma análise do tráfego do IPSec, reduzindo bastante o esforço que deveria ser feito pelos clientes, na solução de problemas, para que compreendessem o IPSec. Com o esforço feito pela Microsoft para tornar o IPSec útil, a implantação do esforço feito pelos clientes seria bastante reduzida, diminuindo, assim, o custo de tornar as redes seguras e úteis. O que temos é um efeito gangorra entre o custo do fornecedor e o custo do cliente.

Isso significa que tudo tem um preço, um custo. Um produto que custa mais pode ser mais seguro e útil que um produto que custa menos. É claro que há outros fatores que devem ser considerados aqui, mas essas compensações são geralmente corretas.

Conclusão

Os administradores de segurança deparam-se com algumas compensações interessantes. Basicamente, a escolha a ser feita é entre um sistema seguro e útil, entre um sistema seguro e barato e entre um sistema barato e seguro. Não é possível ter tudo. A prática recomendada é escolher uma única pessoa para ser responsável pela administração de segurança e do sistema. Os objetivos dessas duas tarefas estão longe de representar um conflito no que diz respeito a tornar esse trabalho um trabalho em que alguém possa ter sucesso.