Prevenção de ataques externos para sistemas de TI é uma tarefa enorme e crítica para a maioria das empresas. Mas o que as empresas estão fazendo para impedir ataques semelhantes quando eles vêm de dentro? Essa é uma pergunta que mais empresas devem estar se perguntando diante do número crescente de casos de sabotagem, causadores de grandes perdas monetárias e, muitas vezes deixando-as off-line por dias ou semanas.

Em meados de agosto, Jason Cornish, ex-consultor de TI da subsidiária da empresa farmacêutica japonesa Shionogi nos EUA, se declarou culpado de ter se infiltrado remotamente e sabotado a infraestrutura de TI da empresa, em fevereiro deste ano. Ele apagou 15 sistemas VMware que serviam de base a sistemas de e-mail, rastreamento de pedidos, dados financeiros e outros serviços da companhia de Nova Jersey.

“O ataque de fevereiro congelou as operações da empresa por alguns dias, deixando funcionários sem poder enviar mercadorias, descontar cheques ou mesmo se comunicar por e-mail”, afirmou o Departamento de Justiça dos EUA em uma ação judicial. O custo total para a Shionogi foi de 800 mil dólares.

Usando uma conta da Shionogi, Cornish pôde entrar na rede da empresa e disparar o console de gerenciamento vSphere VMware que ele havia instalado em segredo na rede da companhia algumas semanas antes. Pelo vSphere, ele apagou 88 servidores da empresa dos sistemas de hospedagem VMware, um a um.

Analistas de segurança de TI dizem que incidentes deste tipo devem servir de alerta de que as empresas trabalhem duro contra ataques semelhantes, observando etapas básicas de segurança e bom senso. É fundamental lembrar que as ameaças de intrusão podem vir de dentro de suas paredes corporativas a qualquer momento, e não apenas de fora de seus firewalls.

"A única coisa a fazer é tentar separar as funções de modo que tudo o que aconteça exija complicidade entre duas pessoas ou mais para realizar a fraude ou causar danos", diz Pete Lindstrom, analista de Segurança da Spire. "A maneira mais simples de fazer isso é adotar medidas pró-ativas e um sistema de registro ou acompanhamento que grave as atividades de cada sistema."

O desafio, diz Lindstrom, é que os funcionários encarregados da interface entre as áreas de negócios e as equipes de TI são frequentemente tidos como peritos em seus departamentos e sabem como contornar tais proteções. " Um atacante muito inteligente pode fazer muita coisa para se esconder", completa.

Além de manter uma separação de funções, é importante saber quem realmente sua empresa está contratando para assumir as tarefas essenciais da TI. "Certamente você deveria verificar os antecedentes", diz Lindstrom. "Se contratar alguém que sabidamente tenha um histórico de pirataria, esse é um risco que você precisa avaliar."

As empresas também devem trabalhar duro para limitar o uso de contas de administrador de TI que são compartilhadas entre integrantes da equipe, diz ele. "Você deve tentar convencer os administradores que eles não devem querer a responsabilidade de ter todos os acessos, uma vez que todo policial parte do princípio de que toda sabotagem pode partir, inicialmente, de alguém da própria empresa e se algo acontecer, eles serão os primeiros suspeitos."

Delinear claramente quais membros da equipe de TI têm privilégios e responsabilidades específicas é crucial para prevenir ataques internos, diz Lindstrom.

Dan Twing, presidente e COO Enterprise Management Associates, alerta para o fato de que vários passos importantes podem ser tomados pelas empresas para se proteger contra sabotagem interna antes que ela ocorra:

1:: Criar e manter uma boa documentação para redes e recursos utilizados por diversos integrantes do departamento de TI. Isso significa ter registros e controles fimes de senhas e pontos de acesso, bem como documentação clara da infraestrutura de sistemas, no local e fora das instalações. "Há tanta coisa que não está documentado pelos departamentos de TI", diz ele. "Algumas pessoas de TI não escrevem as coisas para que possam posar de heróis em uma emergência ao correrem para consertar as coisas, ou por serem preguiçosos demais para isso."

2:: Manter sempre uma conta de acesso do tipo "super administrador", para que sua empresa possa manter o alto nível de controle sobre seus sistemas de modo a combater e evitar a infiltração. Certifique-se que as atribuições dessa conta estejam claramente documentadas e sob controle de poucos funcionários seniores e de confiança da corporação.

3:: Crie procedimentos para mudanças rápidas e claras para as senhas administrativas, para que nenhum trabalhador possa fazer mudanças no sistema ao deixar a empresa. Se eles precisam de acesso para alguma coisa, eles podem ter acesso compartimentado, supervisionado por outros membros da equipe de TI.

4:: Use ferramentas de TI que permitam que você defina limites e alertas quando atividades inesperadas ocorrerem na rede. Esse cuidado pode ser fundamental para detecção de possíveis sabotagens. "Lembre-se que você precisa estar monitorando processos e sistemas internos, tanto quanto monitora o seu perímetro para manter os hackers afastados", diz ele. "Pelo menos você pode parar algo interno antes que se torne grande. Não basta assumir que o seu perímetro externo é o único lugar onde as coisas ruins podem acontecer."

Segundo Andrew Walls, analista de segurança do Gartner, o ponto crítico em tudo isso é garantir que o seu pessoal de TI tenha os poderes necessários para fazer seu trabalho e, ao mesmo tempo, estabelecer limites sobre os sistemas.

"Muitas organizações têm essa idéia de que a infraestrutura de TI é um mundo misterioso e que os magos que residem lá têm que ser sempre confiáveis", diz Walls. "Essa ideia caiu por terra há muito tempo. As mesmas regras que governam o resto do pessoal da sua empresa têm que se aplicadas à sua equipe de TI."

No caso da Shionogi, Paredes chama atenção para a ironia do fato de o ex trabalhador de TI ter usado ferramentas licenciadas pela empresa para causar o dano, que poderia ter sido evitado se o seu acesso à rede tivesse sido removido de imediato, antes ou até 20 minutos após a sua saída da empresa. "Em termos inequívocos, se você demite uma pessoa, seu acesso deve desaparecer imediatamente, e não em cinco ou 20 horas. Em muitas organizações, eles realmente começam a remover os privilégios de acesso antes que a pessoa tenha deixado o prédio. Foi esse descuido que permitiu o ataque."

No caso da Shionogi, Cornish renunciou depois de uma disputa, mas a empresa o contratou como temporário para que pudesse terminar um projeto para eles, de acordo com o IDG News Service. Poderia ter sido um erro fatal, diz Paredes.

"Preocupo-me com uma organização que diz: 'Nós não gostamos do que esse cara está fazendo. Vamos transformá-lo em um terceirizado e, por isso, manter seus privilégios de acesso", diz Walls. "Se alguém não é confiável para ser empregado, não deve ter acesso ao seu ambiente. E se o seu sistema é tão complicado que você não possa substituir um membro de sua equipe rapidamente, então você tem um problema maior."

Uma maneira simples de ajudar a evitar tais problemas é trabalhar em conjunto com as áreas de negócios, como uma única equipe, e conhecer bem cada membro dessa equipe.

"O gerente de negócios precisa ter relação pessoal com os seus gestores de TI e conhecê-los pelo primeiro nome," opina Walls. "Precisam se falar regularmente. A empresa precisa saber quando uma pessoa de TI está saindo dos trilhos e a única maneira de fazer isso é ter relações pessoais e conhecer uns aos outros. Pessoas de TI não deve ser tratadas como “pessoal de suporte”, isoladas em uma mesa separada, mas como parte da empresa e parte da equipe."

O governador Eduardo Campos (PSB) inaugurou na tarde desta quinta-feira (18), em Prazeres, Jaboatão dos Guararapes a quinta Área Integrada de Segurança (AIS), como parte do programa estadual Pacto pela Vida. Foram investidos cerca de R$ 4,7 milhões na construção, mobiliário e climatização do prédio. A AIS de Prazeres atenderá os municípios de Jaboatão e Moreno.

Em uma área de mais de três mil metros quadrados, com 127 salas distribuídas no térreo e piso superior, a AIS de Prazeres abrigará unidades da Polícia Militar, Polícia Civil e Polícia Científica, através do Instituto de Medicina Legal - IML. No local funcionarão o 6º Batalhão de Polícia Militar, a 6ª Delegacia Seccional de Polícia Civil, a 19ª Delegacia Circunscricional de Polícia Civil, a 2ª Delegacia da Mulher, a 2ª Delegacia de Polícia de Crimes contra A Criança e O Adolescente e Atos Infracionais e um Posto de Atendimento Clínico do Instituto Médico Legal - IML Vivos, para a realização de perícias traumatológicas.

De acordo com o prefeito de Jaboatão dos Guararapes, Elias Gomes (PSDB), a iniciativa só tem a contribuir para a redução da criminalidade no município. “O Estado (Pernambuco) tem que se compreender como uma unidade, o Governo Federal tem que entender que a Segurança é um problema de Estado, pois só assim reduzimos os índices de violência como vem acontecendo em Jaboatão. Somos o município que mais tem reduzido as taxas de homicídio em Pernambuco”, disse o prefeito. Gomes ainda sugeriu que a Segurança seja incluída na pauta do Governo Federal com a mesma importância dada a assuntos como Educação e Saúde. O prefeito também destacou que há um novo projeto de lei, ainda em tramitação no Congresso Nacional, para implementação de um novo batalhão em Jaboatão.

Para o governador Eduardo Campos com a inauguração da nova AIS a população da região é beneficiada, por causa da integração entre Poder Judiciário, Ministério Público e polícias. “Essas forças todas em um só lugar agilizam o encaminhamento e a resolução das demandas de violência”, disse o governador. “Esse é um avanço para o Pacto pela Vida, pela integração, favorecida por esse ambiente compartilhado”, assegurou. Ele também cobrou das autoridades do judiciário que não haja morosidade em julgar os casos. “Não deixem os processos nas gavetas aguardando. Agilizem os processos”.

Já o secretário executivo de Defesa Social, Alessandro Carvalho, disse que o fato de os policias trabalharem em um mesmo local facilita o planejamento e a execução das ações nas regiões de Jaboatão e Moreno

A Área Integrada de Segurança de Jaboatão é a quinta das 26 previstas para serem inauguradas até o fim da gestão de Eduardo Campos. Já foram entregues os prédios sedesdas AIS 5 - Apipucos, a AIS 4 na Várzea,  AIS 16 Limoeiro e a AIS 16 emPalmares. Petrolina e Caruaru são os próximos municípios a receberem as suasáreas integradas.

"FAXINA"
Em seu discurso o prefeito Elias Gomes falou sobre a faxina nos ministérios promovida pela presidente Dilma Rousseff. “Espero que a faxina não fique só nisso, mas que a presidenta faça todas as trocas necessárias para que seja recuperada a confiança do povo brasileiro no Governo”, recomendou.

Os ambientes de TI estão crescendo e tornando-se mais complexos e difíceis de gerir, fazendo com que softwares e appliances para segurança da informação, conhecidos como SIEM (Security Information and Event Management - Gerenciamento de Eventos e Informações de Segurança) fiquem mais importantes do que nunca. A seguir, cinco razões pelas quais elas ganharam esse status no ambiente de TI:

1-Compliance: quase todas as empresas estão vinculadas a algum tipo de regulação. Alcançar e manter conformidade com a regulamentação é uma tarefa difícil. As tecnologias SIEM podem atender aos requisitos de conformidade tanto direta quanto indiretamente.

Praticamente toda exigência reguladora requer alguma forma de gerenciamento de registros para manter um rastro da atividade. O SIEM fornece um mecanismo para rápida e fácil implementação de uma infraestrutura de coleta de logs, que suporta diretamente esse requisito, e permite o acesso instantâneo a dados de registro recentes, bem como arquivamento e recuperação de dados de logs mais antigos. É preciso ter capacidade de alerta e de correção que satisfaça requisitos de rotina de logs e de revisão de dados.

2-Suporte de Operações: o tamanho e a complexidade das empresas de hoje crescem exponencialmente, junto com o número de pessoal de TI para suportá-los. As operações são frequentemente divididas entre diferentes grupos, como o Network Operations Center (NOC), o Security Operations Center (SOC), e a área de desktop. Cada um com suas próprias ferramentas para monitorar e responder aos eventos.

O cenário dificulta o compartilhamento de informações e a colaboração quando ocorrem problemas. Mas as tecnologias de gerenciamento de incidentes (SIEM) podem extrair dados de sistemas distintos em um único painel, permitindo a colaboração eficiente entre as equipes de empresas de grande porte.

3- Detectar ameaças 0-day: novos vetores de ataque e vulnerabilidades são descobertos a cada dia. Soluções como Firewalls e IDS/IPS observam todas as atividades maliciosas em vários pontos da infraestrutura de TI. No entanto, muitas dessas soluções não estão equipadas para detectar ataques 0-day. O SIEM pode detectar a atividade associada a um ataque, em vez do próprio ataque. Ele pode ser configurado para detectar a atividade em torno de tal ataque. Muitos SIEMs oferecem capacidades para maior monitoramento e controle dos processos e conexões de rede. Ao correlacionar atividade do processo e conexões de rede, pode detectar ataques, sem ter de inspecionar pacotes ou cargas. Enquanto IDS/IPS e AV desempenham bem suas funções, o SIEM fornece uma rede de segurança que pode travar atividades maliciosas que escapam das defesas tradicionais.

4- Ameaças persistentes avançadas: as APTS, sigla em inglês para ameaças persistentes avançadas, têm sido muito divulgadas. Especialistas afirmam que elas são responsáveis pelas violações mais graves. Geralmente, uma APT é definida como um ataque sofisticado que tem como alvo uma parte específica de dados ou da infraestrutura, utilizando uma combinação de vetores de ataque, com métodos, simples ou avançados, para evitar a detecção. Em resposta, muitas organizações têm implementado uma estratégia de defesa de profundidade em torno de seus ativos críticos utilizando firewalls e IDS/IPS no perímetro.

Todos esses dispositivos geram uma enorme quantidade de dados, que é difícil de controlar. A equipe de segurança não pode realisticamente ter oito painéis abertos e correlacionar eventos entre diversos componentes com rapidez suficiente para acompanhar os packets que atravessam a rede. As tecnologias SIEM trazem todos esses controles juntos em um único motor, capaz de monitorar continuamente em tempo real, e fazendo a correlação entre a amplitude e a profundidade.

Mas e se um ataque não é detectado pelo SIEM? Depois que um host está comprometido, o atacante ainda deve localizar os dados de destino e extraí-los. Alguns motores de correlação SIEM são capazes de monitorar um limite de valores únicos. Por exemplo, uma regra que procura por um determinado número de tentativas de acesso sem sucesso na porta 445 (ou portas 137, 138 e 139 se o NetBIOS é usado) a partir do mesmo host dentro em um curto espaço de tempo seria identificar uma varredura para pastas compartilhadas. Uma regra semelhante à procura de portas de banco de dados padrão indicaria uma varredura para bancos de dados escutando a rede.

Por meio da integração de listas brancas com SIEM, torna-se trivial identificar quais hosts e contas estão tentando acessar dados que não deveriam. Enquanto isso, a implementação de Monitoramento de Integridade de arquivo com uma SIEM pode correlacionar os dados que esão sendo acessados com o tráfego de rede de saída a partir do mesmo host para detectar vazamento de dados.

5- Forensics: uma investigação pode ser um processo longo e arrastado. Não apenas um analista forense deve interpretar o log de dados para determinar o que realmente aconteceu, como deve preservar os dados, usando procedimentos que sejam admissíveis em um tribunal de direito. Ao armazenar e proteger registros históricos, fornecendo ferramentas para navegar rapidamente e correlacionar os dados, tecnologias SIEM permitem investigações rápidas, completas e com corte forense admissível.

Como os dados de log são como se fossem impressões digitais das atividades dentro das estruturas de TI, eles podem ser extraídos para detectar problemas de compliance reguladoras relacionadas à segurança. Consequentemente, a tecnologia SIEM, com a sua capacidade de automatizar o monitoramento de logs, correlacionar, reconhecer padrões, alertar e investigações forenses, está emergindo como um sistema fundamental criar uma TI inteligente.

*Gerente de engenharia do conhecimento da LogRhythm.

A legislação que regulamenta exigências para a atividade de motofretista entra em vigor nesta quarta-feira (3), de acordo com a Resolução CONTRAN 356/2010.Os condutores terão que portar equipamentos como protetor de pernas (mata-cachorro) e antena aparadora de linhas de pipa, além de passarem por curso especializado (em Pernambuco os cursos são oferecidos pelo SEST/SENAT) e registro do veículo na categoria de aluguel.

Os condutores que se adequarem às exigências deverão procurar as unidades do DETRAN para se regulamentar. Quem não cumprir as determinações da Resolução comete infração grave, que implica em 5 pontos na Carteira Nacional de Habilitação (CNH) e multa de R$ 127,69.Entretanto, de início, a fiscalização irá apenas orientar os motociclistas que estão fora das exigências. 

Entre as principais mudanças também está  a proibição de transporte de botijões de gás ou água, exceto quando utilizado o side-car (dispositivo de uma única roda preso a um lado da motocicleta).