Introdução
Com a crescente conscientização de que a segurança cibernética é uma prioridade urgente para qualquer empresa, existe um mercado pronto para defesas de segurança automatizadas e inteligentes. A bala de prata contra malware e roubo de dados ainda está sendo desenvolvida (prometo!), mas, enquanto isso, existem hordas de fornecedores por aí que venderão a você a próxima melhor coisa.
O problema é, a quem você recorre? De acordo com, digamos, o cara do firewall de Palo Alto, o dispositivo dele é a principal coisa que você precisa para proteger melhor a propriedade intelectual da sua empresa, embora se você falar com o cara que vende o sandbox FireEye, ele pode discordar, dizendo que você precisa de um dos suas caixas para proteger sua empresa de malware. Mesmo assim, o cara da McAfee lhe dirá que a proteção de endpoint está onde está – sua abordagem Global Threat Intelligence deve cobrir você para todas as ameaças.
Em um aspecto, eles estão bem, tudo ao mesmo tempo – você precisa de uma abordagem em camadas para as defesas de segurança e quase nunca pode ter segurança 'demais'. Então, a resposta é tão simples quanto 'compre e implemente o maior número possível de produtos de segurança'?
Defesas de segurança cibernética – Você pode ter uma coisa boa demais?
Antes de elaborar sua lista de compras, esteja ciente de que tudo isso é muito caro, e a noção de comprar um firewall mais inteligente para substituir o atual, ou de comprar um dispositivo sandbox para aumentar o que seu MIMEsweeper já oferece em grande parte, exige uma pausa para pensar. Qual é o melhor retorno do investimento disponível, considerando todos os produtos de segurança oferecidos?
Indiscutivelmente, o produto de segurança com melhor custo-benefício não é realmente um produto. Ele não tem nenhuma luz piscando, ou mesmo um gabinete de aparência sexy que ficará bem em seu gabinete de comunicação, e os recursos da folha de dados não incluem nenhuma taxa de transferência impressionante de pacotes por segundo. No entanto, o que um bom processo de Gerenciamento de Mudanças lhe dará é visibilidade e clareza completas de qualquer infecção por malware, qualquer potencial enfraquecimento das defesas, além de controle sobre o desempenho da entrega de serviços também.
Na verdade, muitas das melhores medidas de segurança que você pode adotar podem parecer um pouco maçantes (em comparação com um novo kit para a rede, o que não parece maçante?) , as práticas recomendadas de segurança são essenciais.
Gestão de Mudanças – O Bom, o Mau e o Feio (e o Absolutamente Perigoso)
Existem quatro tipos principais de mudanças em qualquer infraestrutura de TI
- Boas Mudanças Planejadas (esperadas e intencionais, que melhoram o desempenho da prestação de serviços e/ou aumentam a segurança)
- Mudanças planejadas ruins (intencionais, esperadas, mas implementadas de forma inadequada ou incorreta que degradam o desempenho da prestação de serviços e/ou reduzem a segurança)
- Mudanças não planejadas boas (inesperadas e não documentadas, geralmente mudanças emergenciais que corrigem problemas e/ou aumentam a segurança)
- Mudanças não planejadas ruins (inesperadas, não documentadas e que involuntariamente criam novos problemas e/ou reduzem a segurança)
Uma infecção por malware, intencionalmente por um Inside Man ou hacker externo, também se enquadra na última categoria de Bad Unplanned Changes. Da mesma forma, um desenvolvedor desonesto implantando um backdoor em um aplicativo corporativo. O medo de uma infecção por malware, seja um vírus, Trojan ou o novo chavão em malware, um APT, normalmente é a principal preocupação do CISO e ajuda a vender produtos de segurança, mas deveria ser assim?
Uma mudança não planejada ruim que involuntariamente torna a organização mais propensa a ataques é uma ocorrência muito mais provável do que uma infecção por malware, pois cada alteração feita na infraestrutura tem o potencial de reduzir a proteção. Desenvolver e implementar um Hardened Build Standard leva tempo e esforço, mas desfazer o trabalho de configuração meticuloso leva apenas um engenheiro desajeitado para pegar um atalho ou digitar um erro de digitação. Toda vez que uma mudança não planejada não é detectada, a infraestrutura antes segura torna-se mais vulnerável a ataques, de modo que, quando sua organização for atingida por um ataque cibernético, o dano será muito, muito pior.
Para esse fim, não deveríamos levar o Gerenciamento de Mudanças muito mais a sério e reforçar nossas medidas preventivas de segurança, em vez de confiar em outro gadget que ainda será falível no que diz respeito a Zero Day Threats, Spear Phishing e incompetência de segurança direta?
O Processo de Gerenciamento de Mudanças em – Ciclo Fechado e Visibilidade Total de Mudanças
O primeiro passo é obter um Processo de Gerenciamento de Mudanças – para uma pequena organização, apenas uma planilha ou um procedimento para enviar um e-mail a todos os envolvidos para que eles saibam que uma mudança será feita, pelo menos, dá alguma visibilidade e rastreabilidade se surgirem problemas posteriormente. Causa e Efeito geralmente se aplica onde as alterações são feitas – o que foi alterado por último geralmente é a causa do último problema experimentado.
É por isso que, uma vez implementadas as mudanças, deve haver algumas verificações de que tudo foi implementado corretamente e que as melhorias desejadas foram alcançadas (que é o que faz a diferença entre uma Boa Mudança Planejada e uma Mudança Mal Planejada).
Para alterações simples, digamos que uma nova DLL seja implantada em um sistema, isso é fácil de descrever e simples de revisar e verificar. Para alterações mais complicadas, o processo de verificação também é muito mais complexo. Mudanças não planejadas, boas e ruins, apresentam um desafio muito mais difícil. O que você não pode ver, você não pode medir e, por definição, as Mudanças Não Planejadas são normalmente realizadas sem qualquer documentação, planejamento ou conscientização.
Os sistemas contemporâneos de Gerenciamento de Mudanças utilizam o Monitoramento de Integridade de Arquivos, oferecendo tolerância zero a mudanças. Se for feita uma alteração – atributo de configuração ou no sistema de arquivos – as alterações serão registradas.
Em sistemas FIM avançados, o conceito de uma janela de tempo ou modelo de mudança pode ser pré-definido antes de uma mudança para fornecer um meio de alinhar automaticamente os detalhes do RFC (Request for Change) com as mudanças reais detectadas. Isso fornece um meio fácil de observar todas as alterações feitas durante uma Mudança Planejada e melhora muito a velocidade e a facilidade do processo de verificação.
Isso também significa que quaisquer alterações detectadas fora de qualquer mudança planejada definida podem ser imediatamente categorizadas como alterações não planejadas e, portanto, potencialmente prejudiciais. A investigação torna-se uma tarefa prioritária, mas com um bom sistema FIM, todas as mudanças registradas são claramente apresentadas para revisão, idealmente com 'Quem fez a mudança?' dados.
Resumo
O Gerenciamento de Mudanças está sempre presente em qualquer padrão de segurança, como o PCI DSS, e em qualquer estrutura de Melhores Práticas, como SANS Top Twenty, ITIL ou COBIT.
Se o Gerenciamento de Mudanças faz parte de seus processos de TI ou seu processo existente não é adequado ao propósito, talvez isso deva ser tratado como prioridade? Juntamente com um bom sistema de monitoramento de integridade de arquivos corporativos, o gerenciamento de mudanças se torna um processo muito mais direto, e isso pode ser um investimento melhor agora do que qualquer novo gadget chamativo?
