O popular princípio “se não está quebrado, não conserte” reinou supremo no mundo da computação desde o ano. No entanto, tornou-se um luxo inacessível. A proliferação de ataques cibernéticos – inclusive em organizações científicas e médicas – apresenta um dilema real para os serviços de TI e segurança da informação. Para proteger o hardware crítico contra ataques, seu software deve ser atualizado. Afinal, software desatualizado significa vulnerabilidades fáceis de explorar, criptografia primitiva ou inexistente e controle de acesso rudimentar — o sonho de todo cibercriminoso. Mas a atualização desse software geralmente envolve grandes despesas, além do risco de causar estragos nos processos de negócios. É realmente tão complicado e, de qualquer forma, como o problema pode ser resolvido?
Os riscos da atualização
Muitos sistemas funcionam sem problemas há anos – às vezes décadas. Eles não são atualizados porque seus proprietários de negócios temem que as atualizações possam interromper os sistemas de forma irrecuperável. Tais temores não são infundados. As pessoas que instalaram e inicialmente configuraram os sistemas podem estar aposentadas há muito tempo, e a documentação pode ser perdida ou nunca ter existido. Às vezes isso se manifesta de formas extremas; por exemplo, o Internal Revenue Service dos EUA ainda usa computadores e programas da década de 1970 na quase morta linguagem COBOL . Talvez o fornecedor de hardware tenha sido vendido ou adquirido, fechado o negócio ou falido. Isso também não é nada incomum: este ano, a gigante de caixas eletrônicos Diebold Nixdorf entrou com pedido de falência.
Em todos esses casos, não há suporte técnico para ligar caso uma atualização dê errado.
Além disso, o hardware de longo prazo forma conexões com outros sistemas da empresa, e essas interconexões podem ser obscurecidas e/ou mal documentadas. Como consequência, um desligamento do sistema pode causar falhas em cascata ou mau funcionamento em outros sistemas que são difíceis de antecipar e prevenir. A recuperação de tal incidente pode levar dias ou semanas, e o custo do tempo de inatividade pode ser enorme.
Custos de atualização restritivos
Mesmo que o sistema não esteja muito interligado e esteja bem documentado, a atualização ainda pode estar fora de questão devido aos custos exorbitantes envolvidos. Por exemplo, a necessidade de desativar um sistema operacional legado em uma máquina de ressonância magnética pode exigir a compra de um novo dispositivo. O custo (cerca de meio milhão de dólares) é muito alto por si só. Mas o problema não se limita ao preço do scanner. Sua instalação requer um guindaste, e talvez a desmontagem de parte da parede, e as paredes da sala teriam que ser blindadas com uma gaiola de Faraday. Portanto, isso não é mais uma atualização de TI, mas um grande projeto de construção. Se o sistema estiver profundamente entrelaçado com equipamentos legados e software igualmente obsoleto, a substituição do hardware exigiria a recodificação ou a compra de um novo software, o que pode ser outro projeto demorado e caro.
Medidas compensatórias
Assim como carros antigos caros são mantidos em uma garagem e pinturas valiosas em um contêiner especial com atmosfera controlada, também os sistemas que não são substituíveis nem totalmente atualizáveis requerem uma abordagem especial para manutenção. Todas as medidas possíveis devem ser tomadas para reduzir a superfície de ataque. Abaixo está uma pequena lista de possíveis medidas compensatórias para proteger os sistemas legados de TI:
Segmentação de rede. Segregar equipamentos legados vulneráveis em um segmento de rede separado ajudará a minimizar o risco de ataques cibernéticos. Você deve buscar um alto grau de isolamento — incluindo a separação física da rede e do equipamento de comutação. Se isso não for realista, certifique-se de verificar regularmente se os firewalls e roteadores estão configurados para manter o isolamento adequado da rede “normal”. Também é importante rastrear violações comuns de regulamentos por parte dos funcionários — como acessar uma rede isolada e compartilhada por meio de diferentes interfaces de rede a partir de um computador.
Criptografia. Para sistemas que trocam informações com outros computadores usando protocolos desatualizados, é recomendável criar túneis VPN com base nos algoritmos de criptografia e autenticação mais recentes. A troca de dados fora do túnel deve ser bloqueada.
Atualizações. Mesmo que uma atualização para um sistema moderno esteja fora de questão, isso não significa que você não possa instalar nenhuma atualização. Uma atualização passo a passo para as versões mais recentes disponíveis do software principal e atualizações regulares do banco de dados para sistemas de proteção instalados serão preferíveis à desativação.
Microssegmentação de processos. Se um processo de negócios em um sistema legado permite a fragmentação, é uma boa ideia deixar nele apenas as partes do processo que não podem ser transferidas para equipamentos mais novos. Transferir até mesmo parte da carga de trabalho para uma plataforma atualizável moderna tornará mais fácil proteger o que resta. Por exemplo, as imagens de ressonância magnética não podem ser obtidas fora do scanner, mas podem ser carregadas no servidor da clínica, visualizadas e analisadas em computadores mais novos.
Lista fechada de aplicativos. A dica anterior reduz ao mínimo o intervalo de trabalho realizado em equipamentos legados. Aplicativos e processos que fazem parte desses trabalhos podem ser adicionados à lista de permissões e todos os outros à lista de proibições. Isso reduzirá significativamente o risco de execução de malware ou apenas software de terceiros que afeta a estabilidade do sistema. Esse cenário de “negação padrão” pode ser implementado usando soluções de segurança especializadas , que são capazes de operar em sistemas com recursos limitados.
Virtualização. Nos casos de software legado rodando em hardware legado, o uso de máquinas virtuais pode resolver dois problemas: permite pelo menos atualizar o hardware e implementar uma série de medidas compensatórias (como controle de acesso moderno e criptografia) no sistema de virtualização e os níveis do sistema host. Essa dica pode funcionar bem mesmo para alguns sistemas de processamento de informações muito antigos.
Minimização de acesso e privilégios. O acesso ao equipamento legado (mais especificamente, ao seu hardware de computador) deve ser concedido ao número mínimo necessário de funcionários com privilégios extremamente limitados. Se a arquitetura do sistema não permitir a configuração necessária de direitos e usuários, você pode tentar implementar essas restrições em um estágio de acesso anterior (durante o login na VPN ou máquina virtual, etc.), bem como restringir o acesso por meio de medidas puramente administrativas (fechaduras e segurança).
Obviamente, isso exigirá uma avaliação cuidadosa da aplicabilidade de cada medida e dos riscos relacionados ao bom e seguro funcionamento da tecnologia que está sendo implementada.
À prova de futuro
A aplicação de medidas compensatórias a equipamentos legados não é, de forma alguma, apenas uma tarefa de infosec. Os especialistas da Infosec precisam ter uma lista completa de equipamentos obsoletos em uma empresa e acompanhar quando sua substituição é iniciada por motivos comerciais. Este é um bom momento para atualizar de acordo com os requisitos de segurança mais recentes.
Mais importante, você precisa garantir que os sistemas que estão sendo implantados hoje — que algum dia se tornarão obsoletos — não herdem os mesmos problemas. Para isso, todos os requisitos de infosec devem ser levados em consideração na compra de hardware e software: atualização regular e fácil dos componentes de software; documentação de bugs e vulnerabilidades; e, idealmente, uma filosofia de design seguro.
Para software desenvolvido internamente ou forks de código aberto (que estão se tornando mais populares entre as empresas), é vital definir requisitos rigorosos para a documentação do código. Em um cenário ideal, a produção de documentos deve se tornar parte do pipeline DevSecOps tanto quanto os autotestes.
