Por mais que possa parecer simples, o gerenciamento de todo o inventário de hardware e software que a organização possui é importantíssimo para o processo de gestão da segurança da informação e segurança cibernética. Isto porque, para se garantir o controle e a proteção dos ativos tecnológicos é preciso em primeiro lugar conhecê-los!
Por meio do gerenciamento de inventário de hardware e software as equipes de TI, passam a ter o conhecimento e controle dos ativos tecnológicos tanto na questão de hardware (computadores, servidores, roteadores, switches, etc.) quanto na questão de software (sistemas de informação, aplicativos desktop, aplicativos de comunicação, etc.) o que permite, por exemplo: (a) saber se o parque tecnológico encontra-se adequado com relação a poder de processamento, memória e armazenamento para atender as necessidades e demandas impostas pelas estratégias da organização; (b) controlar a aquisição e licenciamento de softwares de acordo com as necessidades; © monitorar questões relacionadas a pirataria de software ou roubo interno de peças de hardware; (d) ter um controle sobre as configurações realizadas em desktops e servidores e assim por diante.
Realizar o gerenciamento de inventário de hardware e software de uma organização, significa realizar uma lista contendo todos os equipamentos de TI e todas as ferramentas de TI utilizados na organização. Como resultado, os gestores e as equipes de TI conseguem visualizar os principais ativos e ferramentas.
Cabe ressaltar que neste inventário irá conter além dos dispositivos computacionais tais como computadores e servidores e respectivamente os programas (softwares) utilizados na organização, também deverão constar: (a) licenças de uso dos programas; (b) dispositivos mobiles tais como: smartphones, netbooks, notebooks, tablets e qualquer outro; © objetos pertencentes a TI e, quaisquer outros itens utilizados pela TI.
Mas, por que inventariar a TI? Bem, uma das principais vantagens em realizar o gerenciamento do inventário de hardware e softwares está em manter sempre uma lista atualizada do parque tecnológico da organização, a fim de: (a) detectar e prevenir futuros problemas relacionados à incompatibilidade de recursos computacionais versos novas tecnologias; (b) prevenir e corrigir de forma pró ativa, problemas relacionados a configurações; © conformidade e auditoria perante fabricantes ou desenvolvedores de softwares com relação a licenciamento de uso e pirataria de software; (d) auxiliar na tomada de decisões com relação a comparação de melhores soluções tecnológicas através de estudos relacionando custo versus benefício por produtividade e redução de custos, dentre outros.
Atualmente existem diversas soluções para o gerenciamento de inventário de hardware e software, algumas delas requerem a compra ou licenciamento de uso, outras por sua vez são totalmente open sources. Porém, não necessariamente a equipe de TI precisa de uma solução específica. No geral, organizações de pequeno ou médio porte optam em fazer esse controle por meio de planilhas, não que esteja errado. Mas, com certeza dá um trabalho maior se comparado com soluções tecnológicas automatizadas que capturam todas as informações necessárias de forma automática que uma lista de inventário precisa.
Acredito que você já percebeu até aqui, que a preocupação das equipes de segurança são muitas. Uma das mais importantes é a gestão de vulnerabilidades. Ou seja, o gerenciamento e análise dos pontos fracos presentes nos ativos de TI e que possam ser explorados por uma ou mais ameaças.
Podemos compreender a gestão de vulnerabilidades como um processo que irá identificar, monitorar, analisar e mitigar fraquezas presentes nos ativos de TI e com isso impossibilitar que qualquer tipo de ameaça explore essa fraqueza e traga como consequência um evento ou incidente não desejável que por sua vez proporcione um dado ou perda qualquer para a organização.
O processo de gestão de vulnerabilidades é complexo e envolve a elaboração de uma série de estratégias que visam proteger os ativos de TI contra riscos à segurança da informação e à segurança cibernética. Temos que entender que realizar a gestão de vulnerabilidades, significa eliminar ou mitigar falhas ou pontos fracos antes que eles causem algum dano ou prejuízo à organização.
No geral, a gestão de vulnerabilidade requer do profissional de TI habilidades e conhecimentos relacionados a redes, dispositivos computacionais, sistemas operacionais, sistemas/aplicativos entre outros. Como exemplo de vulnerabilidades podemos citar: (a) bugs de desenvolvimento e programação; (b) erros de configurações; © falta de atualizações em sistemas; (d) ausência de mecanismos de proteção em dados; etc.
Lembre-se o objetivo da gestão de vulnerabilidades é o de detectar e corrigir falhas, ou seja, vulnerabilidades que possam comprometer os ativos de TI e, todo seu objetivo deve sempre estar com o foco na melhoria contínua não só dos ativos envolvidos, mas também na segurança da informação e segurança cibernética.
Por fim, para uma boa gestão de vulnerabilidades adote como conjuntos de ações: (a) identificação das vulnerabilidades; (b) análise das vulnerabilidades; © priorização; (d) aplicação das medidas preventivas e de redução de impacto; (e) tratamento (mitigação ou eliminação) das vulnerabilidades e, (f) monitoramento e melhoria contínua;
Atualmente, existem diversos sistemas que possibilitam a gestão de vulnerabilidades, tais como o NESSUS do desenvolvedor Tenable e o Greenbone Openvas da desenvolvedora Greenbone.
Atualmente, com a transformação digital, todas as organizações estão sempre preocupadas e em alerta com relação a ameaças virtuais. Principalmente as ameaças apresentadas como códigos maliciosos – vírus, trojans, backdoors, worms, malwares, ransomwares, etc.
As atenções voltadas à proteção dos ativos de TI com relação a códigos maliciosos, se justificam. Isto porque, os códigos maliciosos podem causar sérios danos à organização em diversos aspectos tais como: operacional, financeiro, marca e reputação dentre outros. Por esse motivo, implementar medidas de proteção contra esse tipo de ameaça torna-se imperativo por parte das equipes de segurança da informação e principalmente de segurança cibernética, até mesmo porque grande parte desses códigos maliciosos estão presentes na Internet.
Entre o universo de códigos maliciosos que ameaçam os ativos de TI de uma organização os que ganham maior destaque por conta do grau de destruição e periculosidade são: (a) rootkit – trata-se de um pacote de programas maliciosos, que substituem os arquivos binários (programas compilados) por um kit de programas que mantém uma porta aberta sem que verdadeiro root (administrador do unix) perceba. Com a porta aberta o invasor pode voltar a qualquer momento e utilizar os privilégios do root ou do usuário do serviço que ele tenha utilizado, para realizar absolutamente qualquer ação dentro do computador, inclusive roubar, alterar ou destruir qualquer informação. Os rootkit são extremamente difíceis de serem detectados, e infectam o sistema sem que o usuário perceba nada. É difícil garantir a completa remoção dos rootkit de um sistema, esses programas são especializados em enganar as ferramentas de segurança para ficarem ocultos. A forma mais confiável de reaver seu computador é formatar o disco e reinstalar todo o sistema; (b) trojans/backdoors – trata-se de uma possível fonte de vazamento de informações sensíveis. São os canais secretos de comunicação, ou seja, canais que dos quais os usuários ignoram a existência. Estes canais são chamados de porta de manutenção ou backdoor, e são comumente utilizados por Trojans para comunicar-se com seu controlador, ou até mesmo fornecer acesso à máquina infectada.
São considerados backdoor os programas ou partes de códigos escondidos em outros programas, que permitem que um invasor entre ou retorne a um computador comprometido por uma porta dos fundos, sem ter que passar pelo processo normal de autenticação. Nos primórdios da computação, os próprios programadores deixavam alguns backdoor em seus sistemas e os chamavam de “ganchos de manutenção”; © ransomware – trata-se de um código malicioso que tem como função realizar o “sequestro de dados” através da criptografia dos dados contidos em um sistema computacional ou sistema de banco de dados. No geral os criminosos cibernéticos utilizam o ransomware como uma forma de extorquir valores monetários, através da solicitação de “resgates”, igualmente a um sequestro de uma pessoa, por exemplo. Esses resgates são solicitados por meio de pagamento através de moedas digitais, conhecidas como criptomoedas que por padrão são dificilmente rastreáveis. Ou seja, não se consegue identificar a fonte recebedora do pagamento. Atualmente o grau de periculosidade é considerado uma ameaça extremamente perigosa e potencialmente danosa, causando em alguns casos até a falência da organização caso seus dados não sejam mais recuperados. Como exemplos de ransomwares que causaram mais danos a organizações de diversas partes do mundo, destacam-se: wannaCry, teslacrypt, NotPetya, revil, samsam e sodinokibi.