Grandes empresas globais estão pedindo por uma melhor inteligência e partilha de informação entre si e outras organizações atacadas por crackers para melhor se defender dos bandidos e proteger-se de possíveis falhas, mas um modelo universal para essa ação permanece indefinido.
O objetivo de compartilhar informações de inteligência de ataque entre as organizações vitimas e outras companhias que também correm o risco de se tornarem alvos foi parte de um novo conjunto de recomendações emitido por executivos de segurança de grandes empresas globais, incluindo ABN Amro, ADP, BP, Coca-cola, eBay, Genzyme, HSBC Holdings, J&J, JPMorgan Chase, Nokia, Northrop Grumman, SAP, T-Mobile e RSA. Suas recomendações foram incluídas em um relatório publicado sob os auspícios do Security for Business Innovation Council (SBIC) e facilitadas pela RSA.
Mas ter rivais nos negócios, bem como órgãos federais e do setor privado para dar as mãos e partilhar as suas experiências de ataque, logs e artefatos não é tão simples. Além de questões de competitividade, privacidade e razões técnicas, há ramificações legais que normalmente limitam ou impedem as empresas de ajudar um ao outro.
Mesmo assim, especialistas dizem que é hora de as organizações saírem das sombras e se unirem contra o inimigo comum de cibercrime e ciberespionagem. Essa é a única maneira de obter uma vantagem sobre os bandidos, segundo eles.
Mas até agora a partilha tem sido específica da indústria ou muito ad-hoc: “Defese Security Information” é um portal online para os empreiteiros de defesa trocarem informações de ataque em algumas organizações locais, tais como Bay Area CSO Council, que inclui diretores de segurança da Adobe, eBay, Gap, eTrade, Symantec, SAIC, Lawrence Livermore Laboratory, PayPal, Cisco-WebEx, Yahoo e Intel confidencialmente compartilham suas informações de ataque.
Ultimamente, tem havido mais sinais de cooperação: principais instituições financeiras, incluindo Morgan Stanley e Goldman Sachs, no início deste mês deu alguns dos primeiros passos para estabelecer eventualmente um local central para reunir e analisar tendências de ataques para a indústria de serviços financeiros. Eles se reuniram com pesquisadores do Instituto Politécnico de New York para discutir sobre a possibilidade de tal centro, enquanto o Bank of America também tem realizado reuniões informais com os bancos na tentativa de achar soluções para deter as últimas ameaças.
Enquanto isso, o Congresso está livre de várias peças da legislação que exigem partilha de informações com e entre os federais, incluindo um projeto de lei que cria uma organização de troca de informações nacionais, como forma de proteger a infraestrutura crítica.
Mas ainda não há nenhum funcionário dando entrada no compartilhamento desse tipo de informação e especialistas dizem que não está claro se alguma vez terá.
Art Coviello, presidente executivo da RSA Security, diz que um modelo hierárquico para as organizações vítimas compartilhar suas informações de ameaças provávelmente não deva surgir. “Isso nunca vai ser algo muito relevante”, diz ele.
Esse tipo de modelo tem sido um dos maiores obstáculo, tanto no âmbito legal quanto geral. Os modelos mais focados como o da Bay Area CSO Council já encontraram o sucesso.
“O modelo usado pela Bay Area funcionou porque ao ser formado teve a confiança como um dos pré-requisitos. Era pequeno o suficiente e o valor e o benefício ficaram bem claros”, diz Jacques Francoeur, ex-diretor executivo da Bay Area CSO e fundador da União dos Dirigentes de Segurança Cibernética.
O relatório da SBIC diz que o compartilhamento de informações entre as organizações exige investimento de recursos humanos e tecnologias.
“Se algo acontecer na sua organização, a primeira pergunta que você vai fazer: ‘Apenas eu ou todo mundo está sendo atingido com esse ataque? ‘”, disse Renee Guttmann, diretor de segurança da informação para a empresa Coca-Cola. “Você não pode responder a isso por si mesmo. Leva muito tempo para ligar para 20 de seus amigos mais próximos. Você tem que fazer parte de um grande pool de gene para obter uma resposta imediata”.
E outras empresas precisam estar dispostas a fazer o mesmo, afirmam os membros da SBIC. “À medida que ataques cibernéticos continuam a ameaçar as empresas e os governos, as organizações provavelmente serão mais motivadas a investir na partilha de informação. Um fator importante que está preparando o caminho é que as organizações têm as pessoas, processos e tecnologias no local para participar efetivamente do intercâmbio de informações”, diz o relatório.
Coviello diz já ter tentado reunir prestadores de serviços, empresas de telecomunicações e as organizações de segurança para ver como construir tal entidade.
É uma desvantagem legal ofuscar alguns dos possíveis benefícios de se ter uma trilha dentro da empresa sobre campanhas de prevenção contra novos ataques ou um olhar mais fixo para as variantes mais recentes de malware indo além das contas de usuários corporativos. “No final do dia, há uma série de desvantagens legal e não um monte de prós percebidos”, avalia a União dos Dirigentes de Segurança Cibernética.
O CSO fica frustrado quando compartilham inteligências de ataque com o FBI, por exemplo, e nunca recebe uma resposta. Ou eles só recebem a inteligência que está expirada ou não podem tomar providências sobre o caso.
Em muitos casos, quando o conselho geral está envolvido, é game over para qualquer compartilhamento de informações sobre uma violação. Mesmo que a nova legislação legalize as questões de responsabilidade que bloqueiam esse compartilhamento, não há garantia de que, de repente, as organizações clamarão para derramar suas estranhas violações.
Mas, uma vez que você inicia a partilha da sua violação de dados com outras pessoas, então o que acontece?
“Partilhar informação não é a condição final. A condição final é obter informações úteis que ajudarão a melhorar a ‘segurança cibernética e a postura das corporações e governos”, disse William Pelgrin, presidente e CEO do Centro de Segurança para Internet, presidente do Compartilhamento de Informações, do Centro de Análise e do Conselho Nacional de ISACs.
No coração das recomendações do SBIC está o que se chama de “inteligência de segurança da informação”, onde as empresas coletam informações de segurança confiável de fontes do governo, indústria e internos para obter uma imagem completa da ameaça e suas exposições a ela, além de um processo para análise e tomadas de decisões.
“Uma abordagem de inteligência à segurança da informação pode oferecer consciência situacional abrangente, permitindo que as organizações detectem de forma mais eficaz os ataques cibernéticos. Desenvolver uma capacidade de inteligência cibernética requer investimentos em pessoas, processos e tecnologia. Ele vai desafiar as equipes de informações de segurança a crescer além do conjunto de habilidades atuais e se comprometer com uma mudança de mentalidade. E isso vai exigir não só os esforços firmes da equipe de segurança, mas também amplo apoio organizacional”, diz o relatório SBIC.
Fonte: Informationweek
Nenhum comentário:
Postar um comentário
Obrigado pelo seu comentário, sua opinião é muito importante para que possamos estar avaliando os textos