Novos desafios de segurança da nuvem e do BYOD

No
atual ambiente de negócios do Brasil, sobretudo no cenário de crescente
mobilidade e de migração para a nuvem, para uma empresa alcançar
consciência
situacional e proteger de forma proativa seus ativos críticos de
informação é imprescindível manter conformidade com padrões e normas de
segurança, o tempo todo, e reduzir os riscos dos ativos de informação a
um nível desejado.

Porém, mais do que simplesmente
focar em GRC – governança, risco e compliance, ou na adoção de
ferramentas reativas tradicionais de segurança da informação, como
firewalls e antivírus, a área responsável pela governança da segurança
deve estabelecer um processo de monitoramento contínuo,
que capture evidências, as analise e aja proativamente em
apoio à tomada de decisão. Isto pode ser alcançado com base na análise
proativa de logs (registros de eventos) e informações de alerta,
coletados em tempo real de uma ampla variedade de sistemas
corporativos. Contudo, em virtude do volume e da crescente variedade dos
dados de segurança envolvidos, é impossível conduzir este processo de
modo manual.

Um
gerenciador de eventos e informações de segurança (SIEM) é uma solução emergente, desenvolvida para introduzir maior inteligência
e automação da coleta, correlação e análise de logs e alertas, de modo a
permitir que a equipe de segurança da empresa se antecipe às ameaças e
se concentre no que é mais estratégico ao negócio. Mas esse SIEM 
precisa ser adequado ao atual ambiente de nuvem
e de crescente mobilidade, e ainda levar em conta o baixo desempenho
da conexão da Internet brasileira. Tarefas, sem dúvida, bastante
desafiadoras.

Além
disto, é preciso considerar também a tendência crescente do BYOD, em que os colaboradores trazem seus dispositivos móveis ao
local
de trabalho, usando-os para obter acesso privilegiado a recursos da
empresa – como e-mails, banco de dados e servidores de arquivos. Embora a
BYOD provoque avanços significativos nos negócios, com funcionários
mais produtivos pelo uso da própria tecnologia
no trabalho, esta prática pode resultar em sérias violações da política
de segurança.

O BYOD obriga a solução SIEM a dispor de um complemento capaz de transformá-lo em uma solução integrada que monitore continuamente tais
dispositivos
móveis de forma transparente, com uso de inteligência e armazenamento,
permitindo inclusive auditorias e perícias forenses, em conformidade com
normas, regulamentações e regras corporativas.

Um
importante passo é utilizar um sistema de Gerenciamento de Dispositivos
Móveis (MDM em inglês, Mobile Device Management), a fim de proteger,
monitorar e gerenciar dispositivos móveis. Em geral, um sistema MDM
inclui funcionalidades de distribuição de aplicativos OTA
(over-the-air), dados e definições de configuração para todos os tipos
de dispositivos móveis, incluindo telefones celulares, smartphones,
tablets, computadores móveis, impressoras móveis, dispositivos móveis
POS, entre outros.

No
ambiente corporativo, isso se aplica igualmente aos dispositivos de
propriedade da empresa e aos de propriedade de seus colaboradores. Embora ao controlar e
proteger
os dados e definições de configuração para dispositivos móveis na rede,
um sistema MDM possa colaborar na redução dos custos de suporte e dos
riscos do negócio, ele não possui a inteligência para correlacionar
eventos nem a capacidade de armazenamento e recuperação
de logs, típicas de um SIEM. E como os SIEM mais conhecidos no mercado – importados, fabricados por multinacionais –  não
costumam lidar com registros de dispositivos móveis, resolver este impasse torna-se outro grande desafio.

Além
de estarem aquém do desafio da nuvem e da mobilidade, os principais
SIEM do mercado possuem ainda outra séria limitação:
só gerenciam “online” três meses de volume de logs. Caso o usuário
precise gerenciar logs do passado, com data superior a três meses, é
preciso antes carregá-los no sistema, pois ficam armazenados “off line”.
Este procedimento de carga pode levar tempo
e está sujeito a erros, devido à complexidade imposta pelo gigantesco
volume de logs. Tal limitação ocorre devido aos fabricantes destes SIEM
optarem pelo uso de banco de dados relacionais, não orientados a
objetos.

Acontece que a computação em nuvem e a necessidade
crescente de prover serviços escaláveis estão pressionando os bancos de
dados na direção da oferta de escalabilidade
horizontal, ou seja, dos bancos de dados
não-relacionais.

Em
um BD relacional, fica difícil manipular dados complexos. Além disto, o
enorme volume de logs demanda, na hora de expandir
a base de armazenamento, pesadas tarefas de reindexação. Benchmarks
entre BD não relacionais/orientados a objetos e BD relacionais têm
mostrado que os primeiros podem ser claramente superiores para certos
tipos de tarefas, em particular transações com grandes
volumes de dados e cargas de trabalho, típicas de operações de grande
carga, hoje bastante comuns em um ambiente de nuvem. A principal razão
para isto é que várias operações são feitas utilizando interfaces
navegacionais ao invés das relacionais, e o acesso
navegacional é geralmente implementado de forma muito eficiente por
ponteiros. A fim de tentar contornar esta limitação de desempenho, há um
conhecido fabricante estrangeiro de SIEM que optou por um BD não
relacional, porém o mesmo é proprietário e não usa
modelagem orientada a objetos.

Em
contraste às principais soluções de mercado, uma startup brasileira
desenvolveu um SIEM que busca maior agilidade no acesso aos dados por meio do uso de
um BD open source, não relacional, orientado a objetos – uma solução
inovadora e única, com patente no INPI. Além disto, a ferramenta possui um complemento com recursos para monitorar e armazenar
logs de dispositivos móveis. O sistema vem com alguns diferenciais
competitivos, tanto em relação ao desempenho – processado em linguagem C
para compensar a baixa performance da Internet brasileira – quanto em
novas funcionalidades, ligadas à nuvem e à mobilidade.

Com
ele é possível armazenar e monitorar continuamente, via Web, logs de
dispositivos físicos, virtuais ou em cloud. O produto pode funcionar em
um appliance local ou na nuvem, e fazer coleta, análise e guarda de
enormes volumes de dados. Uma vez na rede, a solução também monitora
aparelhos móveis e envia os eventos coletados diretamente ao SIEM. No
produto nacional, um aplicativo complementar permite
ainda monitorar eventos em tablets e smartphones com sistemas
operacionais iOS e Android, apresentando via Web informações em modo
gráfico ou em relatórios customizáveis. E fazer monitoramento
georreferenciado do aparelho móvel, bem como a visualização de seu
trajeto passado ou atual (a partir da Web ou de um visualizador,
instalado em outro dispositivo móvel); além de permitir a execução remota de
rotinas de segurança, como apagar informações sensíveis e mesmo tirar e
recuperar fotografias remotamente.

O único SIEM brasileiro promete ser uma solução para os novos desafios de segurança trazidos pela nuvem, pela
tendência do BYOD e pela crescente demanda de mobilidade ao ambiente
corporativo de negócios no país. É ver para crer.

(*) Paulo Sergio Pagliusi, é Sócio Diretor da Procela