Estive no último dia 26 no GTS e achei muito interessante o trabalho que o CENPRA vem realizando no desenvolvimento de pesquisas na área de Segurança, destacando que 3 trabalhos foram apresentados pelos estudantes do CENPRA. Gostaria também de destacar a apresentação sobre SPIT.
Com a adoção da tecnologia por grande parte das empresas aliada a "necessidade" das empresas de "marketing" massivo atuarem no contato direto com o consumidor o risco de ocorrer uma CHUVA de ligações indesejadas de forma automatizada aumenta consideravelmente. A palestra abortou as medidas de segurança necessárias para evitar ou ao menos minimizar os problemas com SPIT.
Aproveitando o ensejo vou viajar um pouquinho (afinal blog também serve pra isso).
Levando em consideração que tudo que utiliza IP, pode estar susceptível a ataques de negação de serviços, acho bem factível que em breve tenhamos problemas com BOTNETs sendo utilizadas como mecanismos de ataque para centrais VOIP, agora imagem só um Flood de conexões direcionadas para o VOIP PABX, não com o objetivo de efetuar contato e propaganda direta ao consumidor, mas como objetivo de indisponibilizar a rede de comunicação de VOZ, isso traz um impacto muito grande e real para qualquer empresa.
Uma das medidas abordadas para minimizar o RISCO tem como premissa a criação de BlackLists, ou criação de regras dinamicamente bloqueando-se o endereço origem de ligações. Porém se estamos falando de BOTNETs quantas origens diferentes são possíveis? Esse controle se torna ainda menos eficaz se as BOTNETs utilizarem mecanismos de TOR. Como bloquear os endereços da mesma BOTNET se ela troca o endereço dinamicamente?
Para deixar o cenário ainda mais caótico, ou até mesmo apocalíptico (rs) imaginem o cenário em que o Gateway VOIP está utilizando o mesmo link internet de outras aplicações. Um ataque ao VOIP Gateway poderá prejudicar toda a comunicação de Voz e dados. E para deixar o cenário ainda mais caótico (agora sim apocalíptico), se a rede interna estiver compartilhamento o mesmo meio físico para VOZ e Dados, em caso de SPIT pode-se comprometer a performance de link de acesso à internet, comunicação de voz e performance da rede interna, após a inundação com ligações e ou conexões indesejadas oriundas de BOTNETS utilizando mecanismos de TOR que dificultem o controle efetivo, prejudicando TODA a infra-estrutura crítica de comunicação.
Nesse momento vale ressaltar a importância de detectar de forma precoce problemas com DDoS, ai entra em cena a importância da Monitoração de Fluxo (Netflow), também abordada no GTS. Um IDS / IPS de rede não basta, é preciso monitorar o fluxo de rede para compreender possíveis desvios comportamentais causados por acessos indesejados de BOTNETS e máquinas comprometidas, possibilitando a ação mais rápida e efetiva.
Resumindo se você tem um PABX VOIP preocupe-se:
1- Preferencialmente utilize redes isoladas fisicamente para os ramais IP ou no pior caso isolado logicamente (Não estou nem pensando na facilidade de Escuta).
2- Utilize mecanismos de bloqueio e proteção contra SPIT.
3- Preferencialmente utilize um link de Internet dedicado para o serviço de VOZ, isolando de sua infra-estrutura de comunicação de DADOS.
4- Efetue uma monitoração de fluxo adequada, proporcionando a detecção de comportamentos anômalos rapidamente.
5- Implemente as demais boas práticas de segurança como Criptografia, limitação de acesso a interfaces de administração, autenticação e demais que podem ser encontradas no site:
www.voipsec.org
Mas voltando ao evento, foi muito bom estar em contato com as cabeças das Universidades, novos talentos que em breve estarão brilhando na área de segurança, afinal como escrevi em outro post, a falta de profissionais técnicos me preocupa, mas estar no evento me mostrou que ainda há esperança.
Attention / Atenção
This blog represents my own view points and not of my employer, Amazon Web Services
Este blog representa meus próprios pontos de vista e não do meu empregador, Amazon Web Services
quarta-feira, outubro 31, 2007
terça-feira, outubro 23, 2007
GTS / GTER
Nessa semana nos dias 26 e 27 ocorre em SP o evento GTS / GTER, eu estarei por lá, recomendo a participação.
Nos vemos por lá.
Nos vemos por lá.
segunda-feira, outubro 22, 2007
Dilbert - Segurança ao EXTREMO .
Essa tirinha do Dilbert (como sempre muito bem pensada) relata muito a bem a posição de alguns consultores e profissionais de Segurança que tem uma postura muito EXTREMISTA, diria até mesmo irrealista, corroborando para a imagem "negativa" que a área de Segurança tem em algumas empresas, da área do NÃO, chata e que somente "atrapalha" o negócio.
É preciso ter uma visão realista e pensar do ponto de vista do negócio com o objetivo de agregar valor e SEGURANÇA, bom senso é o segredo, e nem sempre utilizar o NÃO como resposta padrão.
É preciso ter uma visão realista e pensar do ponto de vista do negócio com o objetivo de agregar valor e SEGURANÇA, bom senso é o segredo, e nem sempre utilizar o NÃO como resposta padrão.
quarta-feira, outubro 17, 2007
3 Guerra Mundial
Não é novidade nenhuma que o Governo Americano monitora tráfego da Internet por interesses próprios, afinal quem não se lembra do Carnivore (nossa to ficando velho mesmo rs).
Mas no documento National Strategy for Homeland Security o governo americano declara o desejo de "negar" o acesso dos terroristas à Internet, vale dar uma olhada no documento na íntegra, mas segue abaixo um trecho interessante.
"...In addition to discrediting their terrorist propaganda on the Internet with the promotion of truthful messages, we will seek to deny the Internet to our terrorist enemies as an effective safe haven for their recruitment, fund-raising, training,
and operational planning.
Questiono somente como isso será implementado, afinal o controle da Internet vai contra a concepção do "produto" se assim definíssemos a Internet. E depois disso virá o que, controle de TV, Rádio, Correio etc etc etc.
Vale lembrar que o Terrosismo já existia antes da internet e acho difícil acabar mesmo sem o acesso a Internet, se isso for possível. A ameaça continua lá e só vai utilizar de outros meios.
Acho que toda a ação contra o terrorismo é bem vinda, desde que ela não prejudique na sua maioria inocentes. E nos países considerados "Terroristas" não existem somente terroristas, mas pessoas de bem que precisam de acesso a Internet em um mundo mais que globalizado.
Para finalizar... ... alguém tem dúvida que manter os ROOT.SERVERS sob domínio dos USA foi "premeditado" (rs) ?
Mas no documento National Strategy for Homeland Security o governo americano declara o desejo de "negar" o acesso dos terroristas à Internet, vale dar uma olhada no documento na íntegra, mas segue abaixo um trecho interessante.
"...In addition to discrediting their terrorist propaganda on the Internet with the promotion of truthful messages, we will seek to deny the Internet to our terrorist enemies as an effective safe haven for their recruitment, fund-raising, training,
and operational planning.
Questiono somente como isso será implementado, afinal o controle da Internet vai contra a concepção do "produto" se assim definíssemos a Internet. E depois disso virá o que, controle de TV, Rádio, Correio etc etc etc.
Vale lembrar que o Terrosismo já existia antes da internet e acho difícil acabar mesmo sem o acesso a Internet, se isso for possível. A ameaça continua lá e só vai utilizar de outros meios.
Acho que toda a ação contra o terrorismo é bem vinda, desde que ela não prejudique na sua maioria inocentes. E nos países considerados "Terroristas" não existem somente terroristas, mas pessoas de bem que precisam de acesso a Internet em um mundo mais que globalizado.
Para finalizar... ... alguém tem dúvida que manter os ROOT.SERVERS sob domínio dos USA foi "premeditado" (rs) ?
terça-feira, outubro 09, 2007
Geração de Gerentes
Tenho observado e me preocupado com a quantidade de profissionais recém formados nas Universidades e que saem querendo no dia seguinte ocuparem cargos de gerência e ou diretoria em TI, Segurança entre outros, se transformando em gestores do dia para a noite em um piscar de olhos.
Não que a ambição e desejo de ocupar cargos de gestão esteja INCORRETO, entendo que faz parte do processo evolutivo, mas o que me intriga é querer alcançar altos postos sem a devida preparação.
Por exemplo, os CSOs de sucesso que conheço (só não vou mencionar nomes para não cometer injustiças) na sua grande maioria são profissionais (se não na totalidade) de origens técnicas e que com o passar dos anos amadureceram e conseguiram obter conhecimentos e preparação para exercerem o papel de liderança e gerênicia necessários a um gestor. Esses por sua vez utilizam os conhecimentos técnicos como suporte na tomada de decisão e garanto que são decisões bem mais acertivas.
Como consultor tenho visto muitos exemplos de profissionais que CAEM literalmente na função de CSO e tomam decisões MALUCAS, sem qualquer base técnica e até mesmo gerencial, sem sequer pensar nos aspectos básicos de segurança, desse ponto para o desastre falta muito pouco.
Não estou nesse simples artigo generalizando, dizendo que os profissionais de segurança que não são oriundos da área técnica não podem exercer de forma "satisfatória" a função de CSO, mas o conhecimento técnico como base para a tomada de decisão é bem vindo, caso contrário o CSO deve NO MÍNIMO se cercar de profissionais com competência técnica para auxiliarem na tomada de decisão. Mesmo com conhecimento técnico ouvir os liderados também é o mínimo que se espera, mas os aspectos de liderança vou deixar para outro artigo.
Agora e se esses "profissionais técnicos" estiverem em falta ?
Acho que corremos um sério risco de termos em breve uma geração de gerentes e gestores e uma ausência de técnicos e executores valorizados, motivados e principalmente técnicamente competentes.
É importante considerar a razão pela qual A GRANDE MAIORIA quer sair da Faculdade e já se tonarem diretores e presidentes (rs).
1-) Isso está acontecendo em virtude da cultura e ou crescimento do mercado de TI e possível ausência de líderes preparados aliada a preocupação das instituições educacionais em prepararem com foco direcionado para Gestão ?
2-) O problema é que no Brasil a carreira em Y NÃO EXISTE, é uma Utopia?
Na verdade acho que é um conjunto dessas coisas. Do meu ponto de vista teremos (se nada mudar)uma geração de muitos caciques e poucos índios.
Apenas como uma observação adicional e final. A mais de 8 anos além de trabalhar como Consultor de Segurança também ministro treinamentos "técnicos" e de "Gestão" na área de Segurança de Informação e meu sentimento é que os aspectos técnicos são encarados pela grande maioria como "desejados" mas "desprezíveis" como se fossem um trabalho MENOS NOBRE. Já os aspectos de Gestão são considerados nobres e importantíssimos.
O segredo ao meu ver é o equilíbrio, ter conhecimento técnico, de gestão e qualidades de liderança, sem negligenciar nenhum deles, mas infelizmente se depreza muitas vezes o trabalho técnico.
Vale lembrar que se o Engenheiro projetar mas o pedreiro não executar adequadamente... ... a casa vai cair. Nesse sentido poderia mencionar o VALE... ... isso mesmo o VALE que existe em muitas empresas entre a Gestão e a EXECUÇÃO, originando diariamente os monstrinhos de TI e Segurança que crescem, ficam fortes e se transformam em grandes... ... ENORMES geradores de FRAUDES, PERDAS e DORES DE CABEÇA.
Para finalizar... ... um amigo diria.
"Quero ver o circo pegar fogo para jogar gasolina ..." (rs). Mas espero que esse cenário mude, afinal a área de segurança sempre vai precisar de bons gestores e também ótimos técnicos, e um bom gestor COM CERTEZA deve e precisa estar cercado de bons técnicos.
Não que a ambição e desejo de ocupar cargos de gestão esteja INCORRETO, entendo que faz parte do processo evolutivo, mas o que me intriga é querer alcançar altos postos sem a devida preparação.
Por exemplo, os CSOs de sucesso que conheço (só não vou mencionar nomes para não cometer injustiças) na sua grande maioria são profissionais (se não na totalidade) de origens técnicas e que com o passar dos anos amadureceram e conseguiram obter conhecimentos e preparação para exercerem o papel de liderança e gerênicia necessários a um gestor. Esses por sua vez utilizam os conhecimentos técnicos como suporte na tomada de decisão e garanto que são decisões bem mais acertivas.
Como consultor tenho visto muitos exemplos de profissionais que CAEM literalmente na função de CSO e tomam decisões MALUCAS, sem qualquer base técnica e até mesmo gerencial, sem sequer pensar nos aspectos básicos de segurança, desse ponto para o desastre falta muito pouco.
Não estou nesse simples artigo generalizando, dizendo que os profissionais de segurança que não são oriundos da área técnica não podem exercer de forma "satisfatória" a função de CSO, mas o conhecimento técnico como base para a tomada de decisão é bem vindo, caso contrário o CSO deve NO MÍNIMO se cercar de profissionais com competência técnica para auxiliarem na tomada de decisão. Mesmo com conhecimento técnico ouvir os liderados também é o mínimo que se espera, mas os aspectos de liderança vou deixar para outro artigo.
Agora e se esses "profissionais técnicos" estiverem em falta ?
Acho que corremos um sério risco de termos em breve uma geração de gerentes e gestores e uma ausência de técnicos e executores valorizados, motivados e principalmente técnicamente competentes.
É importante considerar a razão pela qual A GRANDE MAIORIA quer sair da Faculdade e já se tonarem diretores e presidentes (rs).
1-) Isso está acontecendo em virtude da cultura e ou crescimento do mercado de TI e possível ausência de líderes preparados aliada a preocupação das instituições educacionais em prepararem com foco direcionado para Gestão ?
2-) O problema é que no Brasil a carreira em Y NÃO EXISTE, é uma Utopia?
Na verdade acho que é um conjunto dessas coisas. Do meu ponto de vista teremos (se nada mudar)uma geração de muitos caciques e poucos índios.
Apenas como uma observação adicional e final. A mais de 8 anos além de trabalhar como Consultor de Segurança também ministro treinamentos "técnicos" e de "Gestão" na área de Segurança de Informação e meu sentimento é que os aspectos técnicos são encarados pela grande maioria como "desejados" mas "desprezíveis" como se fossem um trabalho MENOS NOBRE. Já os aspectos de Gestão são considerados nobres e importantíssimos.
O segredo ao meu ver é o equilíbrio, ter conhecimento técnico, de gestão e qualidades de liderança, sem negligenciar nenhum deles, mas infelizmente se depreza muitas vezes o trabalho técnico.
Vale lembrar que se o Engenheiro projetar mas o pedreiro não executar adequadamente... ... a casa vai cair. Nesse sentido poderia mencionar o VALE... ... isso mesmo o VALE que existe em muitas empresas entre a Gestão e a EXECUÇÃO, originando diariamente os monstrinhos de TI e Segurança que crescem, ficam fortes e se transformam em grandes... ... ENORMES geradores de FRAUDES, PERDAS e DORES DE CABEÇA.
Para finalizar... ... um amigo diria.
"Quero ver o circo pegar fogo para jogar gasolina ..." (rs). Mas espero que esse cenário mude, afinal a área de segurança sempre vai precisar de bons gestores e também ótimos técnicos, e um bom gestor COM CERTEZA deve e precisa estar cercado de bons técnicos.
Outros Assuntos.
Em breve estarei tratando de outros "assuntos", aos interessados como eu por corrida, em breve novidades, afinal o projeto Maratona de NY 2009 já começou e esse ano já foram 5 corridas. Para 2008 espero que sejam de 12 a 18.
segunda-feira, outubro 08, 2007
Compliance X Segurança
Depois de um longo tempo, após chuvas e tempestades estou novamente escrevendo no Blog. Muitas idéias, "rabiscos" e notepads estão guardados e aos poucos vou colocando todos eles aqui.
Para começar vou tocar em um assunto que cada vez mais vem permeando a Segurança da Informação. Não é novidade nenhuma que a busca pelo "compliance" é importante e vem auxiliando a segurança no amadurecimento do "discurso", porém tenho visto muitas empresas afirmando o seguinte:
"O importante é estar Compliance, vamos fazer o mínimo necessário".
Entendo que o "romantismo" da área de Segurança já acabou a muito tempo, agora cumprimento de metas, definição de métricas e atendimento a Legislação, SOX, HIPAA, PCI, etc etc etc etc são palavras chaves, mas daí a priorizar o Compliance e "fazer pouco caso" de aspectos de segurança relevantes mas que não se necessita para estar "Compliance" acho D+, o cúmulo do absurdo.
Entendo também que a luta é árdua e muitas vezes a escolha é inicialmente o "Compliance" afinal não é possível abraçar o mundo, mas é preciso (como em tudo na vida) evoluir, sair da área de conforto.
Pergunto a quem estiver lendo esse artigo (afinal depois de tanto tempo acho que meu blog ficou abandonado). Estar Compliance é "estar" seguro ? Até que ponto estar "Compliance" pode dar uma falsa sensação de Segurança? É possível estar Compliance e Seguro ?
Não quero influeniar o leitor, mas na minha humilde opinião, estar Compliance não garante que você está Seguro, pode talvez (enfatizando o TALVEZ) "tirar" o Mico das costas da área de Segurança, mas é preciso mais do que estar Compliance para se "sentir" seguro.
Acho que a melhor frase nesse caso seria.
É preciso estar Compliance E com Segurança, o Compliance é o MÍNIMO NECESSÁRIO e DESEJADO.
Uma boa comparação:
Se o seu filho tirasse nota 5 a vida escolar toda, ele provavelmente passaria de ano, mas não necessariamente estaria preparado para enfrentar outros desafios, como por exemplo o Vestibular.
Passar "raspando" no quesito Segurança vai preparar a sua empresa para os novos velhos desafios do presente e do futuro? Pense bem.
Para começar vou tocar em um assunto que cada vez mais vem permeando a Segurança da Informação. Não é novidade nenhuma que a busca pelo "compliance" é importante e vem auxiliando a segurança no amadurecimento do "discurso", porém tenho visto muitas empresas afirmando o seguinte:
"O importante é estar Compliance, vamos fazer o mínimo necessário".
Entendo que o "romantismo" da área de Segurança já acabou a muito tempo, agora cumprimento de metas, definição de métricas e atendimento a Legislação, SOX, HIPAA, PCI, etc etc etc etc são palavras chaves, mas daí a priorizar o Compliance e "fazer pouco caso" de aspectos de segurança relevantes mas que não se necessita para estar "Compliance" acho D+, o cúmulo do absurdo.
Entendo também que a luta é árdua e muitas vezes a escolha é inicialmente o "Compliance" afinal não é possível abraçar o mundo, mas é preciso (como em tudo na vida) evoluir, sair da área de conforto.
Pergunto a quem estiver lendo esse artigo (afinal depois de tanto tempo acho que meu blog ficou abandonado). Estar Compliance é "estar" seguro ? Até que ponto estar "Compliance" pode dar uma falsa sensação de Segurança? É possível estar Compliance e Seguro ?
Não quero influeniar o leitor, mas na minha humilde opinião, estar Compliance não garante que você está Seguro, pode talvez (enfatizando o TALVEZ) "tirar" o Mico das costas da área de Segurança, mas é preciso mais do que estar Compliance para se "sentir" seguro.
Acho que a melhor frase nesse caso seria.
É preciso estar Compliance E com Segurança, o Compliance é o MÍNIMO NECESSÁRIO e DESEJADO.
Uma boa comparação:
Se o seu filho tirasse nota 5 a vida escolar toda, ele provavelmente passaria de ano, mas não necessariamente estaria preparado para enfrentar outros desafios, como por exemplo o Vestibular.
Passar "raspando" no quesito Segurança vai preparar a sua empresa para os novos velhos desafios do presente e do futuro? Pense bem.
Assinar:
Postagens (Atom)