Os recursos de segurança mais utilizados são incompreendidos ou usados como se fossem sinônimos. Certamente, esses termos de segurança estão relacionados tão fortemente que é importante examiná-los juntos. Hoje, vamos analisar vários termos relacionados (ameaça, vulnerabilidade e exploração) e aprender como os profissionais de segurança os usam para avaliar ou determinar o risco.
Lembre-se do objetivo: proteger os ativos
O motivo para colocar medidas de segurança em vigor é proteger os ativos. Ativos referem-se a tudo que determinarmos como detentor de valor. O valor de um ativo pode ser tangível, por exemplo, ouro e joias são ativos tangíveis, bem como pessoas. Em uma rede corporativa, um banco de dados, o servidor que hospeda esse banco de dados e a rede que fornece as conexões para o servidor também são ativos tangíveis. Outros ativos, como a reputação ou informações confidenciais da empresa ou pessoais, têm valor intangível, mas são igualmente importantes.
Ameaças e agentes de ameaças
A segurança considera vários tipos de ameaças. Uma ameaça pode ser uma intenção expressa ou demonstrada de prejudicar um ativo ou fazer com que ele se torne indisponível. Ações hostis direcionadas a um ativo, independentemente do motivo, são consideradas ameaças. Casos fortuitos, negligência ou erro humano também são considerados ameaças. Esses dois tipos de ameaças podem causar interrupções no serviço da Web ou de e-mails, perda ou divulgação não intencional de informações confidenciais e, na emergente Internet das Coisas, esses dois tipos podem representar ameaças com riscos às pessoas. Identificar as ameaças é um aspecto importante, porém extremamente complicado, do gerenciamento de segurança.
Alguém ou alguma coisa deve manifestar ou representar uma ameaça. Esses são os agentes de ameaças. Alguns agentes de ameaças são invasores ou agentes governamentais. Funcionários insatisfeitos, desqualificados ou sobrecarregados também podem representar ameaças para os ativos de uma organização e o gerenciamento de segurança deve considerar todos esses aspectos.
Vulnerabilidades
Uma vulnerabilidade é uma falha nas medidas tomadas para proteger um ativo. Existe uma interpretação mais ampla da definição tradicional, que só considera falhas ou fraquezas em sistemas ou redes (consulte a RFC 2828). As vulnerabilidades expõem as ativos de sua organização a danos. Elas existem em sistemas operacionais, nos aplicativos ou no hardware que você usa. Por exemplo, se você não executar um software antivírus ou antimalware, seu laptop ou dispositivo móvel estará vulnerável a infecções. Da mesma forma, se você não atualizar periodicamente os sistemas operacionais ou software de aplicativos, eles permanecerão vulneráveis a problemas de software ("bugs") identificados e corrigidos. (Essas medidas de segurança são chamadas de mitigação de vulnerabilidade ou redução de vulnerabilidade.)
A maneira que você configura software, hardware ou até mesmo as contas de e-mail ou redes sociais também pode criar vulnerabilidades. A maneira que você gerencia as configurações de privacidade, por exemplo, pode afetar as informações de pré lançamento de um produto que você pretendia compartilhar apenas com seus colegas são, em vez disso, compartilhadas publicamente.
Os comportamentos de usuários criam oportunidades para os invasores e, sendo assim, também são vulnerabilidades. Um administrador de sistema que navega na web com uma conta de administrador em uma estação de trabalho corporativa pode se transformar em uma vítima de uma infecção "drive-by" (de passagem) de um software malicioso. Esse comportamento cria uma vulnerabilidade que não é considerada na definição da RFC 2828, mas que, ainda assim, é um problema na Internet de hoje, tanto quanto os bugs em software.
Por último, conforme discutimos em nosso primeiro blog de compreensão sobre segurança, as pessoas estão vulneráveis à engenharia social. Essa vulnerabilidade está demonstrando ser uma das mais formidáveis de mitigar. Aumentar a compreensão sobre segurança está finalmente ganhando reconhecimento como um componente importante da mitigação de vulnerabilidade.
Exploração
O termo exploração é geralmente usado para descrever um programa de software desenvolvido para atacar um ativo aproveitando alguma vulnerabilidade. O objetivo de muitos desses ataques é obter o controle de um ativo. Por exemplo, um ataque de exploração bem-sucedido de uma vulnerabilidade em um banco de dados pode fornecer ao invasor um meio de coletar ou vazar todos os registros desse banco de dados. O uso eficiente de explorações desse tipo é chamado de violação de dados. As explorações também são desenvolvidas para atacar a vulnerabilidade de um sistema operacional ou um aplicativo para obter privilégios administrativos ou "de execução" remotos em um laptop ou servidor. (Esse é o objetivo comum de um malware, que examinaremos em uma próxima publicação.)
Nem todas as explorações envolvem software, e não é certo classificar todos os ataques baseados em explorações como hacking. Scams – que induzem uma pessoa ou funcionário por meio de engenharia social a divulgar informações pessoais ou confidenciais – são um tipo bem antigo de exploração que não exige habilidades de hacking.
Risco
Você encontrará muitas definições quando pesquisar o termo risco. Uma que acredito ser simples de entender é "a possibilidade de perda, dano ou destruição de um ativo como resultado da exploração de uma vulnerabilidade por uma ameaça" [TAG]. Isso costura muito bem os termos que analisamos (ativo, ameaça, vulnerabilidade e exploração). Na prática, para cada ativo, você identifica o conjunto de ameaças que pode prejudicar esse ativo. Em seguida, você identifica as vulnerabilidades que os agentes de ameaça poderão explorar para prejudicar esse ativo. Por incrível que pareça, essa é a parte simples. A parte difícil começa quando analisamos a mitigação. Eliminar todas as ameaças e, por consequência, não ter nenhum risco, é impossível, uma vez que sempre haverá algum risco. A estratégia usual é determinar o custo da mitigação de ameaças em comparação aos benefícios. Em teoria, esse trabalho define a quantidade de risco que você poderá tolerar considerando o que está disposto a gastar. Na prática, isso está cada vez mais difícil de fazer na era da Internet do que antes.