2.5 Reinforcement Learning
2.5.3 Value and Policy
Após definição do tema principal, procedeu-se uma busca por artigos e textos rele- vantes ao mesmo. Nota-se que quase a totalidade caracteriza-se por artigos informais, não-acadêmicos, disponíveis em sítios na Internet. A seguir, apresenta-se um resumo dos diversos materiais encontrados, acrescidos de comentários e interpretações obtidas.
2.4.1
“What is Deperimeterization?”
O artigo [SearchSecurity 2007] define deperimetrização como uma estratégia multi- nível de proteção que se utiliza de encriptação e autenticação dinâmica no nível de dados. Utiliza a analogia de um castelo para mostrar como a segurança é tratada atualmente: colocam-se os dispositivos de rede por trás de um firewall e todos os esforços são dire- cionados a deixar invasores do lado de fora. Indaga a praticidade do modelo tradicional diante do advento dos WebServices e da força de trabalho móvel: teletrabalho, smartpho- nes, dentre outros.
Também dá um exemplo de como a deperimetrização poderia facilitar a expansão dos negócios de uma empresa ao tentar abrir uma filial de vendas. No modelo tradicional, seriam gastos de 1 a 6 meses com negociação de contratos de linha dedicada, ramais
10 CAPÍTULO 2. PERÍMETRO X SEGURANÇA telefônicos, rede local e VPN. No modelo deperimetrizado bastaria conectar os micro- computadores e telefones VoIP à Internet, uma vez que toda a infraestrutura de rede da companhia estaria segura, mediante tráfego criptografado, autenticação de usuários e au- torização de acesso.
2.4.2
“No Borders – De-perimeterization and life after the firewall”
A introdução do artigo [Fritsch 2008] salienta as mudanças que vêm ocorrendo atual- mente nas redes de empresas e organizações. A percepção de segurança, outrora fornecida por um perímetro baseado em um firewall, começa a perder sentido na esteira da chegada de novas tecnologias como VPN, e-commerce, WebServices e Web 2.0.
Os firewalls, tidos como objetos de orgulho de qualquer departamento de segurança, eram projetados de modo a proteger a rede interna ao acesso externo, principalmente através do bloqueio de portas. O acesso aos serviços, porém, eram disponibilizados a qualquer um que estivesse do lado de dentro do perímetro – LAN. No entanto, a visão tradicional “preto-e-branco”, na qual temos a distinção entre a “segura” rede interna e a “perigosa” rede externa, nunca foi realmente simples como parecia. De fato, especialistas em segurança enfrentam, hoje, grande dificuldade em segregar o que está “dentro” do que está de “fora” nas redes de computadores. O acesso remoto através de Personal Digital Assistant(PDA), telefones celulares, notebooks e VPN faz surgir novas bordas do perímetro em todo lugar a todo tempo. Além disso, no passado, cada serviço tinha uma porta claramente definida e associada, a qual era facilmente controlada pelo firewall. Mas hoje, a maioria dos serviços, baseados no modelo WebService, enfatiza a utilização do protocolo HTTP/HTTPS (portas 80 e 443), dificultando assim a distinção entre estes no escopo do perímetro da rede.
O que pode ser visto como um verdadeiro problema – adaptar o tradicional conceito de firewallà nova realidade – é encarado por alguns especialistas como uma oportunidade do surgimento de uma mudança de paradigma, a qual contemple a complexidade das redes atuais.
É nesse escopo que surge, a partir de estudos do Jericho Forum, uma nova visão em segurança de redes. E o cerne dessa nova visão está no conceito da deperimetrização: transpassar a visão tradicional de rede como um espaço finito, com interior, exterior e um perímetro que os separa. De acordo ainda com o Jericho Forum, as redes de com- putadores, hoje, enfrentam uma variedade tão ampla de ameaças, que a única estratégia de segurança confiável é a proteção da própria informação, em detrimento à rede ou ao restante da infraestrutura de TI da organização. Nessa linha de pensamento, a segurança de uma rede qualquer não deve ser baseada em um suposto perímetro.
A figura 2.3 esboça um comparativo entre o modelo convencional de segurança, de- nominado “Anéis de Confiança” e o novo paradigma, deperimetrizado. No modelo con- vencional, os dados necessitam de sucessivos encapsulamentos para serem manipulados e a segurança da informação é provida pelas camadas superiores. Cada anel estabelece um perímetro que protege seu interior do que está à sua volta, provendo comunicação do lado “seguro” para o “inseguro”. Já no modelo deperimetrizado, os dados são considerados in- dependentes de contexto (escopo de rede local ou Internet) e não dependem de aplicação,
2.4. LITERATURA RELACIONADA 11
Figura 2.3: Modelos de segurança: convencional e deperimetrizado.
sistema operacional ou da rede para permanecerem seguros.
A proteção da informação deve contemplar muito além da simples restrição de acesso ao equipamento onde a mesma se encontra. Além disso, deve-se levar em conta a premissa que nenhuma rede é efetivamente segura. Sendo assim, cada dispositivo deve, também, ser capaz de resguardar sua própria segurança, mesmo quando colocado diretamente e de forma aberta sob a Internet. De fato, a importância de uma rede local deve diminuir ou mesmo desaparecer nos próximos anos, especialmente quando se leva em consideração tecnologias como IPv6 e computação em nuvem.
A solução ideal seria aquela na qual a própria informação possuísse atributos que as- segurassem que o acesso à visualização ou alteração de conteúdo fosse restrito somente àqueles aos quais ela se destina. Tal abordagem, conhecida como Data Rights Mana- gement(DRM), vai muito além da simples criptografia dos dados, pois envolve também a autenticação e autorização diretamente no nível de dados. De fato, existem esforços de diversas empresas de software - entre elas Microsoft, Oracle e RSA – no desenvolvi- mento de arcabouços para o modelo DRM. No entanto, as soluções existentes não levam em consideração o fato que a deperimetrização visa facilitar o fluxo das informações, o qual só ocorreria através da padronização e adoção, pela indústria, de um modelo aberto, independente de fabricante.
Outra lacuna é a segurança dos dispositivos. Nenhum sistema operacional, hoje, é suficientemente seguro para os padrões que a deperimetrização preconiza, tampouco as aplicações. Basta observar a quantidade de falhas de segurança descobertas a cada dia para confirmar essa premissa. A segurança inerente aos dispositivos não dever ser susce- tível a erros simplórios de programação, e nesse aspecto ainda há muito a ser trabalhado. A visão de uma rede segura sem bordas é definida num documento do Jericho Forum denominado “Mandamentos” [JerichoForum 2007], como pode ser observado na tabela 2.1. Trata-se na realidade de um conjunto de princípios, alguns bem conhecidos na área de segurança de redes, outros realmente radicais e inovadores. Em resumo, os manda- mentos recaem basicamente em 4 áreas: criptografia, segurança de protocolos, segurança de sistemas e autenticação/autorização no nível dos dados.
12 CAPÍTULO 2. PERÍMETRO X SEGURANÇA
Tabela 2.1: “Mandamentos” do Jericho Forum [JerichoForum 2007].
Fundamentos
1. O escopo e o nível de proteção devem ser específicos e apropriados para o bem em risco.
• Os negócios exigem que a segurança permita agilidade e seja custo- efetiva.
• Mesmo que firewalls de borda ainda continuem fornecendo proteção de rede básica, sistemas individuais e dados terão de ser capazes de proteger a si mesmos.
• Geralmente, quanto mais próxima do bem mais fácil é a tarefa de aplica- ção da segurança sobre o mesmo.
2. Mecanismos de segurança devem ser genéricos, simples, escalonáveis e fáceis de gerenciar.
• A complexidade desnecessária é uma ameaça à boa segurança. • Princípios de segurança coerentes são necessários para abranger todos os
níveis da arquitetura.
• Os mecanismos de segurança devem ser escalonáveis, abrangendo desde pequenos a grandes objetos.
• Para serem ao mesmo tempo simples e escalonáveis, os “blocos de cons- trução” de segurança interoperáveis devem de ser capazes de serem com- binados de modo a fornecer os mecanismos de segurança necessários. 3. Considere os riscos do contexto.
• As soluções de segurança projetadas para atuar em um determinado am- biente não podem ser transferidas para atuar em outro. Dessa forma, é importante compreender as limitações de qualquer solução de segurança. • Problemas, limitações e riscos podem vir de uma variedade de fontes, in-
cluindo geográfica, jurídica, técnica, aceitabilidade do risco, etc
Sobrevivência em um mundo hostil
4. Dispositivos e aplicações devem se comunicar usando protocolos seguros e abertos.
• Segurança através da obscuridade é uma falsa presunção - protocolos se- guros exigem abertura à revisão pelas partes de modo a fornecer uma avaliação robusta e, assim, amplo uso e aceitação.
• Os requisitos de segurança de confidencialidade, integridade, disponibili- dade e confiabilidade devem ser avaliados e construídos dentro dos proto- colos, não fornecidos como um acréscimo a estes.
• O encapsulamento do tráfego de dados de forma criptografada não resolve todos os problemas e deve ser utilizado somente quando necessário. 5. Todos os dispositivos devem ser capazes de manter sua política de segu-
rança quando em uma rede não-confiável.
• A “política de segurança” define as regras no que diz respeito à proteção do bem.
• As regras devem ser completas no que diz respeito a um contexto arbitrá- rio.
• Qualquer aplicação deve ser capaz de sobreviver na Internet bruta, isto é, não “quebrar” em qualquer entrada de dados.
A necessidade de confiança
6. Para o estabelecimento de qualquer transação, todas as pessoas, processos e tecnologias precisam ter níveis de confiança declarados e transparentes.
• Confiança, neste contexto, é estabelecer um entendimento entre as partes contratantes de modo a conduzir uma transação e definir as obrigações de cada parte.
• Modelos de confiança devem abranger pessoas/organizações e dispositivos/infra-estrutura.
• Os níveis de confiança podem variar de acordo com o tipo e risco da tran- sação, localização e o papel do usuário.
7. Níveis de garantia de confiança mútua devem ser determináveis. • Dispositivos e usuários devem ser capazes de estabelecer níveis adequa-
dos de mútua autenticação para acessar sistemas e dados.
• Estruturas de autenticação e autorização devem suportar o modelo de con- fiança.
Gerenciamento, Identidade e Federação
8. Os mecanismos de autenticação, autorização e auditoria devem ser capa- zes de interoperar / interagir fora do seu local / área de controle. • Pessoas / sistemas devem ser capazes de gerenciar direitos e permissões
de acesso a recursos de usuários que não estejam sob seu controle. • Deve haver capacidade de se confiar em uma organização, a qual pode
autenticar indivíduos ou grupos, eliminando assim a necessidade de criar identidades separadas.
• A princípio, apenas uma instância da pessoa/sistema/identidade deveria existir, mas requisitos de privacidade podem exigir o suporte a várias ins- tâncias, ou uma instância com múltiplas facetas.
• Os sistemas devem ser capazes de repassar assertivas e credenciais de se- gurança.
• Deve haver suporte a múltiplas áreas de controle. Acesso aos dados
9. O acesso aos dados deve ser controlado por atributos de segurança dos dados em si.
• Atributos podem ser guardados dentro dos dados (metadados/DRM) ou podem residir num sistema separado.
• Acesso/segurança pode ser implementado por criptografia. • Alguns dados podem ter atributos “públicos, não-confidenciais”. • O acesso e os direitos de acesso têm um componente temporal. 10. Privacidade de dados (e segurança de qualquer bem de valor suficiente-
mente elevado) requer uma segregação de funções / privilégios. • Permissões, chaves, privilégios, etc. devem, em última análise, residir em
um mecanismos de controle independente, ou haverá sempre um elo mais fraco no topo da cadeia de confiança.
• O acesso de administrador também deve estar sujeito a estes controles. 11. Por padrão, os dados devem ser adequadamente protegido quando arma-
zenados, em trânsito, e em uso. • Retirar o padrão deve ser um ato consciente.
• Segurança elevada não deve ser aplicada para tudo; o termo “adequado” implica em vários níveis de proteção, com possibilidade para que alguns dados fiquem completamente inseguros.
2.4. LITERATURA RELACIONADA 13
2.4.3
“’Deperimeterization’ demands new approach to security”
O artigo [OrangeBusiness 2008] atenta para um fato curioso, observado na publicação “2008 – Security Survey” do Computer Security Institute (CSI) [Richardson 2008]: os gastos médios das organizações decorrentes de falhas de segurança pararam de diminuir nos últimos anos. Observando uma retrospectiva destes gastos na década, percebe-se que eles diminuíam ano após ano, de modo não linear, chegando no nível mais baixo em 2006. A causa para essa estagnação, segundo o artigo, é a maneira como as redes são protegidas atualmente: “cercar e vigiar”.
Por “cercar e vigiar” entenda-se as abordagens tradicionais adotadas, as quais são projetadas de modo a proteger as fronteiras da rede, tais como firewalls. Nesse modelo, protege-se o perímetro, onde ocorre a troca de tráfego de dados com o mundo exterior, deixando os sistemas relativamente vulneráveis na rede local. Pode-se caracterizar a pro- blemática atual como uma conjuntura de fatores: fronteiras amorfas, mudança de práti- cas de trabalho e técnicas inovadores de ataque. Como exemplos, são citados: acesso à intranet através de uma rede externa (extranet, VPN, entre outros); funcionários que contaminam notebooks com vírus fora da empresa e depois voltam a conectá-los à rede corporativa; e ataques de engenharia social, persuadindo funcionários a visitar sites mali- ciosos. Chega-se à conclusão clara que o perímetro, hoje, é repleto de “buracos”.
Segundo especialistas, ao invés de proteger apenas as bordas da rede, usando técnicas simples como bloqueio de portas e varredura de e-mails, as companhias devem buscar uma abordagem deperimetrizada, baseada em papéis e identidades. Nela, assumimos que a rede definitivamente não é confiável, por mais que se tente protegê-la. Portanto, torna-se necessária uma “defesa em profundidade”, na qual múltiplas camadas de tecnologia são adotadas com o fim maior de proteção dos bens mais preciosos – os dados. A respeito destes últimos, torna-se fundamental conhecer seu ciclo de vida dentro da organização – onde estão e como são usados – de modo a propiciar-lhes a proteção necessária.
Para que isso ocorra, é necessário aumentar a sinergia entre a gerência de negócios e a gerência de TIC dentro das organizações. Históricamente, a segurança de TIC é tratada como uma função isolada, por vezes compreendendo um departamento distinto. Para o modelo deperimetrizado, o que devemos observar no futuro é uma “convergência de segurança”, na qual haverá total integração entre a gerência de segurança de TIC e a gerência de processos de negócio.
Tendo essas considerações em mente, vê-se que a segurança deve ir muito além do perímetro, adentrando na rede, chegando aos endpoints (nós da rede: computadores, ser- vidores, sistemas, ativos de rede, entre outros).
2.4.4
“Deperimeterization without endpoint control?”
Neste artigo [de Barros 2009], temos um discurso informal do tema “deperimetri- zação”. Caracteriza o problema chave do novo paradigma no “controle dos endpoints”. Basicamente, se o esforço de defesa é trazido ao nível dos endpoints, é vital ter con- trole sobre eles. Permitir a endpoints, sobre os quais não se tem controle, acesso a dados restritos de sua companhia implica em dizer que os dados deixam de ser restritos.
14 CAPÍTULO 2. PERÍMETRO X SEGURANÇA O artigo justifica o posicionamento, chamando a uma reflexão de como uma visão de segurança centrada nos dados funcionaria. Seria algo semelhante a agentes embarcados em cada endpoint ou mesmo carregados junto aos dados, encapsulando-os. Independente da metodologia aplicada, os agentes de segurança seriam executados diretamente no end- point. Dessa forma, um usuário com poderes administrativos sobre aquele dispositivo poderia modificar o agente de modo a burlar os mecanismos de segurança e fazer com que este realize tarefas não previstas, até mesmo as que se propunha a prevenir.
Como, então, evitar que usuários tenham acesso administrativo aos seus próprios dis- positivos? Simplesmente não é possível, não com a tecnologia utilizada na atualidade. Um solução seria a adoção em larga escada do Trusted Platform Module – TPM, o qual enfrenta diversas dificuldades de emplacar no mercado, dado a resistência dos usuários e de sociedades de proteção das liberdades individuais [Stephan & Vogel 2011].
Como alternativa, o artigo é taxativo: permanecer com o que se tem hoje. Sempre será necessário ter total controle sobre a rede e seu ambiente físico, além de colocar restrições sobre quais dispositivos podem ser utilizados. O controle de acesso – escolher cuidadosamente “quem acessa o que” e sob quais condições – nunca deixará de existir.
Apesar de notadamente cético, o artigo levanta questões importantes sobre a temática em questão. Deve-se levar em conta uma série de problemas que podem advir da utiliza- ção de um novo paradigma de segurança que não se baseia em perímetro. Em especial, está a questão das relações de confiança entre os entes (pessoas, sistemas, dispositivos) da infraestutura deperimetrizada. Sobre isso se manifesta o Jericho Forum, conforme mostrado na tabela 2.1:
“6. Todas as pessoas, processos e tecnologias precisam ter transparentes e declarados níveis de confiança para o estabelecimento de qualquer transação. . . . Os níveis de confiança podem variar de acordo com a localização, tipo e risco da transação e o papel do usuário.”
A questão volta-se, então, não mais para o controle do endpoint e sim no nível de confiança assumido para o mesmo. Um modelo de segurança deperimetrizado deve, pois, presumir que dispositivos, sistemas e usuários tenham capacidade de autenticação e auto- rização mútua, de maneira transparente e determinável. Tais características devem expli- citamente fazer parte do framework/modelo adotado. Necessitam, também, ser adequadas às características da organização e ao nível de proteção que se deseja obter no nível de dados. A caracterização dos dados faz-se então necessária, pois apenas aqueles que repre- sentam algum bem informacional valioso e privativo necessitam de requintes de proteção elevada. A maioria, no entanto, por representar um risco transacional menor, pode reque- rer níveis de confiança menos exigentes - reduzidos ou mesmo nulos.
2.4.5
“Between the Lines / Deperimeterization”
De acordo com Gordon Eubanks, CEO da Oblix (empresa que comercializa soluções de gerenciamento de identidade), “hoje, assim como no passado, as companhias erguem em torno de si espessas paredes de castelo e um fosso ao redor. O novo modelo é um
2.4. LITERATURA RELACIONADA 15 ambiente mais poroso, o qual facilitará a conexão de pessoas e organizações” [Farber 2004].
Tal representação, do “castelo e fosso”, é frequentemente utilizada para representar a forma como a segurança da informação é tratada hoje, assim como foi no passado. As paredes podem ser tidas como o perímetro, mais precisamente o firewall das organizações. O fosso, a separação entre a rede interna e a externa. Por fim, os portões e a ponte levadiça seriam as regras que permitem que o tráfego, baseado em portas e/ou comportamento (no caso de firewalls stateful). É uma representação clássica para esse modelo de proteção, especialmente utilizada em artigos da área por sua praticidade didática.
Por ambiente poroso, pode-se entender como aquele no qual as fronteiras entre o mundo interior e exterior das organizações são flexíveis, adaptáveis às necessidades ine- rentemente mutáveis dos processos de negócio. À trajetória rumo a essa mudança de contexto dá-se o nome de deperimetrização.
Companhias com negócios e interesses em comum buscam mecanismos para estabe- lecimento de redes federadas e distribuídas, mas esbarram em barreiras como criação de políticas comuns de acesso, tratamento de questões legais e regulatórias, gerenciamento de riscos e resolução de disputas. Outro ponto nebuloso é a gerência de identidades, o qual requer algum tratamento centralizado. Deperimetrização não equivale à descentralização. Numa rede deperimetrizada, papéis como ações e políticas de acesso são distribuídos. Descentralizar não significa que não haja um centro e sim saber o que está no centro e o que está nos nós.
A busca pelo “ambiente poroso” pode encontrar nos WebServices uma alternativa no tratamento das questões ora levantadas.
2.4.6
“Security in a world without borders”
“Encare, você já foi deperimetrizado. A questão agora é o que você vai fazer so- bre isso.” Com essa epígrafe, o artigo [Cummings 2004] atenta para uma tomada de consciência imediata sobre diversas questões atuais relacionadas à segurança de rede, es- pecialmente em se tratando da proteção fornecida pelo perímetro.
As organizações já perceberam que à medida que se torna necessário permitir acesso de rede a parceiros, clientes e fornecedores, também aumenta a abertura dentro de sis- temas de proteção de borda, como firewalls e IDS. De fato, tais sistemas hoje possuem tantos “buracos” que a efetiva proteção fornecida é mínima. Paul Simmonds, co-fundador do Jericho Forum, afirma que as bordas de rede são tão ineficazes que devem ser conside- radas mais como peneiras, afastando script kiddies e ataques básicos de Denial-of-Service (DOS), deixando passar diversas ameaças que temos de encarar hoje em dia.