Meltdown e Spectre: segurança não está contra a produtividade

De acordo com Cleber Brandão, gerente do BLOCKBIT Labs, além de considerar a segurança no escopo das tecnologias, de ofertas de produtos ou serviços, de seguir as recomendações da indústria, uma necessidade cada vez mais concreta é a adoção de ferramentas para a gestão de vulnerabilidades

As possíveis repercussões das vulnerabilidades Meltdown e Spectre são impressionantes. Seu potencial de criar transtornos extensivos a praticamente todo CPU disponível no mundo deve ser considerado com cuidado. No entanto, não há necessidade para o pânico generalizado. Com efeito, a gravidade é alta, mas a complexidade de criar exploits é a mesma que para arquitetar soluções que previnam potenciais ataques em processadores, sistemas operacionais e aplicativos. Até o momento não há relatos de malware utilizando esta falha para afetar sistemas.

Com isto, temos um intervalo mínimo para avaliar os efeitos destes eventos. Embora a maioria dos fabricantes tenha oferecido feedback ágil, os patches de correção para sistemas operacionais e aplicativos são medidas para o curto prazo, dado que o problema fundamental está no escopo do hardware. A correção em termos de design dos processadores não é um processo imediato e pode levar anos até sua conclusão. Além disso, esbarramos em um desafio ainda maior, que é endereçar a segurança dos milhões de dispositivos que adotam os processadores anteriores às melhorias necessárias para enfrentar Meltdown e Spectre.

O que nos leva a primeira grande lição deste episódio. Considerar segurança no design de qualquer tecnologia. Vale notar que as brechas reportadas representam técnicas para melhoria da performance de processamento (execução especulativa). Neste caso, o privilégio da produtividade em “detrimento” da segurança são faces de uma mesma moeda. A mesma questão deverá ser observada na adoção de tecnologias emergentes: a nuvem, a internet das coisas e o machine learning.

O segundo alerta é o processo de implementar atualizações em sistemas e aplicações. Enquanto não há correção possível em hardware, é importante cumprir com as atualizações para firmware e software. Sempre há uma razão lógica para seguir as recomendações dos especialistas naquela tecnologia.

No entanto, existem as razões práticas que dificultam o processo de patching. O tamanho do parque de dispositivos, o tempo de inatividade de sistemas críticos e as possíveis incompatibilidades experimentadas entre uma atualização de sistema e aplicativos, drivers ou plataformas legadas, por exemplo. Aqui, há um dever de casa para toda organização: criar um procedimento em que a atualização de sistemas seja possível da forma mais rápida, sem perda de atividade produtiva.

Por fim, vale registrar que Meltdown e Spectre mostram que a corrida para garantir medidas para um ambiente mais seguro está em curso e é incessante. Além de considerar a segurança no escopo das tecnologias, de ofertas de produtos ou serviços, de seguir as recomendações da indústria, uma necessidade cada vez mais concreta é a adoção de ferramentas para a gestão de vulnerabilidades. É o tipo de ferramenta que permite avaliar o status de segurança da infraestrutura das empresas, definindo ações possíveis para remediação.

Apesar de algum discurso de pânico, é certo que esse tipo de episódio não deve ser negligenciado. O movimento de toda a indústria para criar correções de forma ágil mostra que o perigo é real – apesar de não explorado neste momento. E o que vemos com o histórico recente de evolução do cenário digital é que o quanto a indústria é capaz de avançar, o cibercrime também é.

* Cleber Brandão é gerente do BLOCKBIT Labs

Posts Em Destaque
Posts Recentes
Arquivo
Siga
  • Twitter Basic Square
Tags

© 2013 by Success Consulting. Proudly GlobalMask Soluções em TI

  • LinkedIn Social Icon
  • Facebook Social Icon
  • Twitter Classic
  • Instagram ícone social

 

Comercial@globalmask.com.br

BH | RJ | SP | Maracanaú| Fortaleza | Brasilia | Goiânia | Brasil