Total Security - www.totalsecurity.com.br
Segurança corporativa: código aberto é sinônimo de fragilidade?
É uma discussão antiga em segurança da informação. O que é mais confiável: as soluções pagas de fornecedores com atuação de anos e nomes consolidados ou uma ferramenta de código aberto desenvolvida pela comunidade de software livre? Especialmente quando essa discussão é levada para a esfera corporativa, a tendência é uma discussão quase sem fim.
Por um lado, o cansado argumento de que não há confiança no open source não é mais válido. Além da forte adoção de Linux nos servidores, também nas máquinas de missão crítica, a utilização disseminada de ferramentas como o snort, dedicado à identificação e prevenção de intrusos, mostra como a situação mudou. “Há cinco anos atrás, podia-se dizer que havia medo, que era válido o discurso ‘se é possível ver o código, é mais fácil quebrá-lo’. Hoje, não é mais possível”, defende John Pescatore, diretor de pesquisas do Gartner, em entrevista por telefone.
Além disso, resultados de testes como o realizado pela David Matousec, que colocou as firewalls gratuitas de código aberto na frente das soluções pagas para Windows, têm servido para consolidar a argumentação favorável a uma estrutura de segurança em código aberto. Sem a pressão do ‘time to market’, as soluções desenvolvidas pela comunidade poderiam se focar exclusivamente na qualidade e não precisam se preocupar em manter um modelo de negócios viável. Por terem sido criadas por paixão – contando com estudantes e acadêmicos destacados – as ferramentas não teriam as brechas causadas pela pressa.
Do outro lado, fala-se da importância de ter uma empresa formal com escritórios em várias partes do mundo, com armadilhas prontas (honeypots) para colher pragas. E, num mundo fortemente baseado em criação de vacinas, conta muito ter profissionais contratados para criá-las várias vezes por dia. Acima de tudo, destacam-se os milhões de clientes mandando respostas e amostras de malware de todas as partes do globo, assim como a capacidade de investimento que os 2,09 bilhões de dólares gerados apenas no segmento de antivírus corporativo em 2006, segundo dados do Gartner.
A pergunta, portanto, que surge na cabeça dos gestores de tecnologia ou de segurança é imediata. De que vale gastar recursos para comprar a licença de uso de uma solução se existe uma alternativa gratuita? Além disso, em um mundo em que as ameaças mudam tanto e que até os fornecedores do setor afirmam que nada é 100% seguro, não vale mais apostar no que é – no final – mais barato?
“Não, em segurança é preciso balancear as decisões. Em alguns setores da empresa você efetivamente precisa de um parceiro estabelecido e não pode depender somente da comunidade”, acredita Eduardo Moura, CIO da cadeia de hotéis Rede Plaza. Para o executivo, ele mesmo um entusiasta de sistemas operacionais em código aberto, apesar das boas alternativas em open source, muitas demandas corporativas – especialmente relacionadas com aderência as regulamentações – impedem uma atuação 100% em software livre.
Código Aberto igual à Segurança?
John Pescatore, do Gartner, não compartilha a mesma visão do executivo. Ele garante que é possível sim ter todas as ferramentas de segurança em software livre. “Existem soluções de código aberto para qualquer ferramenta de segurança, dos antivírus ao IPS”, comenta. O problema, destaca, está no nível acima das ferramentas: a gestão das diversas soluções pontuais.
“Só há segurança efetivamente se todas as ferramentas estiverem atuando combinadas. Como fazer toda essa estrutura funcionar sob uma única interface, ganhando tempo e eficiência?”, questiona. Ele destaca que existe uma iniciativa aberta para cuidar exclusivamente do gerenciamento em segurança, a Open Source Security Information Management (OSSIM), mas o projeto ainda não é equivalente às ofertas de gestão centralizada das empresas tradicionais – tanto em nível de adoção quanto em qualidade.
O mesmo questionamento é feito por Marcelo Okano, professor de pós-graduação em gestão de redes de computadores da FIAP. O desafio, resume o acadêmico, é a gestão. Outro ponto importante, ele destaca, está no que está ao redor da estrutura de defesa. “A empresa não paga o software, mas onde estão os recursos para a definição de políticas e para análises dos diversos logs gerados pelas ferramentas?”, diz.
Pescatore destaca um outro problema das soluções de código aberto em segurança. Como as soluções em código aberto têm uma grande demanda por customização, destaca o diretor de pesquisa, aumenta muito a importância do profissional à frente do projeto de segurança. Ele argumenta: “Em um ambiente aberto, a empresa terá problemas sérios se perder esse engenheiro. Na customização de soluções abertas, em geral, não existe a formalidade necessária para documentar mudanças, é difícil saber o que ele fez”.
O caminho da segurança rumo ao código aberto está, então, condenado. Eduardo Moura, da Rede Plaza, é enfático em rechaçar a idéia. Para ele, o fator fundamental para garantir a proteção está em adotar sistema operacional em código aberto. “É preciso deixar a crença de que ‘aplicar patches’ faz parte do trabalho regular de TI. Nossos técnicos merecem mais do que pressionar next, next e finish e esperar a máquina reiniciar. Há mais no mundo do que janelas”, ironiza.
Em relação às ferramentas de segurança em código aberto, defende o executivo, uma boa alternativa é avaliar cada solução individualmente, optando por soluções de código aberto quando fizer sentido para a estratégia da companhia. A estratégia é tão eficiente que empresas como a Sourcefire, proprietária do snort, encontraram um nicho de mercado e vendem a ferramenta com hardware e serviços integrados, em uma atuação semelhante a brasileira ProckWork. “A força da comunidade se mostra em várias iniciativas, como nas listas de controle de spam. Nem todas as empresas de segurança precisam competir com a comunidade, alguns podem ajustar o foco e aproveitar a sinergia”, diz.
Na prática, contudo, as empresas de segurança têm parcerias fortes com os fornecedores de banco de dados e sistemas operacionais tradicionais. Perscatore distaca a atuação conjunta de fornecedores de proteção com companhias como Microsoft e Oracle, o que significa – na prática – uma vulnerabilidade identificada já é avisada ao parceiro, encurtando o processo blindando a parte da aplicação que tem uma brecha até que chegue a atualização oficial.
O diretor de pesquisas do Gartner aponta, também, outra utilização para as ferramentas de segurança em código aberto. Especialmente nas grandes organizações, elas podem ser utilizadas como uma maneira de negociar com os fornecedores de segurança um preço mais interessante nos serviços. “Com a oferta de código aberto, aumentou a concorrência nos serviços. Isso é interessante para a companhia, mas depende do profissional que ela tem disponível”, defende.
Okano, no entanto, acha que essa visão não pode descer até o ponto de a empresa cliente esperar um bom resultado sem ter que investir nada. Destacando que a segurança é, hoje, parte do custo de fazer negócios na era da internet, ele arremata: “De graça, não existe um bom serviço. Isso vale para diversos setores, especialmente para segurança da informação”.
A opinião da indústria
Como não poderia deixar de ser, a indústria. Ao falar com duas das maiores empresas de segurança da informação – Trend e Symantec – foi ressaltada as vantagens únicas das tecnologias proprietárias de defesa. Mesmo com um discurso cuidadoso, os dois representantes ouvidos pela reportagem do COMPUTERWORLD não consideram que as ferramentas em código aberto representam uma real competição no segmento corporativo.
Paulo Vendramini, engenheiro de sistemas da Symantec, acredita que o maior diferencial que a estrutura das empresas tradicionais podem oferecer está na possibilidade de uma atuação pró-ativa, trabalhando com diversos grupos de clientes para definir as pragas específicas de cada vertical. “Nós estamos mais próximos de quem está mais exposto. A parceria com associações de bancos do mundo inteiro, por exemplo, nos ajuda a cuidar dos clientes mais vulneráveis”, defende.
Para Fabio Picolli, da Trend Micro, afirma que a natureza das pragas, em contínua auto-revolução, demanda níveis altos de investimento em pesquisa e desenvolvimento. “As comunidades online, os blogs e fóruns são importantes, mas não é um suporte oficializado de uma empresa estruturada. É diferente”, acrescenta. Ele destaca que técnicas que passaram a ser utilizadas com mais freqüência recentemente pelas empresas, como a heurística e o bloqueio por comportamento, são caras e estão recebendo investimentos pesados.
É evidente que as empresas de segurança tradicionais vão defender o seu modelo em detrimento da concorrência em código aberto. Da mesma forma, está clara a penetração das ferramentas no universo corporativo. Pescatore resume: “Nas soluções em que as ameaças são conhecidas e há trabalho longo, como firewall, AV, IDS e IPS, já está acontecendo o boom das ferramentas de código aberto”. Resta saber qual é a melhor solução para você, leitor, e para a sua empresa.
Fonte: COMPUTERWORLD
Por um lado, o cansado argumento de que não há confiança no open source não é mais válido. Além da forte adoção de Linux nos servidores, também nas máquinas de missão crítica, a utilização disseminada de ferramentas como o snort, dedicado à identificação e prevenção de intrusos, mostra como a situação mudou. “Há cinco anos atrás, podia-se dizer que havia medo, que era válido o discurso ‘se é possível ver o código, é mais fácil quebrá-lo’. Hoje, não é mais possível”, defende John Pescatore, diretor de pesquisas do Gartner, em entrevista por telefone.
Além disso, resultados de testes como o realizado pela David Matousec, que colocou as firewalls gratuitas de código aberto na frente das soluções pagas para Windows, têm servido para consolidar a argumentação favorável a uma estrutura de segurança em código aberto. Sem a pressão do ‘time to market’, as soluções desenvolvidas pela comunidade poderiam se focar exclusivamente na qualidade e não precisam se preocupar em manter um modelo de negócios viável. Por terem sido criadas por paixão – contando com estudantes e acadêmicos destacados – as ferramentas não teriam as brechas causadas pela pressa.
Do outro lado, fala-se da importância de ter uma empresa formal com escritórios em várias partes do mundo, com armadilhas prontas (honeypots) para colher pragas. E, num mundo fortemente baseado em criação de vacinas, conta muito ter profissionais contratados para criá-las várias vezes por dia. Acima de tudo, destacam-se os milhões de clientes mandando respostas e amostras de malware de todas as partes do globo, assim como a capacidade de investimento que os 2,09 bilhões de dólares gerados apenas no segmento de antivírus corporativo em 2006, segundo dados do Gartner.
A pergunta, portanto, que surge na cabeça dos gestores de tecnologia ou de segurança é imediata. De que vale gastar recursos para comprar a licença de uso de uma solução se existe uma alternativa gratuita? Além disso, em um mundo em que as ameaças mudam tanto e que até os fornecedores do setor afirmam que nada é 100% seguro, não vale mais apostar no que é – no final – mais barato?
“Não, em segurança é preciso balancear as decisões. Em alguns setores da empresa você efetivamente precisa de um parceiro estabelecido e não pode depender somente da comunidade”, acredita Eduardo Moura, CIO da cadeia de hotéis Rede Plaza. Para o executivo, ele mesmo um entusiasta de sistemas operacionais em código aberto, apesar das boas alternativas em open source, muitas demandas corporativas – especialmente relacionadas com aderência as regulamentações – impedem uma atuação 100% em software livre.
Código Aberto igual à Segurança?
John Pescatore, do Gartner, não compartilha a mesma visão do executivo. Ele garante que é possível sim ter todas as ferramentas de segurança em software livre. “Existem soluções de código aberto para qualquer ferramenta de segurança, dos antivírus ao IPS”, comenta. O problema, destaca, está no nível acima das ferramentas: a gestão das diversas soluções pontuais.
“Só há segurança efetivamente se todas as ferramentas estiverem atuando combinadas. Como fazer toda essa estrutura funcionar sob uma única interface, ganhando tempo e eficiência?”, questiona. Ele destaca que existe uma iniciativa aberta para cuidar exclusivamente do gerenciamento em segurança, a Open Source Security Information Management (OSSIM), mas o projeto ainda não é equivalente às ofertas de gestão centralizada das empresas tradicionais – tanto em nível de adoção quanto em qualidade.
O mesmo questionamento é feito por Marcelo Okano, professor de pós-graduação em gestão de redes de computadores da FIAP. O desafio, resume o acadêmico, é a gestão. Outro ponto importante, ele destaca, está no que está ao redor da estrutura de defesa. “A empresa não paga o software, mas onde estão os recursos para a definição de políticas e para análises dos diversos logs gerados pelas ferramentas?”, diz.
Pescatore destaca um outro problema das soluções de código aberto em segurança. Como as soluções em código aberto têm uma grande demanda por customização, destaca o diretor de pesquisa, aumenta muito a importância do profissional à frente do projeto de segurança. Ele argumenta: “Em um ambiente aberto, a empresa terá problemas sérios se perder esse engenheiro. Na customização de soluções abertas, em geral, não existe a formalidade necessária para documentar mudanças, é difícil saber o que ele fez”.
O caminho da segurança rumo ao código aberto está, então, condenado. Eduardo Moura, da Rede Plaza, é enfático em rechaçar a idéia. Para ele, o fator fundamental para garantir a proteção está em adotar sistema operacional em código aberto. “É preciso deixar a crença de que ‘aplicar patches’ faz parte do trabalho regular de TI. Nossos técnicos merecem mais do que pressionar next, next e finish e esperar a máquina reiniciar. Há mais no mundo do que janelas”, ironiza.
Em relação às ferramentas de segurança em código aberto, defende o executivo, uma boa alternativa é avaliar cada solução individualmente, optando por soluções de código aberto quando fizer sentido para a estratégia da companhia. A estratégia é tão eficiente que empresas como a Sourcefire, proprietária do snort, encontraram um nicho de mercado e vendem a ferramenta com hardware e serviços integrados, em uma atuação semelhante a brasileira ProckWork. “A força da comunidade se mostra em várias iniciativas, como nas listas de controle de spam. Nem todas as empresas de segurança precisam competir com a comunidade, alguns podem ajustar o foco e aproveitar a sinergia”, diz.
Na prática, contudo, as empresas de segurança têm parcerias fortes com os fornecedores de banco de dados e sistemas operacionais tradicionais. Perscatore distaca a atuação conjunta de fornecedores de proteção com companhias como Microsoft e Oracle, o que significa – na prática – uma vulnerabilidade identificada já é avisada ao parceiro, encurtando o processo blindando a parte da aplicação que tem uma brecha até que chegue a atualização oficial.
O diretor de pesquisas do Gartner aponta, também, outra utilização para as ferramentas de segurança em código aberto. Especialmente nas grandes organizações, elas podem ser utilizadas como uma maneira de negociar com os fornecedores de segurança um preço mais interessante nos serviços. “Com a oferta de código aberto, aumentou a concorrência nos serviços. Isso é interessante para a companhia, mas depende do profissional que ela tem disponível”, defende.
Okano, no entanto, acha que essa visão não pode descer até o ponto de a empresa cliente esperar um bom resultado sem ter que investir nada. Destacando que a segurança é, hoje, parte do custo de fazer negócios na era da internet, ele arremata: “De graça, não existe um bom serviço. Isso vale para diversos setores, especialmente para segurança da informação”.
A opinião da indústria
Como não poderia deixar de ser, a indústria. Ao falar com duas das maiores empresas de segurança da informação – Trend e Symantec – foi ressaltada as vantagens únicas das tecnologias proprietárias de defesa. Mesmo com um discurso cuidadoso, os dois representantes ouvidos pela reportagem do COMPUTERWORLD não consideram que as ferramentas em código aberto representam uma real competição no segmento corporativo.
Paulo Vendramini, engenheiro de sistemas da Symantec, acredita que o maior diferencial que a estrutura das empresas tradicionais podem oferecer está na possibilidade de uma atuação pró-ativa, trabalhando com diversos grupos de clientes para definir as pragas específicas de cada vertical. “Nós estamos mais próximos de quem está mais exposto. A parceria com associações de bancos do mundo inteiro, por exemplo, nos ajuda a cuidar dos clientes mais vulneráveis”, defende.
Para Fabio Picolli, da Trend Micro, afirma que a natureza das pragas, em contínua auto-revolução, demanda níveis altos de investimento em pesquisa e desenvolvimento. “As comunidades online, os blogs e fóruns são importantes, mas não é um suporte oficializado de uma empresa estruturada. É diferente”, acrescenta. Ele destaca que técnicas que passaram a ser utilizadas com mais freqüência recentemente pelas empresas, como a heurística e o bloqueio por comportamento, são caras e estão recebendo investimentos pesados.
É evidente que as empresas de segurança tradicionais vão defender o seu modelo em detrimento da concorrência em código aberto. Da mesma forma, está clara a penetração das ferramentas no universo corporativo. Pescatore resume: “Nas soluções em que as ameaças são conhecidas e há trabalho longo, como firewall, AV, IDS e IPS, já está acontecendo o boom das ferramentas de código aberto”. Resta saber qual é a melhor solução para você, leitor, e para a sua empresa.
Fonte: COMPUTERWORLD
URL Fonte: http://www.totalsecurity.com.br/noticia/1932/visualizar/
Comentários