Meltdown e Spectre: segurança não está contra a produtividade

De acordo com Cleber Brandão, gerente do BLOCKBIT Labs, além de considerar a segurança no escopo das tecnologias, de ofertas de produtos ou serviços, de seguir as recomendações da indústria, uma necessidade cada vez mais concreta é a adoção de ferramentas para a gestão de vulnerabilidades

Compartilhar:

As possíveis repercussões das vulnerabilidades Meltdown e Spectre são impressionantes. Seu potencial de criar transtornos extensivos a praticamente todo CPU disponível no mundo deve ser considerado com cuidado. No entanto, não há necessidade para o pânico generalizado. Com efeito, a gravidade é alta, mas a complexidade de criar exploits é a mesma que para arquitetar soluções que previnam potenciais ataques em processadores, sistemas operacionais e aplicativos. Até o momento não há relatos de malware utilizando esta falha para afetar sistemas.

 

Com isto, temos um intervalo mínimo para avaliar os efeitos destes eventos. Embora a maioria dos fabricantes tenha oferecido feedback ágil, os patches de correção para sistemas operacionais e aplicativos são medidas para o curto prazo, dado que o problema fundamental está no escopo do hardware. A correção em termos de design dos processadores não é um processo imediato e pode levar anos até sua conclusão. Além disso, esbarramos em um desafio ainda maior, que é endereçar a segurança dos milhões de dispositivos que adotam os processadores anteriores às melhorias necessárias para enfrentar Meltdown e Spectre.

 

O que nos leva a primeira grande lição deste episódio. Considerar segurança no design de qualquer tecnologia. Vale notar que as brechas reportadas representam técnicas para melhoria da performance de processamento (execução especulativa). Neste caso, o privilégio da produtividade em “detrimento” da segurança são faces de uma mesma moeda. A mesma questão deverá ser observada na adoção de tecnologias emergentes: a nuvem, a internet das coisas e o machine learning.

 

O segundo alerta é o processo de implementar atualizações em sistemas e aplicações.  Enquanto não há correção possível em hardware, é importante cumprir com as atualizações para firmware e software. Sempre há uma razão lógica para seguir as recomendações dos especialistas naquela tecnologia.

 

No entanto, existem as razões práticas que dificultam o processo de patching. O tamanho do parque de dispositivos, o tempo de inatividade de sistemas críticos e as possíveis incompatibilidades experimentadas entre uma atualização de sistema e aplicativos, drivers ou plataformas legadas, por exemplo. Aqui, há um dever de casa para toda organização: criar um procedimento em que a atualização de sistemas seja possível da forma mais rápida, sem perda de atividade produtiva.

 

Por fim, vale registrar que Meltdown e Spectre mostram que a corrida para garantir medidas para um ambiente mais seguro está em curso e é incessante. Além de considerar a segurança no escopo das tecnologias, de ofertas de produtos ou serviços, de seguir as recomendações da indústria, uma necessidade cada vez mais concreta é a adoção de ferramentas para a gestão de vulnerabilidades. É o tipo de ferramenta que permite avaliar o status de segurança da infraestrutura das empresas, definindo ações possíveis para remediação.

 

Apesar de algum discurso de pânico, é certo que esse tipo de episódio não deve ser negligenciado. O movimento de toda a indústria para criar correções de forma ágil mostra que o perigo é real – apesar de não explorado neste momento. E o que vemos com o histórico recente de evolução do cenário digital é que o quanto a indústria é capaz de avançar, o cibercrime também é.

 

* Cleber Brandão é gerente do BLOCKBIT Labs

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...
Security Report | Overview

GSI publica resolução do primeiro encontro do Comitê de Cibersegurança

O Comitê organizado e administrado pelo GSI definiu tanto o regimento interno do conselho quanto dividiu as atribuições dos Grupos...
Security Report | Overview

Avanço das deepfakes movimenta indústria em favor da detecção com IA embarcada

Segundo pesquisa da Kaspersky, o número de golpes por fake news de produções digitais teve um aumento de 900% em...
Security Report | Overview

Ministério da Ciência e Tecnologia amplia programa de incentivo a pesquisas sobre IA

Iniciativa vai acelerar projetos nas áreas de Saúde, Agronegócio, Gestão Corporativa, Finanças, TI e Telecom; Energia e Sismologia, Segurança, Defesa...