M´ etricas de seguran¸ca

De acordo com W. Krag Brotby (2009), m´etrica ´e um termo utilizado para denotar uma medida baseada em uma referˆencia. Como a seguran¸ca, em seu significado mais b´asico, pode ser representada pela prote¸c˜ao contra as amea¸cas ou a ausˆencia de amea¸cas, as m´etricas devem refletir o n´ıvel de seguran¸ca relativo a um certo objetivo e auxiliar a tomada de decis˜ao para tratar ou evitar amea¸cas. O autor ainda afirma que as m´etricas

de seguran¸ca atuais n˜ao obtiveram sucesso para fazer isso devido a ausˆencia de objetivos em sua defini¸c˜ao. A defini¸c˜ao de objetivos para as m´etricas ´e crucial para o sucesso das mesmas. Sem eles, ´e imposs´ıvel determinar progressos ou ainda avaliar se o programa est´a na dire¸c˜ao correta.

Jaquith (2007), afirma que qualquer quantifica¸c˜ao de um problema e seus resultados em um valor num´erico pode ser considerado uma m´etrica. Segundo o autor, embora diversas defini¸c˜oes sobre m´etrica possam ser encontradas, inclusive em dicion´arios e em outros contextos, como f´ısica e matem´atica, o mais importante ´e a discuss˜ao sobre como as m´etricas podem auxiliar no cotidiano das organiza¸c˜oes. Jaquith tamb´em afirma que o principal objetivo de uma m´etrica ´e a quantifica¸c˜ao de dados brutos para fundamentar a tomada de decis˜oes. J´a Chew et al. (2008), define m´etrica como uma ferramenta projetada para facilitar a tomada de decis˜oes e melhorar a performance do sistema, atrav´es da coleta, an´alise e divulga¸c˜ao de dados.

Um ponto chave nas discuss˜oes sobre o uso de m´etricas de seguran¸ca ´e relacionado a qualidade das m´etricas a se empregar. Caso m´etricas mal planejadas ou inadequadas sejam aplicadas a certo objetivo, os resultados podem trazer falsa sensa¸c˜ao de seguran¸ca e at´e perda de capital de investimentos mal aplicados. Contudo, o que ´e necess´ario para que uma m´etrica seja adequada? Quais atributos uma m´etrica deve possuir? Conforme mencionado anteriormente, as m´etricas de seguran¸ca existem para fornecer suporte `a to- mada de decis˜oes. Este suporte ´e realizado por meio da gera¸c˜ao de informa¸c˜ao. Levando em considera¸c˜ao tal fato, W. Krag Brotby (2009) define uma s´erie de atributos que as informa¸c˜oes geradas por uma m´etrica adequada deve possuir:

• Gerenci´aveis: as informa¸c˜oes fornecidas pelas m´etricas devem ser concisas e acess´ı- veis;

• Significativas: a informa¸c˜ao deve ser f´acil de entender e importante, al´em de fornecer uma base para a tomada de decis˜oes;

• Inequ´ıvoca: informa¸c˜ao amb´ıgua pode ser enganosa, de pouco uso ou extremamente perigosa;

das medidas;

• Precisas: um sensato e conhecido n´ıvel de precis˜ao ´e essencial;

• Apropriadas: informa¸c˜oes que avisam sobre um desastre depois de ocorrer, n˜ao s˜ao ´

uteis;

• Preditivas: ´e importante que algumas informa¸c˜oes geradas possam sinalizar proble- mas iminentes.

Jaquith (2007) prop˜oe o seguinte conjunto de atributos para m´etricas de seguran¸ca.

• Definida de maneira consistente, sem crit´erios subjetivos;

• F´acil de coletar, de preferˆencia de modo automatizado;

• Expressa em n´umeros cardinais ou porcentagem, n˜ao de maneira qualitativa com r´otulos como “alto”, “m´edio” e “baixo”;

• Expressa utilizando ao menos uma unidade de medida, tais como “defeitos”, “horas” ou “d´olares”;

• Suficientemente relevante a fim de que as decis˜oes possam ser tomadas com base nos resultados das m´etricas.

Note que as defini¸c˜oes s˜ao complementares, pois, enquanto Jaquith prop˜oe um conjunto de atributos para uma m´etrica adequada, Brotby apresenta um conjunto de atributos que as informa¸c˜oes geradas por uma m´etrica adequada deve possuir. De acordo com as de- fini¸c˜oes, ´e poss´ıvel afirmar que se uma m´etrica possui os atributos citados por Jaquith, ent˜ao a informa¸c˜ao gerada por ela dever´a respeitar o conjunto de atributos de Brotby. Uma m´etrica definida de maneira consistente e sem crit´erios subjetivos ´e inevitavelmente inequ´ıvoca, assim como uma m´etrica expressa utilizando n´umeros cardinais e ao menos uma unidade de medida ser´a precisa. Dessa forma, ´e poss´ıvel construir um conjunto consis- tente de atributos que definem as caracter´ısticas de uma m´etrica de seguran¸ca adequada. A Tabela 2.1 apresenta algumas m´etricas de seguran¸ca. Elas foram escolhidas a fim de ilustrar os conceitos mostrados at´e aqui.

Tabela 2.1: Exemplos de m´etricas de seguran¸ca

M´etrica Documento de

referˆencia Taxa de atualiza¸c˜oes de seguran¸ca aplicadas por per´ıodo

ou por n´o da rede (Jaquith, 2007)

Downtime, per´ıodo de tempo em que um recurso computacional n˜ao est´a funcionando ou operacional, n˜ao

planejado

(Jaquith, 2007)

Porcentagem total de sistemas para os quais os controles de seguran¸ca foram testados em um determinado per´ıodo

de tempo

(Chew et al., 2008)

Porcentagem de notebooks com capacidade de cifra¸c˜ao

para arquivos confidenciais (Chew et al., 2008)

Tempo m´edio entre incidentes de seguran¸ca (The Center for Internet Security, 2010) Porcentagem de sistemas sem vulnerabilidades cr´ıticas

conhecidas

(The Center for Internet Security, 2010) Porcentagem de funcion´arios de TIC com qualifica¸c˜oes

espec´ıficas em seguran¸ca da informa¸c˜ao (Torres et al., 2006)

A implementa¸c˜ao de m´etricas de seguran¸ca proporciona diversos benef´ıcios `as organi- za¸c˜oes (Chew et al., 2008). O processo de coleta dos dados e apresenta¸c˜ao dos resultados permite identificar controles t´ecnicos, operacionais ou de gest˜ao que n˜ao est˜ao sendo imple- mentados ou s˜ao implementados incorretamente. Utilizando os resultados da an´alise das m´etricas, os gerentes e propriet´arios do sistema podem isolar os problemas, usar os dados coletados para justificar os pedidos de investimentos e assim direcionar os investimentos para as ´areas que necessitam de melhorias.

Apesar dos benef´ıcios citados, um grande problema relacionado `as m´etricas de segu- ran¸ca ´e o chamado problema fundamental da medi¸c˜ao (Hinson, 2006). Considere uma m´etrica que tenha como objetivo medir o n´umero e a severidade dos incidentes de segu- ran¸ca em um determinado sistema. O problema fundamental da medi¸c˜ao recai no seguinte questionamento: o que os n´umeros obtidos com a medi¸c˜ao podem nos indicar? Como in- terpretar corretamente os dados? A situa¸c˜ao a seguir ilustra esse problema.

web (web defacements). Esse tipo de ataque n˜ao ´e t˜ao comum quanto foi h´a alguns anos atr´as. Os servidores agora s˜ao mais protegidos ou os atacantes est˜ao escolhendo outros tipos de alvos? Em outras palavras, os controles de seguran¸ca est˜ao funcionando ou as falhas passaram desapercebidas? Esse tipo de problema requer um grande cuidado na elabora¸c˜ao da m´etrica e tamb´em na filtragem e interpreta¸c˜ao dos resultados obtidos.

Um outro problema relacionado a implementa¸c˜ao de m´etricas de m´etricas de seguran¸ca ´

e o uso excessivo de m´etricas (W. Krag Brotby, 2009). A organiza¸c˜ao pode gastar recur- sos implementando muitas m´etricas e n˜ao us´a-las de fato. W. Krag Brotby (2009) prop˜oe as seguintes diretrizes que auxiliam evitar tal erro: i) n˜ao coletar m´etricas se n˜ao existi- rem objetivos pr´e-definidos sobre como os resultados ser˜ao utilizados, ii) propor objetivos fact´ıveis e pragm´aticos, iii) distinguir entre o que pode ser medido e o que precisa ser medido e iv) estabelecer uma rela¸c˜ao de custo-benef´ıcio entre as vantagens e o custo da implementa¸c˜ao.

A prolifera¸c˜ao de propostas de m´etricas de seguran¸ca e os problemas relacionados ao uso pr´atico das mesmas, motivou a agˆencia federal norte-americana de padroniza¸c˜ao e tecnologia (NIST) a desenvolver um relat´orio (Jansen, 2010) sobre o estado da arte e poss´ıveis ´areas de pesquisa sobre o tema m´etricas de seguran¸ca.

O relat´orio mostra que, em geral, o estado atual das m´etricas de seguran¸ca envolve indicadores de seguran¸ca amb´ıguos, avaliados de modo subjetivo e que n˜ao necessariamente coincidem com os objetivos de seguran¸ca da organiza¸c˜ao. Al´em disso, poucos trabalhos da ´

area mostraram a utilidade das m´etricas de seguran¸ca na pr´atica. Dessa forma, os esfor¸cos em pesquisa na ´area de m´etricas de seguran¸ca devem envolver os seguintes fatores:

• Determinar bons estimadores para a seguran¸ca do sistema;

• Reduzir a dependˆencia do elemento humano nas medidas e consequentemente dimi- nuir a subjetividade;

• Oferecer modos mais r´apidos e sistem´aticos para obter m´etricas significativas;

• Compreens˜ao sobre os mecanismos de composi¸c˜ao de seguran¸ca.

Em especial, o relat´orio aponta como um poss´ıvel ponto de partida, cinco poss´ıveis ´

1. Modelos formais de m´etricas de seguran¸ca;

2. Coleta e an´alise de dados hist´oricos;

3. T´ecnicas de avalia¸c˜ao utilizando Inteligˆencia Artificial;

4. M´etodos de medida concretos e pratic´aveis;

5. Componentes intrinsecamente mensur´aveis.

Esta tese se baseia em duas dessas ´areas de pesquisa: coleta e an´alise de dados hist´oricos fornecidos pela University of Maryland e CAIS/RNP e m´etodos de medida concretos e pratic´aveis usando modelos estat´ısticos. Al´em disso, a presente pesquisa tamb´em envolve dois dos fatores sugeridos em (Jansen, 2010): o desenvolvimento de bons estimadores para a seguran¸ca do sistema e modos mais r´apidos e sistem´aticos para obten¸c˜ao de m´etricas significativas.