Meltdown e Spectre: segurança não está contra a produtividade

De acordo com Cleber Brandão, gerente do BLOCKBIT Labs, além de considerar a segurança no escopo das tecnologias, de ofertas de produtos ou serviços, de seguir as recomendações da indústria, uma necessidade cada vez mais concreta é a adoção de ferramentas para a gestão de vulnerabilidades

Compartilhar:

As possíveis repercussões das vulnerabilidades Meltdown e Spectre são impressionantes. Seu potencial de criar transtornos extensivos a praticamente todo CPU disponível no mundo deve ser considerado com cuidado. No entanto, não há necessidade para o pânico generalizado. Com efeito, a gravidade é alta, mas a complexidade de criar exploits é a mesma que para arquitetar soluções que previnam potenciais ataques em processadores, sistemas operacionais e aplicativos. Até o momento não há relatos de malware utilizando esta falha para afetar sistemas.

 

Com isto, temos um intervalo mínimo para avaliar os efeitos destes eventos. Embora a maioria dos fabricantes tenha oferecido feedback ágil, os patches de correção para sistemas operacionais e aplicativos são medidas para o curto prazo, dado que o problema fundamental está no escopo do hardware. A correção em termos de design dos processadores não é um processo imediato e pode levar anos até sua conclusão. Além disso, esbarramos em um desafio ainda maior, que é endereçar a segurança dos milhões de dispositivos que adotam os processadores anteriores às melhorias necessárias para enfrentar Meltdown e Spectre.

 

O que nos leva a primeira grande lição deste episódio. Considerar segurança no design de qualquer tecnologia. Vale notar que as brechas reportadas representam técnicas para melhoria da performance de processamento (execução especulativa). Neste caso, o privilégio da produtividade em “detrimento” da segurança são faces de uma mesma moeda. A mesma questão deverá ser observada na adoção de tecnologias emergentes: a nuvem, a internet das coisas e o machine learning.

 

O segundo alerta é o processo de implementar atualizações em sistemas e aplicações.  Enquanto não há correção possível em hardware, é importante cumprir com as atualizações para firmware e software. Sempre há uma razão lógica para seguir as recomendações dos especialistas naquela tecnologia.

 

No entanto, existem as razões práticas que dificultam o processo de patching. O tamanho do parque de dispositivos, o tempo de inatividade de sistemas críticos e as possíveis incompatibilidades experimentadas entre uma atualização de sistema e aplicativos, drivers ou plataformas legadas, por exemplo. Aqui, há um dever de casa para toda organização: criar um procedimento em que a atualização de sistemas seja possível da forma mais rápida, sem perda de atividade produtiva.

 

Por fim, vale registrar que Meltdown e Spectre mostram que a corrida para garantir medidas para um ambiente mais seguro está em curso e é incessante. Além de considerar a segurança no escopo das tecnologias, de ofertas de produtos ou serviços, de seguir as recomendações da indústria, uma necessidade cada vez mais concreta é a adoção de ferramentas para a gestão de vulnerabilidades. É o tipo de ferramenta que permite avaliar o status de segurança da infraestrutura das empresas, definindo ações possíveis para remediação.

 

Apesar de algum discurso de pânico, é certo que esse tipo de episódio não deve ser negligenciado. O movimento de toda a indústria para criar correções de forma ágil mostra que o perigo é real – apesar de não explorado neste momento. E o que vemos com o histórico recente de evolução do cenário digital é que o quanto a indústria é capaz de avançar, o cibercrime também é.

 

* Cleber Brandão é gerente do BLOCKBIT Labs

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Dia da Internet: Phishing e data leak são duas das maiores ameaças ao usuário

Com o desenvolvimento acelerado da tecnologia, a crescente de tentativas de golpes no ambiente online também se torna uma realidade....
Security Report | Overview

Especialistas alertam para novos modelos personalizados de golpe com QR Code

Especialistas da Check Point Software identificaram novos ataques cibernéticos conhecidos por Quishing e explicam como evitar tais golpes...
Security Report | Overview

61% das empresas aumentarão investimento em Cloud Security, segundo relatório

As organizações participantes do estudo estimam que o aumento planejado dos investimentos em segurança na nuvem alcance os 37%, em...
Security Report | Overview

CTIR Gov emite recomendações de enfrentamento ao ransomware Black Basta

Em informe publicado no site oficial da organização, foram trazidas outras informações a respeito do malware, que tem mirado especificamente...