MidAmerican, empresa norte-americana, fornecedora de eletricidade e gás, diminuiu significativamente suas brechas com abordagem de orientada ao código das aplicações.
A MidAmerican Energy Company, uma das maiores companhias de energia dos Estados Unidos, é um alvo de ataque tentador para criminosos, cujo desafio é colocar em cheque uma infraestrutura crítica. A empresa fornece eletricidade e gás para mais de 1,4 milhão de consumidores somente nos estados de Iowa e Illinois, além de controlar outras companhias do mesmo segmento em diversos lugares do mundo.
Com esse cenário, a companhia decidiu realizar um estudo extenso de seus procedimentos de segurança e percebeu que estava em perigo: a rede apresentava falhas, principalmente nas aberturas para saídas externas. Com a capilaridade em diversas unidades, muitos pontos de acesso de internet eram potenciais alvos. Entretanto, o que mais causava preocupação eram os problemas de código das inúmeras aplicações que a empresa possui, desde as utilizadas para gerenciar distribuição de energia até serviços de cobrança online.
“Há um ano tivemos um incidente no qual uma de nossas páginas web foram exploradas via SQL injection. Foi um alerta de que tínhamos vulnerabilidades que poderiam ser descobertas a qualquer momento”, diz o gerente de segurança da informação da MidAmerican, John Kerber, que dirigiu o estudo.
Com a abordagem, a empresa seguiu uma tendência crescente na comunidade de segurança da informação: a confiança passou a ser depositada mais na segurança de código do que em defesas de borda. A tendência tem o apoio de movimentos como o Rugged software e associações como a Building Security in Maturity Model (construção de segurança em um modelo maduro), ambas formadas por profissionais da área. No campo dos fornecedores, a Microsoft alimenta o processo Security Development Lifecycle (SDL), que visa a garantia de segurança no desenvolvimento de software.
Antes do ataque de SQL, a empresa só produzia códigos do ponto de vista da funcionalidade, sem pensar em segurança. Depois de identificar o problema, o CIO da companhia pediu que Kerber projetasse um programa de segurança de aplicações. O programa foi baseado na metodologia OWASP, entidade que promove um conjunto aberto de padrões de ciclo de vida seguro para desenvolvimento.
A equipe responsável foi enviada para participar de uma conferência da OWASP e voltou com ideias novas. “Eles me disseram que precisariam de uma ferramenta para realizar uma varrição em todo o código”.
O tempo de realização do projeto era um desafio. A companhia tinha um prazo apertado para garantir a segurança de muitas aplicações, mas ainda não havia ferramenta. No final de 2008 a companhia ainda revia milhares de linhas de código manualmente e tudo precisaria estar pronto até o terceiro trimestre de 2009. “A opção foi por um software híbrido da empresa Fortify, que tem a funcionalidade de varrer cada linguagem de aplicativos que usávamos e pode ser usado pelo próprio desenvolvedor”, disse Kerber.
Com o novo método, a empresa varreu nove mil linhas de código em um mês e conseguiu diminuir o número de falhas graves de 15 mil para menos de 100. Assim, eliminou as falhas de scripts que serviam como elos entre as unidades da empresa. “O números de brechas de SQL também foi reduzido drasticamente”, diz Kerber.
O mais importante, no entanto, é a cultura de segurança que se desenvolveu na equipe com a aplicação de toda a metodologia. “Hoje temos desenvolvedores mais espertos e a segurança já faz parte do código desde seu início”, afirma.
Para resolver o problema da rede, que tinham políticas inconsistentes nas diversas unidades, Kerber resolveu implantar funis nas conexões entre as unidades operacionais e a internet. Agora todas as transações ocorrem a partir de apenas duas conexões à internet, na qual é possível realizar toda a filtragem. “O sistema de e-mail roda no mesmo lugar, esteja nossa unidade em Portland ou nas Filipinas. A centralização da rede faz com que qualquer acesso passe por uma validação a partir de uma série de critérios”, completa.
Fonte: BILL BRENNER, CSO (EUA) – Computerword
ITIL.Pro 
Sábia decisão. A Internet e a descentralização, hoje, andam de mãos dadas. Não somente a vulnerabilidade de códigos mas toda e qualquer vulnerabilidade deve ser contemplada em planos de curto, médio e longo prazos, dentro das políticas de segurança da informação corporativa. As políticas devem ser elaboradas com imparcialidade, e baseadas nas melhores práticas da GRC – Governança, Risco e Compliance.
Wise decision. The Internet and decentralization, today, go hand in hand. Not only the vulnerability of codes, but any vulnerability must be addressed in plans for short, medium and long term, within the security policies of corporate information. Policies must be developed impartially and based on best practices in GRC – Governance, Risk and Compliance.
É verdade Joaquim, as políticas de SI devem englobar a resolução de toda e qualquer vulnerabilidade pois graças a integração aprofundada entre TI e Negócios, qualquer pequena falha na segurança pode ser de grande impacto na corporação.
Abraço!
Rafael Sá Oliveira
http://rsobsb.wordpress.com