Por que o melhor tipo de cibersegurança é a Segurança Aberta

blog-open-security-720x420-A.png

Por muito tempo, a ideia de segurança em sistemas digitais foi acompanhada por outra ideia: sigilo. 

Alguns argumentam que, para ter segurança de verdade, a tecnologia que a fornece deve ser mantida em segredo, mesmo para os clientes que a utilizam. Confie em nós, dizem eles — nosso software é constantemente atualizado pelos melhores desenvolvedores do mercado. Estamos monitorando as ameaças antes que alguém saiba que elas existem. E criamos patches para elas antes que gerem um problema para seus sistemas. Tudo o que você precisa fazer é instalar nosso software e deixar o que acontece dentro dele por nossa conta.

Infelizmente, essa abordagem de caixa preta para a segurança constitui, em si, uma enorme vulnerabilidade em uma era de invasores comprometidos e com bons recursos que procuram causar grandes danos. Ao isolar seu código da comunidade, as próprias empresas de segurança se tornam alvos de hackers. Um ataque não detectado ao software de segurança pode acabar expondo milhares de clientes a vulnerabilidades e invasões, disponibilizando quantidades incontáveis de dados sensíveis para agentes maliciosos. Abrindo uma caixa preta, os invasores podem escancarar as portas, quer estejam atrás de informações financeiras, segredos comerciais, material para chantagem ou escândalos diplomáticos.

O novo paradigma de segurança

Nos últimos anos, vimos todos os tipos de roubo de dados nas páginas iniciais dos sites de notícias. Em cada caso, em algum lugar ao longo do caminho, uma falha na segurança foi o que acabou permitindo que os invasores acessassem os dados. E, em cada caso, as vítimas dessas vulnerabilidades estavam sentadas em uma caixa preta, no escuro, sem saber a forma da ameaça ou como (e se) seu software de segurança poderia lidar com ela.

É hora de termos um novo paradigma no mundo da cibersegurança. Nenhuma abordagem ou equipe de desenvolvedores terá todas as respostas ou será capaz de conter todas as invasões. Mas, ao manter seus esforços ocultos na caixa preta, essas empresas fazem duas coisas: primeiro, mantêm seus clientes como reféns, sem permitir que façam o tipo de verificação e auditoria disponível em qualquer outro lugar em seus sistemas. Segundo, perpetuam escalações com os próprios invasores que estão tentando impedir, incentivando-os a quebrar o patch mais recente, a versão mais recente, na esperança de descobrir uma vulnerabilidade que possam explorar ou vender pelo lance mais alto.

Existe uma maneira melhor de manter os sistemas seguros. 

Em vez de sistemas fechados que não mostram sinais de diminuir o ciclo cada vez maior de vulnerabilidade, intrusão, correção e repetição, propomos um modelo de Segurança Aberta, no qual o software de segurança é desenvolvido abertamente, onde qualquer pessoa pode ver quais recursos estão funcionando para manter os usuários seguros e qual código pode ser aprimorado para proteger contra ameaças emergentes.

Nossa empresa, a Elastic, tem muito orgulho de sua tradição de manter uma relação de colaboração aberta com a comunidade. É por isso que nossas soluções são o que são hoje — usadas pelas maiores organizações do mundo, em seus sistemas mais críticos. É hora de trazer esse espírito para o Elastic Security. A segurança é crítica demais para ser deixada em caixas pretas, em um mundo onde as hostilidades aparentemente só aumentam.

Segurança Aberta em ação

Como é e o que significa a Segurança Aberta? É claro que as definições devem ser acordadas por aqueles que colaboram nessa empreitada, mas antes de tudo significa exatamente isso: colaboração. Significa que os fornecedores de segurança trabalham abertamente, compartilham código, regras de detecção e artefatos para entender melhor como proteger verdadeiramente os sistemas contra invasões e exploits. Trata-se de um esforço conjunto para melhorar o software de segurança para que todos possam se beneficiar, independentemente de qual produto ou solução esteja na stack.

Os ataques cibernéticos e a guerra cibernética fazem cada vez mais parte do cenário global, desde o conflito na Ucrânia até a espionagem corporativa que ocorre cada vez mais em todos os fusos horários e continentes. Eles não vão acabar. Mas podem ser mitigados e combatidos com muito mais eficácia.

Alguns argumentariam que esse tipo de abertura é incompatível com a verdadeira segurança, e informações públicas sobre como um sistema funciona só farão esse sistema ficar mais fraco. Mas nada poderia estar mais longe da verdade. A Segurança Aberta garante que os clientes sejam protegidos pela inteligência coletiva de todos para quem a segurança é um problema — todos que estão em campo nesse jogo. E os que buscam proteger ainda superam em muito os que buscam explorar e romper.

A segurança por meio da obscuridade não funciona — a obscuridade é apenas outra vulnerabilidade, outro ponto fraco para os hackers atacarem ou para o engenheiro social acessar. A verdadeira segurança é como um escudo em batalha, endurecido, não enfraquecido, na medida que entende e aborda todas as maneiras pelas quais os invasores tentaram e falharam em destruí-lo.

É claro que sempre haverá algumas informações proprietárias sobre as necessidades e configurações de segurança dos clientes que serão exclusivas e não públicas. Esse esforço não visa incitar invasões — trata-se de compartilhar o código comum e as técnicas que mantêm os sistemas seguros, além de fornecer as ferramentas e o conhecimento para ajudar os clientes a configurar a segurança para seus casos de uso e perfis de ameaças específicos.

Segurança por meio da transparência e da comunidade

A cultura do sigilo na qual as práticas de segurança atuais estão enraizadas só é boa para quem quer preservar seu controle sobre os outros. Da ciência à tecnologia e à democracia, abertura e transparência são valores fundamentais que garantem que possamos continuar a desenvolver o trabalho daqueles que vieram antes de nós, para o benefício de todos. A segurança é importante demais para ser deixada nas mãos daqueles que diriam “confie em nós”, mesmo enquanto suas abordagens iam se atrofiando e falhando repetidas vezes.

A mudança para a Segurança Aberta não ocorrerá da noite para o dia. O que ajudará a impulsionar e fazer a transição dessa mudança é a pressão dos clientes sobre seus fornecedores, juntamente com uma comunidade robusta de pesquisa de segurança, incluindo aqueles que trabalham em sistemas de caixa preta e que acreditam que existe uma maneira melhor. 

Nosso esforço de Segurança Aberta na Elastic está apenas começando, mas o desenvolvimento open source faz parte da nossa tradição e permanece em nosso DNA. Estamos ansiosos para colaborar com nossos clientes e concorrentes para ser a mudança que queremos ver e viabilizar uma segurança melhor e mais aberta para todos que dela precisam.