Por Nuno Silveiro*
14/12/2018 … Convergência Digital
Convenhamos: segurança cibernética não é um jogo justo. As empresas precisam defender cada aplicação e informação dos seus negócios, enquanto os hackers só precisam de uma única brecha para atacar. Os hackers podem inovar rapidamente, livres das restrições de fatores comerciais e reguladores; já as empresas têm de correr atrás das novas ameaças e vetores de risco que emergem todos os dias, adicionando complexidade e sobrecarga à organização a cada ferramenta adotada. O resultado é uma visão fragmentada ou mesmo parcial da segurança das aplicações.
Tenho visto muitas empresas que também acabam indo ao extremo oposto, acreditando que podem proteger toda a infraestrutura de TI com apenas uma única solução. Colocar um IPS (Intrusion Prevention System) e achar que suas aplicações estão seguras é o mesmo que jogar futebol só com o goleiro. Segurança não é apenas um firewall de última geração. É todo um ecossistema que permite não apenas controlar várias camadas, mas também proporcionar acesso seguro e visibilidade total através de análises inteligente. Ou seja: é preciso uma verdadeira equipe para jogar.
Vários chutes e um só gol
A ineficácia de apenas um IPS ou de um firewall diante das ameaças atuais é óbvia. Com as mudanças dinâmicas da indústria em torno da computação em nuvem e do software como serviço (SaaS), hoje o perímetro de segurança de uma empresa vai muito além de suas instalações. Esse perímetro engloba também as aplicações, onde se concentram grande parte dos ataques. Segundo a Cloud Security Alliance, 77% das empresas que adotam SaaS sofreram incidentes de segurança específicos nas aplicações web. Como barrar ataques de DDoS ou injeções de SQL com apenas um firewall?
Há também o vetor de risco do acesso do usuário, que acaba multiplicando as vulnerabilidades com seus diferentes dispositivos e aplicativos. Como dar conta de milhares de atualizações e patches que surgem a cada dia? O segredo para virar esse jogo é mudar o foco da estratégia: ao invés de tentar proteger milhares de aplicações e acessos individuais, é preciso criar um perímetro digital seguroque proteja a entrega dessas aplicações e acessos. Você precisa de – pelo menos – um firewall de aplicações da web (ou WAF – Web Application Firewall), de acesso contextual com múltiplos fatores de autenticação e de monitorização com analytics.
WAF – Web Application Firewall: a zaga
Um WAF é um sistema que protege sites e aplicações contra ataques conhecidos e desconhecidos, incluindo as ameaças de camada e de dia zero. Desenvolvido no começo dos anos 90, o Web Application Firewall foi uma nova espécie de firewall criada inicialmente para responder às ameaças que estavam além do escopo dos firewalls tradicionais. Enquanto estes defendem o perímetro da rede (o “gol”), o WAF fica entre o cliente web e o servidor web, analisando o tráfego da camada das aplicações para verificar se há violações na política de segurança programada. São os “zagueiros”.
Ao escolher um Web Application Firewall, é importante verificar se o sistema possui todas os certificados e funções reconhecidas no mercado de segurança (ICSA, Common Criteria, certificado FIPS), sendo capaz de analisar todo o tráfego bidirecional (inclusive as comunicações SSL criptografadas), sem exigir nenhuma modificação nas aplicações. Além disso, um WAF de qualidade tem de oferecer proteção abrangente sem degradar o throughput ou os tempos de resposta das aplicações. Ou seja: tem que proteger o goleiro e o gol sem prejudicar a “saída de jogo”.
Single Sign-On: o meio-campo
Não é apenas a zaga que desempenha papel fundamental na defesa da meta. O meio-campo também ajuda nesse sentido e no jogo da segurança esse papel é do acesso contextual seguro. Isso pode ser conseguido com uma solução inteligente de SSO (single sign-on), que ofereça acesso remoto através de um gateway web. A solução também deve oferecer controle granular de segurança, com autenticação multifatorial (MFA) e acesso a dados confidenciais com base no cargo do usuário, da localização e do estado do dispositivo, para realmente fornecer informações de contexto do acesso.
Um ponto importantíssimo aqui é a experiência. O acesso a diferentes aplicações, VPNs e aplicativos móveis frequentemente resulta em má experiência para o usuário final, com interfaces inconsistentes e várias senhas e URLs perdidas. É preciso que a solução de single sign-on realmente reúna em um único login e URL todas as aplicações que o funcionário precisa, facilitando tanto o seu trabalho quanto o da TI, que não pode se matar para configurar e proteger todos os pontos de acesso. Ou seja: deve literalmente fazer o meio de campo entre defesa e ataque.
Monitorização e Analytics: o ataque
Por fim, o ataque. Mas…o ataque também defende? Sim, no futebol muitas vezes o centroavante tem de voltar todo o campo para proteger o arco e na segurança não é diferente. Esse é o papel da segurança preditiva, que ao dispor de ferramentas de monitorização pode detectar ameaças antes que elas aconteçam. É necessário um sistema capaz de oferecer análises avançadas além da análise-padrão, fornecendo insights difíceis de detectar e que podem melhorar não apenas a segurança, mas também a performance e a lucratividade dos seus negócios.
Na escolha da solução, é preciso adotar tecnologias sofisticadas que contem com inteligência artificial (AI) e machine learning (MA) para aumentar a qualidade da tomada de decisões, aprofundando as descobertas e elevando a velocidade com a qual o time de TI ou o sistema reagem. Deve-se aplicar o aprendizado de máquina a dados do tráfego de rede, dos usuários, dos arquivos e dos endpoints para identificar e agir sobre comportamentos mal-intencionados e nas anomalias de desempenho das aplicações. Isto é: deve atacar!
* Nuno Silveiro é Principal Sales Specialist – Delivery Networks
Fonte: Convergência Digital
