Ainda bem que existem cerca uma dúzia de empresas que se
dedicam profunda e seriamente ao tema segurança. Dentro deste bem-vindo grupo
encontra-se a Websense, empresa fundada em 1994 e sediada em San Diego,
California que já atua no Brasil há alguns anos. Tive a oportunidade de
conversar com Câssio Alcântara, gerente regional de vendas Brasil e nesta
ocasião ele contou muito da empresa e das como deveríamos nos prevenir contra
as inúmeras ameaças existentes. Foi uma conversa bem longa que me permitiu
transcrever esta entrevista que apesar do tamanho ficou muito rica em casos,
exemplos, dicas, etc.
Xandó : Cássio é um prazer poder conversar com você! Gostaria de saber sobre a origem da empresa, seus primeiros produtos, serviços, etc.
Cássio : Nós já temos muitos anos no mercado (quase 20). No começo nós éramos integradores, instalávamos firewall e antivírus. E nesta ocasião nós percebemos uma demanda crescente por “classificação de conteúdo”. Havia muito conteúdo pornográfico aparecendo e as empresas não queriam que seus funcionários tivessem acesso a este tipo de conteúdo. Na ocasião nós desenvolvemos um produto que tinha apenas uma categoria, pornografia e nós fazíamos apenas o bloqueio de acesso. Com o crescimento da Internet foram surgindo necessidades de ampliar as categorias como e-commerce, Internet banking, etc. Atualmente nós temos 97 categorias para classificar conteúdo. Até o momento que a Internet tinha apenas conteúdo estático nós fazíamos esta classificação em nosso laboratório e enviámos periodicamente para nossos clientes esta base de dados (atualizações incrementais). Era mais simples porque a URL que o cliente enxergava era a mesma que nós também enxergávamos.
Xandó : Mas a Internet se tornou dinâmica, como foi atuar nesse contexto?
Cássio : Complicou porque aquilo que o cliente vê não é mais o que nós vemos em nosso laboratório. E com a chegada da Web 2.0 também chegaram as redes sociais. Nós vemos a rede social como uma Internet dentro da Internet. E hoje passamos por algo semelhante ao início da Internet quando ao entrarmos nas empresas podíamos constatar que algumas pessoas tinham acesso à Web e outras não e hoje a discussão é “abro acesso para redes sociais ou não abro?” e “se abro para quem?”. Isso porque a imensa maioria das ferramentas existentes permanecem sendo filtros de URL e assim a opção é conferir acesso para alguém ou não e se abre o acesso abre completamente. Se você olhar a rede social como a Internet dentro da Internet lá dentro você vai ter páginas com uma imensa diversidade de conteúdo, páginas adultas, publicidade, violência, assuntos diversos inapropriados. Assim se certa ferramenta olha para a URL e apenas usa sua classificação, rede social, e bloqueia ou libera, ao liberar abre acesso a toda a diversidade de informações do tamanho de uma Internet. Assim não está sendo controlado o conteúdo. Nós temos como liberar o facebook, mas bloquear jogos, bem como uma pessoa pode ler publicações dos outros, mas não pode curtir nem comentar enquanto outra pode comentar. Temos grande granularidade na monitoração e controle.
Xandó : Isso me parece um problema bem, grande e não imagino como resolver! A Websense atacou e resolveu este problema?
Cássio : Nós pegamos toda essa inteligência e colocamos dentro de uma “caixa” (um dispositivo), entregamos na porta do usuário (sua rede) e ele vira o Proxy da rede. Assim consigo fazer uma análise em tempo real a cada acesso na rede da empresa. Por exemplo eu faço um acesso a rede social, o sistema verifica se o Cássio pode acessar. Como pode ele é liberado para continuar. Mas neste exato momento o conteúdo dessa página da rede social é de teor adulto. Novamente o sistema é acessado para saber se o Cássio pode acessar conteúdo adulto.
Xandó : Então você consegue se valer daquela sua classificação de conteúdo, as tais 97 categorias que antes filtravam URLs para filtrar acessos dentro do contexto da rede social. É isso?
Cássio : Isso mesmo, como o conteúdo é dinâmico a categorização e análise é feita sobre cada página acessada independentemente da URL. Soluções tradicionais impõem barreiras de contenção como antivírus, firewall, etc. Independentemente do usuário que está acessando estas barreiras são fixas, estáticas. Barreiras fixas não funcionam mais para as empresas porque os interesse e necessidades são muito diversos. O marketing precisa ter uma visão e proteção, o financeiro outra, o chão de fábrica outra e assim por diante. Cada área (ou pessoas) precisam de barreiras com tamanhos variáveis enquanto no caso da barreira fixa alguns terão mais restrições do que deveriam e outras menos que podem afetar desde a produtividade de certa área (por limitar demais acessos) e principalmente aspectos de segurança. Isso tudo atuando em grupos de usuários ou até em alguns casos individualmente.
Xandó : Mas e do outro lado, os eventuais ataques que vem de fora para dentro, como lidar com isso?
Cássio : Antigamente os ataques também eram fixos. Um cenário era criado e este chegava a um imenso número de pessoas e alguns caiam. Hoje os ataques são direcionados. A pessoa recebe algo sobre um assunto que esperaria receber, mas é uma ameaça hoje conhecida como “spear phishing”. Outro dia eu recebi um e-mail avisando que o sistema SEM PARAR (cobrança eletrônica de pedágio e estacionamentos) tinha começado a multar as pessoas e eu tinha sido multado e se quisesse ver a multa deveria clicar no link do e-mail. Outro exemplo, e-mails enviados supostamente em nome do LINKEDIN (rede social para networking profissional) com supostos links para convites ou mensagens de pessoas. Também farsa que aponta para link malicioso. Analisando friamente isso é um tráfego normal para um firewall, para um antivírus, etc. Só que você precisa ter uma ferramenta que olha para aquele link e analisá-lo em tempo real.
Xandó : Mas este tipo de ameaça não seria detectada na hora de chegada do e-mail com o link malicioso?
Cássio : Não. Alguns ataques fazem estes e-mails chegarem às caixas postais no domingo de tarde ou de noite. Neste momento o link apontado ainda não contém ameaça. Ele passa pelo firewall ou mesmo por algum sistema de AntiSpam ou de proteção do servidor de e-mails da empresa. Mas na madrugada da 2ª feira a ameaça é inserida naquela URL e todas as pessoas que clicarem, se não tiverem um sistema de proteção em tempo real correm o risco de serem infectadas ou invadidas.
Xandó : Impressionante a sutileza e sofisticação deste tipo de ataque!! Mas quem faz esta proteção? O appliance ou algum software cliente instalado nos computadores da empresa?
Cássio : Nosso appliance faz, de forma centralizada porque todos os acessos passam por ele. Nós classificamos todo e qualquer acesso que seja feito de dentro para fora da rede. Se você analisar com cuidado verá que um antivírus segura apenas entre 30% e 50% de todas as ameaças que estão na Internet. Os outros 50% são o que nós chamamos de “ameaça do dia zero” que são ameaças baseadas em algo já conhecido que que já exista vacina. É algo como um script diferente rodando dentro de uma página que para o antivírus e o firewall é tráfego normal, mas nossa ferramenta vai olhar, analisa o comportamento da página e a partir disso descobre que aquilo é um ataque.
Xandó : Mas isso tira o mérito e a necessidade das outras soluções como firewall e antivírus?
Cássio : Não. Imagine que firewall, antivírus, antimalware são como vários portões que você põe na sua casa e têm sua importância. Mas essas ameaças modernas são como se alguém pegasse um envelope, conta uma história “bonitinha” e pede dados pessoais e até número de cartão de crédito, passa por baixo de todos os seus portões, alguém lá do outro lado olha aquilo, cai nessa história, preenche os dados e devolve por debaixo da porta. E assim a informação foi embora para ser usada pelo atacante. Inclusive nossa ferramenta incorpora também recursos de DLP (Data Loss Prevention – prevenção contra perda de dados) que é para evitar o sétimo estágio de um ataque que é o vazamento da informação.
Xandó : Juntando o cenário todo, imaginemos que o usuário clicou naquele link do e-mail do Linkedin que foi recebido “limpo”, mas em algum momento se tornou malicioso. Nesta hora esta solução vai procurar aquela URL em um banco de dados existente ou vai fazer uma análise em tempo real?
Cássio : Ele faz as duas coisas. Ao olhar o banco de dados se encontrar referência à ameaça já bloqueia ali mesmo. Caso contrário ele parte para análise em tempo real usando mais de 10 mil analíticos presentes tanto no aspecto de classificação como segurança. Isso é algo tão importante para a segurança que em algum tempo não fará mais sentido usar cache porque o conteúdo muda tanto! Essa inteligência também se encontra em nossa solução de AntiSpam que aproveita este recurso de análise de Web para avaliar os links dos e-mails.
Xandó : Mas usuários devidamente conscientizados não deveriam ser capazes de evitar estes tipos de ameaças?
Cássio : Não existe usuário suficientemente preparado para lidar com os tais “spear phishing” por serem ataques direcionados e o usuário esperar receber e-mails sobre aquele assunto. Um exemplo interessante, a pessoa se hospedou em certo hotel e recebe tempos depois uma propaganda deste hotel. Algum tráfego daquela pessoa se comunicando com foi interceptado, fizeram um e- mail de spam direcionado para ele (ou um grupo de pessoas com o mesmo tráfego). Como ele pode desconfiar que aquilo é um phishing e não abrir??
Xandó : Vou te contar uma história que tem a ver com isso que você está me falando. Há 2 anos eu recebi uma carta (papel) do Citibank. Eu tenho uma conta neste banco, conta que está parada, mas tenho a conta. A tal carta solicitava que um procedimento de recadastramento e confirmação dos dados fosse feito. Mas era algo complicado e chato, eu teria que preencher um formulário de próprio punho, etc. Deixei a carta de lado em uma gaveta para olhar isso depois. Uma semana mais tarde eu recebi um e-mail dizendo “como nossos clientes relataram dificuldades no procedimento de reconfirmação dos dados nós criamos uma formulário que pode ser preenchido online e assim simplificar o processo”. Havia uma URL para ser clicada, e-mail com toda identidade visual do Citibank respeitada (bem como fora a carta). Eu já ia clicando para resolver o assunto da forma mais simples, mas como tinha um assunto ligado a cartão de crédito para resolver liguei para o banco e perguntei do tal recadastramento. ERA FALSO!! Alguém deve ter se apropriado da relação clientes (ou parte deles) e teve o trabalho de mandar a carta antes, que seria o “legitimador” do e-mail. Eu jamais teria acreditado de imediato no e-mail, mas com a carta antes... Olhe o que é um ataque direcionado!! Como pode ser sofisticado!!
Cássio : Este é o problema, a sofisticação ficou muito grande!! Você não pode contar com que o usuário descubra isso sozinho. Nossa ferramenta entra exatamente nesta zona nebulosa entre ser realidade ou não alguma informação que o usuário está recebendo e evitar que ele seja direcionado a locais potencialmente muito perigosos. Mesmo um usuário bem consciente, que passe o mouse por sobre a URL e veja que o endereço é estranho ou composto apenas por um endereço IP (um dos elementos que denuncia – mas não o único), ao fazer este acesso por um smartphone ou tablet, não terá este recurso e portanto é mais facilmente iludido.
Xandó : Mas
recursos de mobilidade são intrinsecamente menos seguros?
Cássio : Eu acho que as pessoas usam recursos de mobilidade de forma
errada. Saem clicando em tudo. Eu uso mobilidade para ganhar tempo quando estou
perdendo tempo: em um taxi, esperando um avião no aeroporto, em uma sala de
espera de um médico... As pessoas usam o smartphone o dia todo, o tempo todo. Entram
no elevador de suas casas já saem olhando os e-mails e clicando. Eu não uso este
recurso para tirar o meu tempo de descanso e sim para ganhar tempo. E o que é
pior, sem o nível de segurança que você teria em um computador dentro da
empresa. Apesar de poucas pessoas analisarem links passando o mouse por cima
isso ainda é melhor que dispositivos móveis.
Xandó : aquele tipo de ataque que visava apenas entrar e tomar conta, isso não existe mais, certo? O foco é obter ganho financeiro roubando informações ou dinheiro mesmo...
Cássio : Com certeza!! Mas em pequena escala existem ataques muito diferentes. Recentemente um fulano invadiu um sistema de câmeras de segurança e assustava crianças falando palavrões. Ou o outro que conseguiu hackear alguns dos telões da Times Square em Nova Iorque. Também o caso do Japão onde criaram uma tampa de privada automatizada e alguns indivíduos descobriram um jeito de hackear a tal tampa e infernizar as pessoas. É importante contar estes casos porque o usuário comum fica pensando “porque alguém iria querer invadir a minha máquina, o que tem lá de importante?”. Eu pergunto, o que tem uma privada de importante? A resposta é simples, porque eles podem, tentam e por diversão ou para se mostrar, pelo prazer de fazer. E conseguem.
Xandó : E o outro lado, dos ganhos financeiros?
Xandó : aquele tipo de ataque que visava apenas entrar e tomar conta, isso não existe mais, certo? O foco é obter ganho financeiro roubando informações ou dinheiro mesmo...
Cássio : Com certeza!! Mas em pequena escala existem ataques muito diferentes. Recentemente um fulano invadiu um sistema de câmeras de segurança e assustava crianças falando palavrões. Ou o outro que conseguiu hackear alguns dos telões da Times Square em Nova Iorque. Também o caso do Japão onde criaram uma tampa de privada automatizada e alguns indivíduos descobriram um jeito de hackear a tal tampa e infernizar as pessoas. É importante contar estes casos porque o usuário comum fica pensando “porque alguém iria querer invadir a minha máquina, o que tem lá de importante?”. Eu pergunto, o que tem uma privada de importante? A resposta é simples, porque eles podem, tentam e por diversão ou para se mostrar, pelo prazer de fazer. E conseguem.
Xandó : E o outro lado, dos ganhos financeiros?
Cássio : É assustador. Realmente o que se intenciona são os ganhos
financeiros. Alguns montam redes Botnet (redes de computadores escravizados
pelos hackers) que são vendidas para realizar ataques. Quando uma máquina é
invadida e é colocado um keylogger (programa que captura tudo que é digitado e
envia para o atacante) o que se deseja é capturar senhas de bancos e
informações que possam render ganhos financeiros. Eles não querem mais se
mostrar e sim entrar nos computadores e ficar lá quietinhos à espreita. Hoje
isso é uma “profissão”!!
Xandó : eu sei que existem aqueles que desenvolvem o malware, outros especializado em mandar o spam, outros que vendem informação capturada, os laranjas que recebem o dinheiro... É uma indústria criada para isso!
Xandó : eu sei que existem aqueles que desenvolvem o malware, outros especializado em mandar o spam, outros que vendem informação capturada, os laranjas que recebem o dinheiro... É uma indústria criada para isso!
Cássio : Este lado evoluiu muito. Mas os recursos de segurança são
quase os mesmos nos últimos dez anos. As pessoas acham que estão seguros com
firewall e antivírus, mas não estão. Somente ataques de força bruta são
contidos por estas medidas. Mas hoje em dia a invasão é na inteligência. Veja o
seu próprio exemplo, ele te mandou uma carta e depois um e-mail para te
convencer a entrar na história dele.
Xandó : O que mais as pessoas deveriam dar atenção? Há outros tipos de fragilidades pouco consideradas?
Xandó : O que mais as pessoas deveriam dar atenção? Há outros tipos de fragilidades pouco consideradas?
Cássio : tempos atrás eu estava em um hotel, logo após um evento
que fizemos. Conversando com uma pessoa da nossa assessoria de comunicação eu
disse que ia mostrar algo para ela. Liguei o bluetooth do meu celular. Descobri
que mulher tem mania de usar nome e sobrenome para identificar seu telefone. Em
segundos eu achei os nomes completos de 4 mulheres em volta de mim. Pesquisei
no Linkedin e achei seus dados logo na segunda tentativa. Vi a foto dela e logo
já sabia quem era daquelas a minha volta. Vi que ela tinha estudado na FAAP
trabalhava na empresa X. Procurei se ela tinha perfil no facebook. Não só tinha
como estava com os dados abertos. Ela tinha feito o checkin informando que ela
se encontrava em um treinamento exatamente naquele hotel. Imagine se eu chego
para ela e falo “fulana tudo bem com
você? Você se lembra de mim? Nós estudamos na FAAP juntos! E você está
trabalhando na empresa X, não é? Eu até liguei para lá e me falaram que você
iria estar aqui na hora do almoço!”. Ela com certeza vai achar que
realmente eu a conheço. Só ligando o bluetooth dentro as sala, veja o estrago
que eu poderia ter feito com este punhado de informações facilmente colhidas!
Este é um tipo de ataque que nenhuma ferramenta consegue bloquear, pois depende
apenas e tão somente da pessoa não se expor em demasia.
Xandó : Mas como minimizar estes riscos? Há alguma forma de controle ou monitoração de dispositivos móveis?
Xandó : Mas como minimizar estes riscos? Há alguma forma de controle ou monitoração de dispositivos móveis?
Cássio : Este é um cenário muito delicado. Não apenas smartphones,
mas computadores portáteis podem ser retirados da rede da empresa e levados
para outros lugares em princípio fora de nosso controle. Por isso nossa solução
hoje é híbrida, parte no dispositivo que fica na empresa e parte na nuvem.
Assim enquanto ele estiver dentro da rede da empresa ele está sendo protegido
pelas políticas do gateway. Ao sair da empresa e o gateway não é encontrado o
computador aponta para o sistema de proteção na nuvem e existe na nuvem a mesma
política de segurança interna.
Xandó : Nós estamos tendo esta conversa aqui no Starbucks. Ao me conectar ao WiFi daqui o gateway usado pela conexão será aquele do provedor usado pelo Starbucks. Como a proteção entra em ação?
Xandó : Nós estamos tendo esta conversa aqui no Starbucks. Ao me conectar ao WiFi daqui o gateway usado pela conexão será aquele do provedor usado pelo Starbucks. Como a proteção entra em ação?
Cássio : O gateway será o do provedor daqui, mas o Proxy não.
Nossa solução de baseia nisso. O Proxy é configurado (somente pelo
administrador da máquina) para usar nossa solução na rede. Mas além disso um
agente é instalado na máquina que ao perceber que não há conexão com o gateway
interno ele muda o Proxy para o endereço na nuvem. Este por sua vez, repito, é
um espelho de todo o conjunto de configurações e políticas da empresa. Salva
uma política na rede ela é imediatamente espelhada na nuvem.
Xandó : isso vale para smartphones e tablets também?
Xandó : isso vale para smartphones e tablets também?
Cássio : no caso de iPhone e iPad nós também podemos dar o mesmo
tratamento. Dentro da empresa eles navegam pelo gateway corporativo e fora de
empresa a navegação passa obrigatoriamente pelo serviço na nuvem, conferindo a
mesma segurança para estes dispositivos.
Xandó : Isso viabiliza o BYID (Bring Your Own Device – traga o seu próprio dispositivo) na organização?
Xandó : Isso viabiliza o BYID (Bring Your Own Device – traga o seu próprio dispositivo) na organização?
Cássio : veja que coisa, existe um paradoxo neste ponto. Todos
falam em BYOD, “tragam o seu próprio dispositivo”, traga seu telefone para mim.
Em seguida uma ferramenta de MDM (Mobile Device Management) é instalada no
aparelho que trava seu telefone todo. Você diz para o usuário “traga seu
telefone aqui que eu vou travá-lo”. Não faz sentido. Nossa ferramenta tem
algumas funcionalidades de MDM como exigir uso de senha, controlar uso de
câmera e coisas do tipo, mas a função principal é filtrar o acesso deste
usuário pela utilização do gateway na nuvem. E podemos definir o perfil do
usuário como, sempre filtrar conteúdo e garantir a segurança, mas fora do
horário de trabalho e nos finais de semana ele não tem o filtro de conteúdo,
apenas as medidas de segurança. Dessa forma, qualquer acesso do aparelho não
será associado como uso profissional fora dos horários definidos.
Xandó : você falou em iPhone ou iPad no qual um agente foi instalado no aparelho...
Xandó : você falou em iPhone ou iPad no qual um agente foi instalado no aparelho...
Cássio : trata-se de um agente que fecha uma VPN com nosso serviço
na nuvem e por esta VPN na nuvem eu tenho todo o controle. Durante todo o tempo
que ele está tutelado pelo sistema suas conexões passam por esta VPN para
garantir filtro de conteúdo e proteção. Não interessa onde o usuário está nem o
dispositivo que ele esteja usando, conhecendo o dispositivo e ele estando
autenticado eu o filtro em todos os níveis seja em um computador dentro da
rede, fora da rede ou recurso de mobilidade. Hoje este é o grande problema. Se
a pessoa sai da empresa com seu computador ou smartphone ele perde a proteção,
mas nós a estendemos para fora do ambiente corporativo com a solução híbrida
gateway mais nuvem. Algumas soluções se fundamentam em fechar VPNs com os
gateways das empresas. Isso acaba por alocar uma quantidade muito grande de
recursos, exige firewalls muito potentes para viabilizar centenas (ou mais) de
acessos externos e ainda usam os recursos de filtros internos e o link de
Internet na empresa. Isso tudo é muito complexo e consome recursos demais e
mesmo que está na rede pode sofrer consequências de lentidão decorrente disso.
Xandó : mas quem fecha VPN com a empresa e quem navega pelo Proxy?
Xandó : mas quem fecha VPN com a empresa e quem navega pelo Proxy?
Cássio : quem está dentro da empresa navega via Proxy e quem está
fora fecha VPN com o nosso serviço na nuvem e jamais com a empresa. Assim a
necessidade recursos dentro da empresa é muito menor comparado com o outro
cenário. Para isso nós temos 15 Datacenters no mundo. Onde quer que a pessoa
esteja ela será direcionada ao Datacenter mais próximo (menor latência).
Xandó : A solução interna é obrigatoriamente um hardware fornecido pela empresa ou pode ser um appliance virtual entregue já pronto?
Xandó : A solução interna é obrigatoriamente um hardware fornecido pela empresa ou pode ser um appliance virtual entregue já pronto?
Cássio : fornecemos o equipamento já pronto e configurado. Mas
temos vários clientes que rodam nossa solução em ambientes como VMware e outros
sistemas de virtualização. Não temos hoje o fornecimento do appliance virtual.
O cliente pode comprar nosso software e instalar no seu hardware físico ou
virtual desde que atenda às especificações. O uso em ambientes virtualizados é
interessante porque é muito simples restaurar um backup do ambiente no caso de
algum problema, escalar para um hardware mais potente, etc.
Xandó : existe algum caso de cliente aqui no Brasil que você possa comentar?
Xandó : existe algum caso de cliente aqui no Brasil que você possa comentar?
Cássio : aqui no Brasil temos autorização de divulgar o caso do
grupo JBS que tem 10 mil usuários dentro de sua própria rede e vários
escritórios pelo mundo. Estes usam o produto via nuvem. Dessa forma todo o
gerenciamento é centralizado, não há necessidade de infraestrutura nos locais.
Xandó : o fato de todo o tráfego ser tutelado pelo gateway da empresa ou pelo sistema na nuvem introduz algum tipo de latência ou alguma lentidão que seja percebida pelo usuário?
Xandó : o fato de todo o tráfego ser tutelado pelo gateway da empresa ou pelo sistema na nuvem introduz algum tipo de latência ou alguma lentidão que seja percebida pelo usuário?
Cássio : aqui no Brasil havia este problema porque nós não
tínhamos Datacenter aqui e por isso todo o serviço de análise de URLs e acesso
na nuvem tinha que ser processado em algum Datacenter em outro local no mundo.
Infelizmente o nosso backbone de saída para outros locais do mundo não é muito
bom. Nós trouxemos um Datacenter para o Brasil exatamente para que todo o
tráfego pudesse ser filtrado todo por aqui.
Xandó : quer dizer que antes disso, uma vez que estamos aqui na região do Morumbi, para acessar o site da Rede Globo, assumindo que o Datacenter deles ficasse aqui na região da Berrini, o acesso a este site seria feito pelo seu Datacenter nos Estados Unidos, indo e voltando para alcançar 5 ou 6 quarteirões?
Xandó : quer dizer que antes disso, uma vez que estamos aqui na região do Morumbi, para acessar o site da Rede Globo, assumindo que o Datacenter deles ficasse aqui na região da Berrini, o acesso a este site seria feito pelo seu Datacenter nos Estados Unidos, indo e voltando para alcançar 5 ou 6 quarteirões?
Cássio : Era assim, mas não mais. Aproximadamente há 3 anos o
acesso é feito pelo nosso DataCenter aqui no Brasil localizado no Rio de
Janeiro e isso permite que navegar em conteúdo do Brasil seja consideravelmente
mais rápido que antes. Nós temos muitos clientes só na nuvem e também a solução
híbrida (local mais nuvem). Mas cada caso é um caso e nós temos que orientar o
cliente. A solução na nuvem é muito boa, mas pode não ser a melhor opção
apontar uma empresa com 10 mil usuários toda para a nuvem, por isso a solução
interna é também é muito importante. Mesmo nestas grandes empresas temos a solução
de nuvem como backup ou contingência, no caso de indisponibilidade do serviço
provido pelo nosso appliance a nuvem continua a suprir a necessidade. O
objetivo é sempre proporcionar o melhor nível de filtragem possível não
importando quem realiza a função nem qual dispositivo está sendo usado.
Xandó : Há pouco você falou em proteção para iPhone e iPad. E outras plataformas como o Android que tem um imenso mercado?
Xandó : Há pouco você falou em proteção para iPhone e iPad. E outras plataformas como o Android que tem um imenso mercado?
Cássio : estamos para lançar a cobertura também para Android. Mas
a grande sacada disso tudo é que nós classificamos em nossos laboratórios
99.99999% (5 noves após o ponto decimal) e no appliance 99% com um falso
positivo a cada 400 mil análises. Assim o nível de falso positivo é muito
baixo. E um de nossos diferenciais é que
conseguimos classificar Youtube. Não o vídeo em si, mas tudo em torno dele como
as tags, título, comentários do vídeo e dessa forma temos como atribuir uma
categoria que se de acordo com a política do usuário pode ser visualizado ou
não.
Xandó : isso tudo é muito complicado, pois a ferramenta tem que entender vários idiomas como português, inglês, etc.
Xandó : isso tudo é muito complicado, pois a ferramenta tem que entender vários idiomas como português, inglês, etc.
Cássio : com certeza temos que interpretar e analisar do chinês ao
português, todos os idiomas mais usados na Internet. Uma característica
importante de nosso desenvolvimento de produto é que inicialmente as diversas
empresas de segurança compravam listas negras de alguém enquanto nós mesmos
desenvolvemos os nossos algoritmos para análise em tempo real. Quando a Web se
tornou dinâmica nós já fazíamos isso em nossos laboratórios. E hoje em dia 80%
dos ataques são em sites de boa reputação que em algum momento ficam
comprometidos. E como sites surgem toda hora na Internet quem não trabalha com
classificação em tempo real teria que manter listas imensas com muitos Terabytes
e mesmo assim a maioria dos sites estariam na categoria “não classificados”.
Isso sem falar do conteúdo dinâmico. Se por não ter sido previamente
classificado adequadamente eu bloqueasse o acesso eu estaria limitando o acesso
a praticamente 60% da Internet hoje em dia.
Xandó : e dentro da empresa que no final administra quem pode ver qual tipo de conteúdo?
Xandó : e dentro da empresa que no final administra quem pode ver qual tipo de conteúdo?
Cássio : Eu posso criar uma política padrão da empresa, isso feito
na implantação junto com a equipe de TI. Essa ninguém mexe. Em seguida a área
de Marketing pode escolher quais categorias seus funcionários podem acessar.
Nós fazemos isso para criar a cogestão, gestão compartilhada. TI não tem o
monopólio da escolha sobre o que o usuário vê. Quem pode ver o que as pessoas
podem ver são as áreas, mais RH, Legal e TI junto e não TI sozinha. Dependendo
do que ela pode ver pode haver riscos legais, riscos de segurança e dependendo
do que ela não vê pode haver prejuízo na rotina de trabalho.
Xandó : isso se aplica também às redes sociais?
Xandó : isso se aplica também às redes sociais?
Cássio : claro e com um agravante. Tem empresas que declaram “aqui
rede social é fechada” e eu insisto que é aberta! Com o advento do smartphone
(não gerenciado) a pessoa se quiser usar rede social vai se afastar do seu
posto de trabalho e usar seu telefone. Com um agravante. No smartphone ela
demora até 6 vezes mais para realizar as ações nas redes sociais em comparação
com os computadores. Apenas fechar acesso total às redes sócias e achar que
isso ajuda a produtividade é um grande engano pois a pessoa vai para outro
local e gasta muito mais tempo nas mesmas atividades. As empresas não têm
apenas mais a rodinha do cigarro, mas também a rodinha do facebook. Com a
desculpa de fumar ele vai fazer as duas coisas e pior, em vez de fumar um ele
fuma dois para dar tempo para terminar a interação social dele nas redes. O
assunto é tão sério que em algumas empresas existe um escaninho na entrada da
sala de reunião onde está escrito “smartphones e tablets aqui”, não podem
entrar.
Xandó : algumas semanas atrás foi aniversário do meu filho adolescente e convidamos cerca de 10 ou 12 pessoas para comemorarmos em uma pizzaria. Certo momento todos estavam com os smartphones nas mãos e eu falei brincando, todos os celulares no centro da mesa, quem pegar o aparelho antes do final paga a conta. Formou-se uma pilha de celulares no centro da mesa, interessante de se ver.
Xandó : algumas semanas atrás foi aniversário do meu filho adolescente e convidamos cerca de 10 ou 12 pessoas para comemorarmos em uma pizzaria. Certo momento todos estavam com os smartphones nas mãos e eu falei brincando, todos os celulares no centro da mesa, quem pegar o aparelho antes do final paga a conta. Formou-se uma pilha de celulares no centro da mesa, interessante de se ver.
Cássio : mas você sabe o que eles estavam fazendo? Possivelmente
compartilhando a festa com outras pessoas. É diferente a forma de pensar. Na
nossa geração ao nos sentarmos à mesa com alguém é para dividir com elas aquele
momento. A geração atual por sua vez conversa com as pessoas da mesa, tecla com
um amigo, conta da festa, falam de outro assunto e possivelmente também falam
com alguém que está à mesa, ao seu lado ou na outra extremidade de mesa. E no
ambiente da empresa, como você controla uma situação dessas?? Eu como
administrador de segurança prefiro dar autorização para ele usar com
moderação no tempo certo este recurso e
controlando o que ele faz, sabendo o que ele tecla e o que ele pode fazer do
que deixar aberto.
Xandó : não
entendo de leis, mas li que recentemente foi formada jurisprudência a respeito
de conferir o direito da empresa a monitorar comunicações, e-mails, etc. dentro
da empresa.
Cássio : não acho que ela pode, ela deve fazer isso! Ela tem que
ter as ferramentas que garantam a segurança de acesso e segurança de
informação. E-mail ainda existem discussões a respeito, mas acesso Web não há
dúvidas de que a empresa pode saber tudo que o funcionário acessa. Uma das
coisas que nós conseguimos fazer é restringir ou limitar acesso de comunicação
instantânea (Skype, MSN, etc.) inclusive bloqueando a possibilidade de enviar
ou receber arquivos. Um de nossos clientes, um banco, usavam o Messenger que
supostamente era para falar com clientes, mas eu percebo que ficam falando com
amigos o dia todo. Vamos instalar a ferramenta e eu vou determinar um horário
de utilização, uma hora antes do início do expediente e uma hora depois do
término. Nunca mais ninguém chegou atrasado.
Xandó :
interessante esta abordagem! Algum outro caso parecido?
Cássio : outro caso interessante é de outra empresa que se discutiu de abria ou não abria redes sociais. Foi decidido que abriria na hora do almoço. Mas porquê? O refeitório não era muito grande e as pessoas tinham o hábito de terminarem o almoço e permaneciam no refeitório conversando, diminuindo a capacidade do refeitório. Com a rede social aberta neste horário as pessoas almoçavam e voltavam para seus lugares para poder aproveitar o tempo e colocar em dia suas redes sociais. Até este tipo de situação acaba sendo considerada no uso de uma ferramenta dessas. Segurança é o mais importante, mas não é apenas isso.
Cássio : outro caso interessante é de outra empresa que se discutiu de abria ou não abria redes sociais. Foi decidido que abriria na hora do almoço. Mas porquê? O refeitório não era muito grande e as pessoas tinham o hábito de terminarem o almoço e permaneciam no refeitório conversando, diminuindo a capacidade do refeitório. Com a rede social aberta neste horário as pessoas almoçavam e voltavam para seus lugares para poder aproveitar o tempo e colocar em dia suas redes sociais. Até este tipo de situação acaba sendo considerada no uso de uma ferramenta dessas. Segurança é o mais importante, mas não é apenas isso.
Xandó : voltando
para aquele assunto do e-mail, imagine que uma empresa tem escaninhos com
estoques ilimitados de envelopes e selos. Se o funcionário começar a usar
abusivamente os recursos da empresa para suas cartas pessoais, isso não é
correto, não acha?
Cássio : a nossa solução de DLP integrada no gateway permite
levantar um “incidente” que descreve qual o tipo de vazamento de informação e
que informação está vazando sem mostrar o e-mail. Aponta quem mandou o e-mail,
quando, para quem e o que era crítico sendo enviado e este tipo de evidência o
juiz aceita como prova.
Xandó : Este
assunto é muito extenso, muito tipo de vazamento ou mal uso de informações pode
acontecer.
Cássio : veja outro exemplo interessante. Eu tenho um cartão de
crédito corporativo que só pode ser usado para deslocamentos, alimentação e
estadias. Se eu entro na página da FastShop e vou comprar uma geladeira.
Informo o número do cartão (da empresa). Nossa ferramenta vai perceber que
aquele é um número de cartão, checa em seu banco de dados e percebe que é do
Cássio. Em seguida a página que está sendo usada é confrontada, no caso a
categoria é de compra de eletroeletrônicos. Neste instante o acesso é bloqueado
porque eu não posso comprar eletroeletrônicos. Agora imagine que eu estou
comprando uma passagem aérea em determinado site. A operação é legal, mas o
referido site é ou está malicioso? É checada a veracidade do site (se a URL é
correta) e se não há ameaça no site. Este nível de controle todo não existe
antivírus que faça e nem mesmo firewall. Existe aqui a integração de
inteligência de várias ferramentas. Nós somos especialistas em inteligência de
Web e nós integramos isso com e-mail, DLP e mobilidade.
Xandó : qual os
principais perfis de clientes aqui no Brasil e fora do Brasil?
Cássio : temos clientes em todos os mercados. Desde empresas com
10 usuários até 100 mil usuários. Não existe um perfil exclusivo. Atendemos
grandes bancos, governo, clientes pequenos, laboratórios, bancos de investimento,
corretoras, concessionária de veículos... Adequamos a solução ao nível de
controle que é necessário para aquela operação.
Xandó : como as
empresas do segmento financeiro lidam com esta parte do produto que opera na
nuvem? Nós sabemos que este tipo de negócio é relutante a uso de nuvem para
transitar ou conter suas informações.
Cássio : você tem razão, as empresas deste segmento ainda não estão
usando a solução híbrida que conta com a inteligência também na nuvem. É um
paradigma a ser quebrado por estas empresas. Mas eu te faço uma pergunta.
Quando eu mando um e-mail ele vai por onde? Nem você, nem eu e nem os bancos
fazem a menor ideia. O e-mail pode passar por 4 hops (ponto de desvio de
tráfego na Internet) ou 15 hops e e-mails podem carregar informações confidenciais.
É curiosa esta resistência do uso da nossa solução em nuvem para este segmento
porque apenas o que passa lá é o tráfego. Por mais recursos que tenhamos em
nossa infraestrutura e por mais seguro que seja eles ainda pensam apenas confiam
no que eles mesmo fazem, na infra de redundância dele porque se algo ficar
indisponível isso pode significar milhões de reais de prejuízo a cada minuto. Além
disso estas empresas trabalham de forma bastante centralizada e por isso ainda não
faz sentido para eles descentralizar alguns processos. Um grupo como o JBS que
têm muitos escritórios de tamanhos pequenos e médios e uma grande sede, a solução
na nuvem faz sentido imediatamente.
Xandó : isso tudo
que estamos falando diz respeito possivelmente a sua solução mais elaborada,
mas que outros tipos de produtos a Websense tem para acomodar empresas de
portes distintos?
Cássio : nós temos uma linha de produtos que ainda é o filtro
estático de conteúdo, adequado para empresas que têm políticas de acesso bem
fechadas e restritivas, com filtros definidos pelo usuários (pelas categorias)
e nosso laboratório envia para os dispositivos atualizações de listas de URLs
perigosas ou maliciosas. Ele dá um bom nível de segurança porque a empresa por
princípio não quer abrir muito a Internet. Porém neste tipo de produto se você
abrir rede social tudo será acessível. Mas é eficaz para restrição de acessos e
também ajuda a conter uso de banda de Internet (pelas restrições a sites ou
categorias não desejadas). E temos um ponto muito forte que são os relatórios
que podem ser extraídos a partir do uso e bloqueios. Se a empresa quiser e
precisar mesmo abrir toda a Internet, mas com controle mais sensível ela vai
precisar da solução que faz análise em tempo real, mesmo nas páginas dinâmicas.
Essa solução é um Proxy especializado. E nessa situação eu tenho um Proxy que é
só interno e outro que é interno e nuvem, a versão híbrida.
Xandó : o
importante é a sensação de segurança estar no nível da expectativa da empresa
usuária. É isso?
Cássio : sim, mas a sensação de segurança é a partir de certo
ponto subjetiva. Você se considera seguro aqui neste café que estamos
conversando? Um carro não pode ficar desgovernado e entrar por esta porta de
vidro na nossa frente? Não existe aqui detector de metais na entrada, um maluco
não poderia entrar aqui e sair atirando? Segurança é uma sensação. E você pode
se sentir seguro por não ter as ferramentas adequadas e os parâmetros para dizer que você está inseguro...
Xandó : é a
sensação de segurança pela ignorância?
Cássio : Isso. Ou você tem uma boa quantidade de ferramentas que
te dão todos os indicadores que te mostram que está seguro de verdade. As
grandes empresas têm estes indicadores. As empresas de médio e pequeno porte
têm a sensação dessa segurança. Estes vão perguntar “porque alguém invadiria a
minha rede?”.
Xandó : vai
invadir porquê? Vai invadir porque ele está na Internet. Tem gente que sai
caçando IPs na Internet buscando alguma porta ou vulnerabilidade para depois
ver se vale a pena ou não, mas nessa hora o estrago está feito. Isso se não foi
um ataque direcionado.
Cássio : para você ter uma ideia, na minha casa eu tenho 3 redes
WiFi. Uma de 5 Ghz que eu uso apenas para conectar o meu MAC e de minha esposa.
Outra rede de 2.4 Ghz para nossos tablets e meu notebook que é Windows e tenho
uma rede para convidados que mesmo assim tem senha forte. Todas as 3 redes têm
filtro de conteúdo, cada uma delas têm diferentes níveis de acesso que eu mesmo
controlo. Todas as semanas eu analiso os logs e encontro ataques ao roteador e
várias tentativas de conexão na minhas redes. Porque alguém tentaria invadir a
rede WiFi da minha casa? Vários PORTSCAN, várias tentativas de ataque DDOS (negação
de serviço), meus vizinhos tentando entrar na minha rede. E tem quem me
pergunte “porque este nível todo de segurança?”. Eu tenho estes indicadores de
que falei e por isso sei o quanto isso é importante mesmo na rede de minha
casa. Imagine nas empresas. E na casa do meu pai a NET instalou o serviço com o
roteador WiFi. Qual a senha do roteador? Quem pode acessar? Tem Firewall ali?
Qual a segurança desta instalação? Até tem senha, mas quem criou a senha foi
quem instalou... Será que é uma senha padrão? Não sei dizer.
Xandó : o que
você está falando é como se eu na minha casa instalasse uma série de trancas a
mais. Sem as trancas pessoas podem passar ali e eu nem fico sabendo, mas com
elas eu posso saber se alguém forçou aqui ou ali e ter consciência destes
perigos.
Cássio : E os ataques se repetem na minha rede, direto, toda
semana.
Xandó : Vários
anos atrás eu passei por uma situação muito complicada. Uma empresa para qual
eu prestava serviços e que criava soluções para Internet começou a ter seus
sites invadidos e pichados (ataque conhecido como defacement). Foi terrível,
passei semanas tentando descobrir como tinham entrado e roubado as informações
e ao mesmo tempo negociando com o atacante (que deixara um número de ICQ nas
telas). Eu até escrevi esta história no texto “Invasão,
Destruição e Extorsão”. No final descobri que ele entrara no computador do
responsável da empresa e roubara um planilha com todos os dados de acesso, IPs,
logins e senhas. Uma brecha no computador da tal pessoa permitiu que um incauto
achasse a brecha e usasse a seu favor. Fora um ataque fortuito, não direcionado.
Ele atacou e fez o que fez apenas porque havia uma brecha... O fulano se sentia
seguro, foi invadido deu no que deu. Acabei fechando tudo, mas foi um
trabalhão.
Cássio : toda vez que eu chego em uma cidade eu pergunto “é seguro
andar por aqui?”. Se a pessoa diz que sim eu posso me aventurar a caminhar nas
redondezas. Agora imagine que chegue um europeu aqui em São Paulo e ele sai a
esmo pelas ruas da cidade... Ele por analogia aos locais que ele mora e conhece
vai se sentir muito seguro e confortável, mas ele nem desconfia dos perigos que
ele está passando. A sensação de segurança é muito perigosa porque ele não tem
noção da ameaça. Quando a pessoa recebe de seu provedor um endereço IP ela sai
navegando e se expondo sem ter noção do que pode ter de perigos. Eu tenho
apenas uma rede social que é o Linkedin. Não compartilho fotos de viagens e
nada que eu não saiba a segurança daquele ambiente e quem estará vendo aquilo. Meu
Linkedin não tem foto. Quem quiser me contratar só precisa conhecer meu
currículo, minha experiência! Eu sou uma pessoa muito reservada neste aspecto. E
sou prevenido. Tenho 8 caminhos diferentes para ir e voltar de casa para o
trabalho. Não repito nenhuma password em site ou serviço algum e todas têm no
mínimo 16 caracteres! Não são palavras, são frases. E na minha casa todas as
câmeras (webcam) têm uma fita adesiva tampando. Se apesar de todo cuidado que
eu tenho, se entrar um malware que ativa a webcam, não estarei exposto. PC,
notebook, tablet e mesmo meu telefone têm a câmera tampada ou sempre virados
para baixo.
Xandó : isso tudo
parece loucura e eu te entendo, pois você é profissional de segurança, mas pensando
bem é mesmo necessário!
Cássio : minha esposa acha que eu sou maníaco!! Minha rede de casa
é mais intrincada e mais protegida que muitas empresas!! Minhas senhas super
complexas. Sabe onde é o lugar mais fácil para pegar senhas das pessoas? Em
lojas que vendem tablets. As pessoas testam e entram com seus e-mails e apenas
fecham o browser. Ao chamar novamente, por exemplo, o Gmail já aparecem os
e-mails da última pessoa que usou (ela não fez logoff). Nessa hora não só você vê
tudo sobre a pessoa como pode mudar a senha dela... E jamais use WiFi sem
senha, pois estes são facilmente monitorados e pessoas podem capturar dados,
e-mails e senhas com grande facilidade. Eu só uso o meu próprio modem 3G e
ainda fecho VPN com a empresa e obviamente estou protegido pela nossa
ferramenta da Websense que falamos sobre ela.
Xandó : Fantástica
essa nossa conversa!! Eu agradeço muito pela oportunidade e por tantas
informações, casos, detalhes sobre produtos, dicas de segurança e também pelo
ótimo café!! Até uma próxima oportunidade.