Já está muito no passado o tempo que antivírus era sinônimo de segurança. Na
verdade penso que apenas este tipo de solução nunca foi eficaz, mesmo no
passado. As ameaças, as motivações para invasões e roubo de dados, as
características das ações contra pessoas e empresas mudaram muito e dessa forma
as medidas defensivas tiveram que ser reinventadas. Vez por outra tenho a
possibilidade de me informar sobre este assunto e dessa vez fui brindado com o
convite para conversa com John Spiliotis, vice-presidente de Vendas – Américas de
empresa Palo Alto Networks, altamente especializada em soluções de segurança.
John Spilitotis é o executivo responsável por dirigir todas as atividades do time de vendas diretas e indiretas da Palo Alto Networks nas Américas, desde a relação com o canal e com a equipe de gestão de contas para Service Provider, Federal, Engenharia de Sistemas até a estratégia global de vendas. Foi vice-presidente Global de Canal da Avaya bem como ocupou cargos de liderança em atuação direta e via canal na Cisco, Extreme Networks, e Redback Networks (adquirida pela Ericsson). Tem mais de 25 anos de experiência em liderança de vendas de tecnologia em vários setores da indústria. John Spiliotis tem mestrado em Finanças e sistema Bancário pela Universidade de Hofstra e graduação em Matemática pelo The Citadel, Colégio Militar da Carolina do Sul.
Falamos sobre um vasto conjunto de temas, de soluções e tecnologias de defesa até a maturidade do mercado nesta área. Segue abaixo a transcrição da conversa que tivemos passando por todos estes assuntos.
figura 01 - Flavio Xandó e John Spiliotis da Palo Alto Networks
Flavio Xandó: Esta é a sua primeira vez no Brasil?
John Spiliotis: Não. Eu fui o responsável pela região América representando diversas empresas pelas quais eu já trabalhei. Desde 2001 esta deve ser a 12ª vez (ou mais) que venho ao Brasil. Essa experiência me ajudou muito a aprender como fazer negócios, os canais de distribuição, etc.
Flavio Xandó: tenho uma grande curiosidade sobre a Palo Alto. Como a empresa se diferencia de outras empresas que também têm competentes soluções de segurança
John Spiliotis: ótimo que tenha perguntado isso. Preciso começar destacando que o assunto segurança não é mais algo restrito ao círculo de interesse de TI, mas sim assunto que é tratado nos níveis mais altos e estratégicos das empresas. O desafio é manter os negócios em andamento, mas de uma forma realmente segura. Neste ponto que entramos. Só para relembrar, a Palo Alto iniciou suas operações em 2005 e começamos a entregar soluções para o mercado em 2007. Criamos o conceito “Next Generation Security” que nos diferencia das várias soluções que existiam até então no mercado (e que vinham sendo usadas daquela forma pelo menos nos últimos 19 anos). Estou falando das clássicas soluções que se baseiam em inspeção de pacotes que passam pela rede, os Firewalls clássicos. Estas são como uma portaria na frente de sua casa. Se alguém tem que entrar ou sair uma porta deve ser aberta. Algumas portas ficam abertas o tempo todo e assim muitos entram e saem a todo instante, mesmo que olhando quem passa, não é muito eficiente.
Flavio Xandó: mas então como funciona o conceito do “Next Generation Firewall” da Palo Alto Networks?
John Spiliotis: é um conceito bem mais abrangente. Além das “portas” nossa tecnologia consegue saber quais usuários estão gerando quais tráfegos na rede, quais aplicações estão sendo utilizadas (e por quais usuários) e o conteúdo sendo trafegado. Usando uma metáfora, é como se fosse um sistema postal no qual cada envelope que passa nós, somos capazes de abrir, saber de quem e para quem é a carta, olhamos o conteúdo para saber se este é bom ou ruim e assim conseguimos desviar o que deve ser desviado ou impedido de trafegar. Isso nos diferencia. Nenhum outro fornecedor de solução consegue ao mesmo tempo analisar todo conteúdo, todos os usuários, todas as aplicações durante todo o tempo com alta performance. Isso dá para o usuário de nossa solução um controle granular de todo tipo de conteúdo ao mesmo tempo. A solução vai da borda de rede até os “endpoint” (computadores dos usuários finais) e ao longo de todo o data center, bem como dispositivos móveis. Prevenção (além de atuar sobre incidentes) é outro grande fator de diferenciação. Prevenir é menos custoso do que descobrir uma situação ruim e ter que atuar na remediação de um incidente de segurança.
figura 02 - clique para ampliar
Flavio Xandó: de fato eu vi no site da Palo Alto artigos, papers e alguns casos que citam essa diversidade de camadas de segurança, não simplesmente olhando apenas pacotes de dados na rede, mas sim aplicações, usuários, etc. Isso é de fato uma importante diferença.
John Spiliotis: quando nós falamos em administrar usuários e aplicações comparado com portas, protocolos e origem/destino de tráfego, a forma antiga é muito complexa, cara e para tentar chegar perto da nossa abordagem é virtualmente impossível. Isso significa que a forma mais simples é administrar grupos de usuários e aplicações.
figura 03 - clique para ampliar
Flavio Xandó: Você pode dar um exemplo?
John Spiliotis: imagine o caso de um hospital. Há diferentes níveis aplicações e permissões relativas a médicos, visitantes, pacientes, enfermeiras e administradores. Cada um destes grupos de usuários precisam ter acesso a particulares aplicações com diferentes permissões em cada uma delas. Na forma tradicional de segurança, se um médico ou visitante está na sala de espera do hospital, se existe permissão para algo, esta permissão se aplica para todos presentes ali e isso é extremamente inseguro. Pode levar a visitantes terem, por exemplo, inadvertidamente acesso a dados de pacientes. Com a nossa solução permitimos ao administrador selecionar os grupos de usuários e associar às aplicações e conferir somente as permissões desejadas e necessárias. É o que chamamos de controle granular. Atualmente as soluções legadas têm 20, 30 ou 40 mil políticas de acesso aplicadas aos firewalls para chegarem apenas perto do efeito que conseguimos facilmente com nossa abordagem granular de configuração.
Flavio Xandó: mas porque na solução tradicional existem tantas políticas assim?
John Spiliotis: há muita particularização. Se algo é proibido, mas algumas pessoas precisam daquela permissão, diversas políticas são criadas de forma a particularizar o acesso ou fornecer permissão tendo como base “da origem tal para o destino tal e em certo endereço”. Isso leva a um número imenso de regras para serem definidas e administradas (com grande dificuldade). No nosso mundo é muito comum termo apenas 10% (ou menos) de regras definidas.
Flavio Xandó: há outros pontos de preocupação?
John Spiliotis: vamos pegar de novo aquela analogia sobre a portaria que concentra o acesso ao prédio. Não apenas temos que monitorar aquela entrada, mas diversas outras entradas que podem existir, regulares ou não, também literalmente algumas portas dos fundos existentes, janelas, porta da garagem e até mesmo pela chaminé da casa!!
Flavio Xandó: mas também existem “perda de dados” internas! Ocorrem perdas de dados originadas a partir da própria empresa, correto?
John Spiliotis: certamente, seja por acidente ou deliberadamente ou por meio de algum malware que captura, expõe e rouba informações. Esta situação pode ser detectada.
Flavio Xandó: pude ler que algumas das soluções da Palo Alto são baseadas em um formato de assinatura. Gostaria de entender um pouco melhor sobre isso.
John Spiliotis: nós construímos esta plataforma a partir do zero. Fizemos uma arquitetura completamente nova, pois começamos com soluções tradicionais, mas logo percebemos que no mundo real, algo diferente seria necessário e que não poderíamos continuar a fazer o que todo mundo fazia. Foi quando criamos o que chamamos de “Single Pass Architeture”. Do que se trata? Nós olhamos para os dados, cada pacote, apenas uma vez. Como se fosse um convidado que vem na sua casa, a primeira vez você vê sua identificação, você o cadastra, tira foto, etc. aplicando diversos mecanismos de avaliação. No caso dos dados avaliamos perante técnicas de IPS (prevenção contra intrusão), análise de “risco de dia zero”, mecanismo de filtragem, análise de URL, etc. Cada uma dessas plataformas é oferecida na modalidade de assinatura. Isso permite que nossos clientes possam escolher se querem usá-las de forma completa ou apenas funcionalidade básica.
figura 04
Flavio Xandó: mas qual é então a característica e vantagem da modalidade de assinatura?
John Spiliotis: no mundo que vivemos hoje a infraestrutura de segurança pode estar fracionada em diversos dispositivos, soluções de diferentes fornecedores e isso tudo é muito custoso para manter e administrar. Na plataforma integrada que disponibilizamos, basta que o cliente ative um a um, por meio das assinaturas, os recursos que ele deseja usar, presentes em uma solução completa que já está com ele. Assim a partir de apenas um ponto para administração, criação de políticas, único sistema operacional, múltiplas funcionalidades, fica mais simples implementar e gerenciar.
Flavio Xandó: hoje em dia me parece que segurança se tornou um assunto tremendamente associado com software. Software é o ponto chave e não mais um dispositivo específico. Tanto que a Palo Alto tem soluções em hardware e também versões virtualizadas de seus produtos.
John Spiliotis: exatamente, a “mágica” acontece no software, mas precisa haver uma base sólida sobre a qual este software roda. Principalmente para tráfego de alta velocidade que demanda alta performance. Nós temos soluções para necessidades pequenas, moderadas, alta demanda, escaláveis e também versões virtualizadas de nossos produtos. O fato é que usamos o mesmo software e sistema operacional em cada uma delas habilitando o cliente a ter o mesmo conjunto de recursos e funcionalidades qualquer que seja a plataforma escolhida para o nosso produto. Para o cliente isso significa que ele pode gerenciar tudo a partir de um único ponto centralizado.
Flavio Xandó: ter um dispositivo físico na rede dedicado e especializado para a segurança me parece uma boa ideia porque todo tráfego passa por ele, o gerenciamento converge para este local, etc. Mas com o crescimento da empresa, maior necessidade, não faz mais sentido ter a versão virtualizada uma vez que em Data Center virtualizado é bem fácil ampliar capacidades de máquinas virtuais, atribuindo mais poder de processamento, mais memória, etc. sem ter que trocar o equipamento?
John Spiliotis: isso depende das necessidade do usuário. Por exemplo, em empresas pontocom, com alta demanda por tráfego, a solução que melhor atende é ter dispositivos dedicados (hardware) nas bordas da rede para manusear todo o fluxo de dados e este dispositivo deve permitir escalar (fisicamente) para maiores níveis de performance. Por outro lado, para gerenciar o tráfego dentro do Data Center, entre diversos servidores e a comunicação com a borda de rede, as versões virtualizadas são usadas com grande flexibilidade e eficiência. Como você mesmo disse, no mundo virtualizado alterar uma configuração de uma máquina é algo extremamente rápido. Temos uma forte integração técnica com a VMware no nível do hypervisor que nos permite escalar as versões virtuais do produto e isso rapidamente refletir na capacidade de processamento das políticas, regras, etc. Ainda no lado do hardware temos parcerias que nos permitem relação forte com o chipset das máquinas de forma bem integrada e maximizando a performance e o throughput de rede.
Flavio Xandó: e quais seriam então as possibilidades?
John Spiliotis: nós temos vários grandes clientes que têm nossa solução e que usam os escritórios remotos, filais e que a solução virtualizada tem o melhor custo benefício e entrega toda a funcionalidade enquanto no Data Center central versões físicas e virtuais também convivem em função de suas aplicações. Não falamos até agora, mas em nosso portfólio temos também soluções em nuvem pública ou privada. Gostamos de dar alternativas de escolha para o cliente. São diversas alternativas para que ele selecione a mais adequada para o seu caso: hardware, virtualizada, nuvem pública ou nuvem privada.
Flavio Xandó: um assunto que tem sido largamente discutido é o problema das APTs (Advanced Persistent Threat – ameaças persistentes avançadas). Como sua solução lida com este tipo de situação?
John Spiliotis: as APTs tem crescido exponencialmente nos último tempos. Nossa tecnologia na nuvem chamada Wildfire tem como objetivo detectar ameaças desconhecidas. Há milhões de arquivos desconhecidos que precisam ser verificados. Além disso, parte de nossa base de clientes de mais de 22 mil empresas (aumentando cerca de 1000 a cada trimestre) , cerca de 5000 participa dessa comunidade (também é uma assinatura) auxiliando no processo de detecção e análise arquivos, ameaças ou ataques desconhecidos, agregado aos nossos próprios esforços internos. Uma vez que algo desconhecido é catalogado como malicioso, ele passa a ser “conhecido” e assim enviamos a “assinatura” (do arquivo ou do ataque) de volta para a nossa base de 5000 clientes, isso tudo em apenas 15 minutos em média. Temos clientes em diversos segmentos como indústria, tecnologia, varejo, seguradoras, saúde, governo, finanças, etc. assim nossa larga representatividade nos ajuda a rapidamente colher a informação do ataque desconhecido, resolvê-lo e enviar de volta a solução como expliquei por meio do Wildfire. Nós temos uma abordagem muito agressiva no aspecto da prevenção e detecção de ameaças desconhecidas dentre as quais as persistentes também têm lugar.
Flavio Xandó: segurança não se resolve tudo de uma vez, com apenas um enfoque. São camadas e camadas que se interpõem para prover a solução ideal e mais completa, certo?
John Spiliotis: isso mesmo. E nós acreditamos que apenas a abordagem de soluções de infraestrutura de segurança integradas, com alto grau de automação podem prover a proteção necessária. Há várias fontes de informação como IDC, Morgan Stanley, etc. que apontam que os CIOs estão em busca das soluções integradas para os próximos anos. Por que? É mais eficiente e muito menos custoso do que gerenciar várias soluções independentes.
Flavio Xandó: você pode mencionar alguns clientes que a Palo Alto tem nos EUA e no Brasil?
John Spiliotis: não são todos que podemos citar publicamente. Em nosso site há alguns exemplos (aqui) dos mais variados segmentos dos quais vários presentes na “Fortune 500” extremamente bem representados nos mais diversos segmentos. Algo que é bem significativo, nossos melhores vendedores não somos nós mesmos e sim nossos próprios clientes que recomendam nossas soluções. Recuperando a informação de meus registros, são 80 empresas da “Fortune 1000” e 900 da “Global 2000” são nossos clientes.
Flavio Xandó: São números bem interessantes!
John Spiliotis: trimestre passado tivemos 54% de incremento em nossas receitas e por mais de 13 meses seguidos tivemos um incremento mensal de pelo menos 1000 clientes! Uma coisa impressionante eu posso comentar com você Flavio. Cada um destes 1000 clientes novos tinha outra solução de segurança instalada, uma infraestrutura segmentada que nossa solução integrada veio a substituir. Um dos motivos para isso é que nossa solução é capaz de coexistir com harmonia com as soluções legadas e dessa forma as empresas têm como comparar o nível de visibilidade e integração que temos e isso nos permitir substituir os produtos existentes parcialmente ou muito frequentemente na sua totalidade. Porque eles precisam ter uma solução separada de filtro de URL ou solução de IPS se tudo isso pode estar integrado a uma solução única da Palo Alto Networks?
Flavio Xandó: Mas uma migração de produtos pode ser complexa, não é?
John Spiliotis: nós temos conjuntos de ferramentas que disponibilizamos para nossos clientes e parceiros para ajudar neste processo. Por exemplo, podemos usar um desses recursos para migrar políticas e regras de firewalls tradicionais como, por exemplo, Checkpoint e trazê-las para a nossa solução. O que isto significa para o cliente? Nós facilitamos incrivelmente o trabalho operacional de migração acelerando muito a disponibilização da nossa solução.
Flavio Xandó: mudando de assunto, imagine que algum tipo de ataque está em progresso e que por algum motivo (dia zero ou algum outro motivo) não foi barrado pelo sistema de segurança. Existe alguma forma de estudar as evidências para aprender com o ocorrido?
John Spiliotis: relembrando, você pode ver tudo, tráfego, pacotes, usuários, aplicações, conteúdo, etc. o tempo todo. Se vem de fora, se vem de dentro... e possibilitamos que o cliente tome algumas decisões para frear este tipo de tráfego imediatamente. Sobre evidências “forenses”, temos plataforma visual, distante apenas a um clique de botão que pode ser usada para mergulhar mais a fundo nos dados e saber também a origem geográfica daquele tráfego e fazer ajustes no sistema para que ao perceber incremento anormal a partir de certa origem, tomar uma medida defensiva (manual ou automaticamente), descartando instantaneamente o que vem deste local. Este é só um exemplo dentre o que se pode fazer com as ferramentas de análise forenses de nossa solução.
figura 05
Flavio Xandó: ao olhar para a frente, para o futuro, que tipo de ameaças e problemas sua tecnologia deverá endereçar frente a evolução das próprias ameaças?
John Spiliotis: esse tipo de visão é algo que deduzimos a partir dos cenários de nossos clientes. Um dos exemplos é a possibilidade de ataques mais direcionados partindo de dispositivos móveis. As ameaças avançadas persistentes (APT) que se valem de plataformas móveis, mais sofisticadas é algo com que já nos preocupamos e que temos que olhar cada vez mais. Prevenção é o ponto chave de nossa filosofia de segurança. Assim temos grandes investimentos em pesquisa para prover nossos produtos de mais capacidade e inteligência para serem capazes de lidar também com as ameaças que também evoluem dia a dia, seja por meio de hardware, software, na rede, nos endpoints, nos dispositivos móveis...
Flavio Xandó: uma curiosidade final. A companhia fica na cidade de Palo Alto na California?
John Spiliotis: na verdade não. Boa pergunta. A sede fica em Santa Clara, Califórnia, nosso fundador vive em Palo Alto, ele é de lá, e possivelmente por isso ele registrou a empresa com este nome.
Flavio Xandó: John foi uma satisfação muito grande ter conversado com você, ter aprendido bastante sobre a Palo Alto Networks. Não é frequente, mas eventualmente eu vou para a Califórnia, seja San Francisco ou San Jose (que estive novembro passado) e terei grande satisfação em visitá-lo e conhecer a empresa em futuro próximo. Agradeço demais a oportunidade de poder ter conversado com você.
John Spiliotis: Será uma satisfação recebe-lo e mostrar nossas instalações de nossa sede. Temos um fantástico centro de reuniões para negócios, centros de pesquisa e desenvolvimento, gerenciamento de linhas de produtos, cerca de 2100 funcionários neste local (temos contratado cerca de 200 pessoas por trimestre). Pode ser que tenhamos problema de espaço em breve!! Fruto do crescimento da empresa! Apenas o reflexo da realidade que temos vivenciado com os nossos clientes.
Nenhum comentário:
Postar um comentário