Em passado recente pude conversar sobre segurança com a Cisco, conhecida como
gigante no segmento de redes e conectividade. Mas como o assunto é muito
dinâmico voltei a debater o assunto com Paulo Breitenvieser (Diretor de
Segurança da Cisco do Brasil) e Ghassan
Dreibi ( Gerente de Desenvolvimento de Negócios de Segurança da Cisco para
América Latina ) no final de 2015 e quero compartilhar com os leitores essa
conversa informal que passou por diversos aspectos do complexo cenário da
segurança, mas de uma forma muito leve e agradável.
figura 01 - Ghassan Dreibi e Paulo Breitenvieser
Foi uma conversa longa e muito rica! Percorremos muitos
tópicos. Eu o convido a ler a entrevista toda, mas para facilitar para o leitor
eu dividi o texto em diferentes tópicos. Assim quem tiver menos tempo poderá
ler apenas o tópico (ou tópicos) que mais lhes interessam. Como se cada tópico
fosse uma “mini-entrevista”!
- Novas tendências e necessidades em segurança
- Anatomia de algumas invasões conhecidas – o caso da Target
- Como implementar segurança em todo lugar
- Como lidar com a segurança no uso de Nuvem
- Entendendo o pxGrid – conectando sistemas de segurança
- Cisco AMP (Advanced Malware Protection) e Threatgrid
- A ameaça real e crescente do Ransomware
- Visão de segurança integrada da Cisco, WebSecurity, escalabilidade e mercado
- Cisco adquire OpenDNS
Novas tendências e necessidades em segurança
Flavio Xandó: a Cisco anunciou recentemente novos produtos em seu portfólio de segurança. Aliás isso tem acontecido em um ritmo bastante intenso. Você pode falar um pouco mais sobre isso?
Cisco (Gassan): estes nossos anúncios fazem parte de um conjunto de ações que vêm acontecendo já há um bom tempo, inclusive o que divulgamos poucos meses atrás. Estamos introduzindo para as empresas uma mudança no panorama de segurança. Fala-se muito em Cybersecurity, mas há mais por trás disso. Existe a necessidade de resposta a incidentes de forma ágil. Nós endereçamos este problema de uma forma diferente aproveitando um ponto forte que temos que é a rede. É algo amplo. Existe uma frase que gosto de lembrar, dita pelo secretário de defesa americano, que tem tudo a ver este novo panorama:
“Existem coisas que nós sabemos e por isso nos preparamos para elas, tomamos as medidas defensivas; existem coisas que nós sabemos que não sabemos e que quando acontecerem teremos que enfrentar e depois nos prevenir; mas ainda existem as situações que nós nem sabemos que existem”.
Na empresa isso se reflete em, nem saber que porta devem ser fechadas e nem que ameaças vamos enfrentar. Chegou um momento que as empresas nem sabem para que lado ir para se defender ao mesmo tempo que estas empresas dependem cada vez mais da tecnologia em seus negócios. Não como sendo do segmento de TI, mas a empresa de alimentação, indústria, banco, etc. acabam sendo de tecnologia pela dinâmica e necessidades do negócio.
Flavio Xandó: mas as empresas vêm ano a ano apertando suas medidas de segurança, como isso se reflete neste momento atual?
Cisco (Ghassan): são muito mais dispositivos, mais tráfego... e isso não implica somente apenas em mais storages, maior datacenter, mais estrutura e sim em termos de segurança. Há mais coisas a serem vistas, processar mais, etc. Cloud é outro aspecto, imagine uma implementação de Office 365, sai da mão do gestor de TI todo o controle, acessos, anexos Word, Excel, Powerpoint e tudo está na nuvem. Neste exemplo, a Microsoft é super segura, tem um tremendo datacenter. Mas até chegar lá... quem tem autorização para isso? Junte a tudo isso os recentes fenômenos de IoE e Iot (Internet das coisas).
Flavio Xandó: temos que pensar que IoT está começando, apenas engatinhando... Tem muito por acontecer!
Cisco (Ghassan): essa palavra é perfeita, está engatinhando! Os clientes estão investindo em IoT. Mas podem estar deixando a segurança um pouco de lado porque não sabem exatamente o que fazer. Neste contexto tem muito a ver com criptografia dos dados que transitam entre dispositivos, autenticação do dispositivo, sensor... Eu não acredito que haverá sensor inteligente, com sistema operacional. Ele tem que ser simples, não dá para colocar nada dentro dele, não tem processamento, senão inviabiliza o custo.
Figura 02 - Cisco IoT
Anatomia de algumas invasões conhecidas – o caso da Target
Flavio Xandó: como a Cisco pode ajudar nisso e em outros aspectos da segurança?
Cisco (Ghassan): nós estamos preparados para lidar com este novo grau de dependência de TI. Não se trata mais de se preocupar com um hacker. Existem organizações criminosas que se antes roubavam bancos, agora roubam informações, dados financeiros, desviam recursos. Se antes usavam armas, hoje fazem por meio da captura dessas informações. Nós inclusive percebemos que alguns ataques são usados como ferramenta de distração, visando tirar a atenção da equipe de segurança. Por exemplo, um ataque de DDoS (ataque distribuído para negação de serviço). É algo que não “mata ninguém”, dá dor de cabeça. Imagine o CIO do banco que apenas orienta, “resolvam, pois, o Internet banking caiu”. Nessa hora todos olham para esta cena de DDoS enquanto na mesma hora pode estar acontecendo um ataque pela rede interna, um port scan ou algo do tipo. Pode passar batido.
Flavio Xandó: mas e as medidas tradicionais de segurança, não auxiliam de alguma forma?
Cisco (Ghassan): hoje em dia todos têm suas defesas, as redes estão protegidas, mas no fundo o que eles querem é ganhar acesso, não querem bypassar o firewall, o IPS, eles sabem que não podem quebrar este código. Querem é achar outra forma de ganhar acesso. Tentam por e-mail, tentam por Web, por outras formas de acesso inserir um código malicioso para abrir uma passagem. Invadir diretamente uma organização é quase impossível hoje em dia porque ela está blindada. Mas se um código malicioso for introduzido via um parceiro de negócio, por um terceiro...
Flavio Xandó: dê um exemplo com isso aconteceria?
Cisco (Ghassan): imagine que seja dado acesso WiFi, por um access point inseguro, que permita que a rede seja acessada. Foi mais ou menos o que aconteceu com a gigante do ramo de supermercados nos EUA, a Target. A máquina de um prestador de serviços, que cuidava do sistema de ar condicionado foi infectada por um código malicioso e começou aí. A Target tem fortes defesas em sua estrutura e é auditada em termos de segurança por um processo rigoroso, os invasores sabiam disso. Por meio de uma busca no Google eles descobriram quem prestava serviço para a Target, mandaram uma diversidade de phishings com o código malicioso que visava a Target. Esse código malicioso não fazia absolutamente NADA na máquina do terceiro. Ficou ali sem ser percebido, pois não estava onde ele queria. Antivírus não foi capaz de perceber essa ameaça.
Flavio Xandó: entendi, mesmo ferramentas mais sofisticadas que analisam comportamento nocivo, não tinham como pegar...
Cisco (Ghassan): isso, porque não estava fazendo nada. Mas quando ele estava dentro da rede da Target o código malicioso “acordou”. Era algo muito simples, apenas fazia um PING para saber se um certo servidor que ele sabia existir estava na rede. Saber o endereço IP do servidor de algum lugar é relativamente simples! E aí começou a tentativa já na rede interna para prosseguir quebrando a segurança até conseguir roubar os dados.
Flavio Xandó: mas precisa ter informações internas...
Cisco (Ghassan): estes tipos de ataques chamados de persistentes (APT) geralmente partem de algumas informações internas. Às vezes, o simples ato de gravar um arquivo Word em um DROPBOX, o arquivo pode carregar informações sobre a rede original, nome de servidor, IP, etc. No caso da Target, ele visava acesso a base de dados. Mas sabendo que não conseguiria chegar lá diretamente, o código malicioso se instalou nos terminais de POS (terminal de vendas). A cada transação o POS tinha que se comunicar com o servidor para autenticar cliente e cartão de crédito e nessa hora ele teve acesso. Estes códigos quando entram, não demoram mais que uma hora para pegar tudo que eles querem!! O estrago está feito. Alguns ataques persistentes demoram muito para serem detectados, dias, semanas e até meses!
Flavio Xandó: existe algum outro exemplo assim?
Cisco (Ghassan): em 2010 falou-se muito do Stuxnet. Depois se descobriu que ele tinha sido instalado em 2008. Ele passou 2 anos capturando dados da indústria enviando para alguém, sem ser percebido.
figura 03 – guerra cibernética
Flavio Xandó: o Stuxnet não é aquele que foi achado em usinas de geração de energia?
Cisco (Ghassan): exatamente!! Há muitas suspeitas de quem teria criado, porque fez... Guerra cibernética é realidade, já existe. Este é o grande problema, nós não sabermos para que lado vão exatamente estas coisas. Por isso não basta eu me preocupar apenas comigo mesmo. Tenho que me preocupar com os terceiros e mesmo com usuários remotos, aquele que trabalham a partir de casa. Será que há real segurança nestes acessos? Via VPN, ele usa sua senha para se conectar, no computador que ele quiser. Pode não ter controle algum sobre este dispositivo. A ameaça pode entrar por aí. Tem que haver um olhar mais abrangente. O que se deseja sempre é obter acesso. A ameaça pode vir por um e-mail de phishing, pendrive, uma rede social ou por uma VPN. Descobrimos em nossos estudos que de 500 empresas pesquisadas, uma boa parte delas usavam VPNs não corporativas – que vinham não de funcionários, algo que apenas depende de usuário e senha, um simples acesso IPSEC padrão de mercado.
Flavio Xandó: mas tem que ter um certificado de segurança na máquina para acessar uma VPN, não é?
Cisco (Ghassan): não obrigatoriamente. Aqui na CISCO não apenas as máquinas que vão acessar VPN precisam ter um certificado de segurança instalado como temos token para validar o acesso, cuja senha muda a cada minuto. Isso não é uma realidade de todas as empresas, algumas podem ter. Mas terceiros, parceiros, têm? Por isso nossa estratégia de segurança é ter segurança em todos os lugares, em toda a parte.
Como implementar segurança em todo lugar
Flavio Xandó: mas como eu faço isso? Como ter segurança no IoT? Com ter segurança no carro (que hoje é conectado) e tantos outros lugares?
Cisco (Ghassan): há outros pontos. Como eu coloco segurança na rede que tem na cidade para medir o consumo de energia elétrica das casas e indústrias? Algumas vezes pode ser instalado um dispositivo, às vezes não. Às vezes eu posso ter acesso aos dados, às vezes não! Temos que ter outras formas de segurança. O que nós temos feito é mudar essa forma de sensor, essa forma de controle. O que nós tínhamos no passado era a busca por uma “bala de prata”, uma ferramenta que resolve tudo. Isso gerou no mercado de segurança atual a percepção de que seria necessário e suficiente comprar vários produtos. Vemos isso nos clientes, soluções são muito fragmentadas, distribuídas e complexas. No caso da Target eles tinham sistemas bons, mas alguém viu a ameaça e não deu importância para ela.
Cisco (Paulo): é que pontualmente aquela situação não era necessariamente uma grande ameaça (o POS). Trazia algum perigo, aqui, ali, acolá. Assim passa a ser algo com que se deve preocupar. Será que alguém está todos os dias analisando logs de eventos? Poderiam ser dezenas de consoles de logs para avaliar. Isso é um fato, temos discutido isso com as empresas. Em média, mais de 80% das pessoas que trabalham em segurança, o foco delas é nessa operação. É muito manual, dependente do fator humano. O que nós pretendemos é automatizar mais estes processos. Você livra mais o tempo dessas pessoas para que possam pensar na segurança com o foco mais estratégico (poucas empresas no Brasil enxergam segurança de forma mais estratégica). É isso que estamos buscando trazer para os nossos clientes. Isso é importante porque a percepção de segurança do executivo é fragmentada.
Cisco (Ghassan): por isso temos que estender nossa presença a todo o processo de uma ameaça para me defender. Eu sei o que eu sei. Faço isso partindo do que eu sei, tem coisas básicas. Tem empresas e mesmo datacenters que não segmentam suas redes. É o que chamamos de “rede flat” (mesmo endereçamento). Investe-se milhões em prédios bonitos, sofisticados, sistemas de refrigeração, etc. e todos os servidores e clientes estão na mesma rede.
figura 04 – Security Everywhere
Flavio Xandó: uma rede classe B, por exemplo... (NOTA: rede classe B é um tipo de rede que permite ter 65536 computadores que potencialmente podem acessar uns aos outros de forma direta)
Cisco (Ghassan): se apenas uma máquina virtual dessa rede for comprometida, toda a rede pode cair ou ficar inacessível, as 65 mil máquinas. Isso é só um exemplo, há muitas outras medidas de controle. Sabemos que ameaças virão por e-mail, pela Web, phishing, etc. Precisamos de ferramentas que olhem tudo conforme vão chegando. Olha aquilo que parece suspeito. De imediato não há certeza. Precisa ser analisado. Como? De várias formas. Pode ser submetido a um SANDBOX (NOTA: ambiente controlado para pesquisar o comportamento de um arquivo, programa, etc.), se ele fizer algum mal ou executar atitude suspeita, não deixa entrar. Mas coisas assim precisam estar em TODAS as formas de acesso e não apenas em uma parte. Se não estiver em tudo, a parte desprotegida será descoberta e por lá a ameaça entrará.
Cisco (Paulo): muito do que estamos falando tem a ver com processos e equipamentos, mas tem um lado que é anterior a todo este. É o lado da cultura. Nós temos visto em grandes clientes algo que seria mais natural para empresas menores que podem não ter tanta instrução, dificuldades de assimilação de uma cultura de segurança mais robusta. Instalamos em uma dessas empresas grandes uma de nossas soluções que deu visibilidade para ele de que ele estava sendo alvo de muitos ataques. Ele não gostou nada daquilo, pois acabou por expor essa situação delicada.
Flavio Xandó: mas com certeza pegar a evidência do ataque, colocar em uma gaveta não vai resolver o problema!!
Cisco (Paulo): mas nós temos muito dessa cultura aqui. Essa empresa está até considerando não nos deixar participar da concorrência para prover o sistema de segurança, só porque mostramos a realidade para ele.
Flavio Xandó: isso parece aquele paciente que vai ao médico e ao ouvir um diagnóstico que não o agrada ele resolve que a solução é trocar de médico!!
Cisco (Paulo): ou a pessoa que não está enxergando direito e ao dar óculos para ela, percebe ao olhar no espelho que está gordo. A culpa não é dos óculos!!
Cisco (Ghassan): existem variantes
deste comportamento. Um executivo, normalmente de pequena empresa, ao perceber
que algo não está bem ele toma a decisão “compre uma caixa que vai de uma vez
só resolver todos os nossos problemas”.
Cisco (Paulo): também é uma questão de regulamentações. Nos EUA, se alguma coisa acontece, ele tem que ir ao mercado e se expor, contar que foi invadido... ele para e começa a pensar de uma forma mais estruturada!!
Flavio Xandó: por isso que, por exemplo, o caso da Target teve tanta repercussão.
Cisco (Ghassan): isso, Target, SONY, etc. tiveram que se retratar e divulgar para seus acionistas e para o mercado o que aconteceu com eles. Se há uma suspeita que seja, de que dados da empresa, dos clientes tenha sido exposto ou comprometido ela tem que vir a público e divulgar.
Flavio Xandó: teve o caso da Sony Pictures que roubaram filme que ia ser lançado e o caso da PlayStation Network que teriam vazado dados de cartão de crédito de clientes.
Cisco (Ghassan): da primeira vez foi menos crítico porque era apenas uma suspeita de que os dados de cartão podiam ter vazado. Mas a despeito disso, teve que ser divulgado e alertaram os clientes para se prevenirem e trocarem seus cartões de crédito. Da segunda vez foi um ataque mesmo, confirmado e mesmas atitudes de defesa foram recomendadas.
Como lidar com a segurança no uso de Nuvem
Flavio Xandó: algo que me chamou a atenção no anúncio feito pela Cisco foi a informação de que as empresas têm uma visão muito menor que a realidade sobre o uso real de nuvem dentro de seus ambientes. Entendi que existe uma ferramenta da Cisco para ajudar as empresas a enxergar isso melhor. Como é essa ferramenta, que tipo de serviço ela presta e o que ela faz de fato?
Cisco (Ghassan): os usuários estão usando cada vez mais aplicações na nuvem. Antes eram coisas mais estanques como Dropbox, Evernote, SalesForce, etc. Mas agora, por conta de, por exemplo, Office 365 uma quantidade maior de dados como arquivos de Word, Excel, Powerpoint, etc. estão na nuvem. O que quer dizer isso? Todos os usuários da rede interna têm que sair de alguma forma da rede interna e chegar até a nuvem. Há dois tipos de informação. Nossas ferramentas vão monitorar o tráfego no nível da aplicação (não apenas monitorar pacotes de dados) e registrar em logs este tipo de uso. Determinado usuário, usando a máquina X, em certo horário, acessou o Office 365. Trata-se de uma informação de auditoria. Além disso ela tem uma integração com as aplicações de nuvem (por meio de uma API). Nossos produtos falam com o Office 365, falamos com o Dropbox, falamos com o Webex, com o Evernote... temos um controle físico no datacenter no qual este conteúdo pode ser inspecionado em relação a códigos maliciosos e ameaças. Posso fazer bloqueios de forma seletiva. O uso de cloud é mesmo muito maior do que as empresas imaginam.
figura 05 – Cisco Cloud Security
Flavio Xandó: eu sei que uma das preocupações com uso de ferramentas de cloud é a “fuga de dados”, informações sensíveis que não deveriam deixar o perímetro da empresa (DLP – data loss protection). Você citou Dropbox, Google Drive, Microsoft OneDrive, mas existe mais uma infinidade de ferramentas similares que um usuário pode usar mal intencionadamente (ou não). Como controlar isso?
Cisco (Ghassan): os usuários são monitorados. Quando eles tentam acessar um sistema de nuvem, conseguimos monitorar o protocolo, o tráfego e até mesmo algumas aplicações. Também dá para interceptar sites específicos, seja file sharing, instant messaging não autorizado, o que for. A lista de aplicações vai sendo alimentada manualmente em nossos sistemas que por sua vez replica esta lista para os dispositivos dos clientes.
Flavio Xandó: deixe-me fazer uma analogia. Voltemos 20 anos atrás. O antivírus detectou um programa com comportamento anômalo, submeteu este programa ao seu criador que se confirmar a malignidade identifica uma “assinatura” para este arquivo, anexa-a ao conjunto de assinaturas de ameaças conhecidas e por fim os clientes recebem uma lista com as novas ameaças. Vale a comparação?
Cisco (Ghassan): é mais ou menos isso. Com antivírus não dá para fazer nada além disso que você descreveu, que é criar a vacina. Neste caso eu consigo fazer o contrário. De início já tenho uma grande lista de programas ou sites conhecidos, mas também posso dar o controle para o usuário de nossa solução para liberar aquele que ele autoriza, seja File Sharing ou Instant Messaging na nuvem.
Cisco (Paulo): outro dia um dos nossos desenvolvedores acessou um arquivo da rede interna e depois tentou colocar no sistema BOX, que é a solução de file sharing na nuvem que usamos. Ele não conseguiu e obteve uma mensagem de erro dizendo que este arquivo não poderia ser compartilhado por ser marcado como confidencial e ainda recebeu um e-mail com instruções sobre como lidar com este tipo de arquivo.
Flavio Xandó: mas quem faz isso? Um appliance na empresa ou um serviço na própria nuvem?
Cisco (Ghassan): esta abordagem é local. Sistemas de DLP rodam na própria rede. Mas a discussão é interessante. Nós usamos o BOX e temos uma rede privada. Conseguimos liberar o arquivo para apenas uma determinada nuvem (no caso nossa rede privada) e não pode Dropbox, Google Drive, etc. Normalmente as empresas não têm essa nuvem privada para isso. O usuário pode até tentar procurar um sistema na nuvem que ele consiga usar. Mas nossa solução vai monitorar o tráfego de saída, com ele sempre faz e assim limitar o acesso.
Flavio Xandó: há algumas semanas eu vi uma outra solução de segurança que tem uma abordagem um pouquinho diferente. Ele também restringe a algumas aplicações que têm permissão. Mas ao perceber que um arquivo está sendo enviado para fora, questiona o usuário sobre o motivo dessa ação, cria um registro de log e documenta isso. Mesmo que ele esteja mandando para um sistema autorizado, este registro inibe que isso seja usado para qualquer finalidade imprópria!
Cisco (Ghassan): é isso que fazemos e registramos também no log de saída. O grande tema aqui é “quem pode chegar na cloud?”. Alguns sistemas apenas se restringem à autenticação do usuário, que é bom, mas nem sempre é suficiente. Pode haver se desejado restrição ao device sendo usado para este tipo de operação. E tem outro lado. Imagine que o arquivo do Office tenha algum tipo de infecção ou comando malicioso. Uma vez que ele está na nuvem, poderá ser distribuído a partir daí. Por isso temos que agir com várias ferramentas: auditoria, investigação, web security e antivírus, na cloud. Chamamos esta ferramenta de “Security Broker”. Ela é um meio termo entre o acesso da aplicação e o acesso do usuário local, ficando no meio do caminho olhando isso tudo dizendo “isso você pode fazer” ou “isso você não pode fazer”.
Flavio Xandó: isso é um appliance físico ou virtual rodando na rede local?
Cisco (Ghassan): não, é um serviço na nuvem que usa APIs para entender as aplicações conhecidas. O diferencial é podermos permitir ou bloquear aquele que não queremos. Até conseguimos detectar coisas novas, aplicações novas. Isso é notificado ao administrador que toma a decisão se ele quer impedir o acesso ou liberar.
Flavio Xandó: então se o usuário criar uma conta no (hipotético) serviço “File Master Plus” e tentar usar ele vai bloquear?
Cisco (Ghassan): depende da configuração, usualmente se bloqueia o que não se conhece. O sistema vai registar o nome da aplicação, o tipo de serviço que ela oferece para que o administrador libere ou não. Isso acontece com frequência com aplicações do tipo Instant Messaging, no começo conhecia o antigo MSN, depois veio Skype, e assim sucessivamente. A cada um deles avaliava-se se devia ser liberado ou não.
Entendendo o pxGrid – conectando sistemas de segurança
Flavio Xandó: eu li nestes recentes anúncios algo sobre uma tecnologia chamada pxGrid, mas não estou 100% de que entendi o conceito...
Cisco (Ghassan): o pxGrid é uma parceria com um conjunto de fornecedores que inclui até concorrentes, como por exemplo a Checkpoint. A origem de tudo foi o grande movimento para a cloud, motivada entre outros fatores como a adoção muito grande e acelerada de Office 365.
Cisco (Paulo): Aliás, muitas empresas acham que apenas porque migraram para a nuvem questões como spam, phishing, segurança, etc, são resolvidas na origem, mas isso não é bem assim. Incialmente não contam no projeto que precisarão complementar com uma solução de segurança e depois que percebem precisam ir atrás e resolver estes pontos.
figura 06 – pxGridCisco (Ghassan): o pxGrid é um padrão de comunicação, um protocolo (não é só um produto), um acordo entre empresas no qual abrimos APIs (Application Program Interface), o código para outros fabricantes para que outros produtos se integrem ao meu e o meu aos deles. Não dá para ser qualquer um porque eles precisam ter APIs preparadas. Assim os “produtos se falam”. Foi o que nós fizemos com estes casos do Broker, são algumas empresas com as quais temos parcerias. Estas soluções são vendidas como cloud para o usuário (como serviço). São vendidas como OEM da Cisco, integradas aos nossos produtos. Algumas vezes a Cisco acaba por comprar estas empresas depois. Não é o caso neste momento da Checkpoint, que tem boas soluções e uma base de clientes bem grande. Mas tanto ela como outros fabricantes de firewall, têm uma deficiência. Eles são isolados da rede. São produtos fragmentados. A Cisco tem uma solução que agrega às soluções deles as informações de quem entra na rede interna. Trata-se do ISE (Identity Sevices Engine) que na rede interna questiona a cada usuário que entra na rede sua identificação e começa a ler o tráfego e descobrir: “você é um iPad 1 com iOS 7 e você não vem de um usuário que eu conheço, você é um convidado na rede”... Assim ele não é apenas um log de acesso, pois ele agrega o contexto.
Flavio Xandó: mas como ocorre a integração?
Cisco (Ghassan): existe o conceito de assinatura de perfil de tráfego. Assim eu consigo saber pelo perfil de tráfego que aquela “coisa” plugada na rede é, por exemplo, uma câmera IP da Samsung, ou da Dlink, ou uma impressora Epson, ou outro dispositivo. O sistema questiona “quem é você (como usuário)?”, pede uma autenticação. Vêm as repostas “eu sou o Ghassan, senha xyzwk” e o sistema me reconhece como usuário da Cisco. Tendo todos estes dados na mão eu forneço essa identidade para o produto da Checkpoint, para que eles possam ser capazes de criar no firewall regras de aplicação que sejam sensíveis ao usuário. As empresas que vendem soluções de segurança não tinham como obter esta informação de usuário, que é algo pertinente à rede. Assim conseguimos por meio deste protocolo (pxGrid) e das parcerias, estender estes benefícios a outros fabricantes.
figura 07 - pxGrid – modelo conceitual
Flavio Xandó: no caso de estações de trabalho na rede, isso é fácil, pois de alguma forma o administrador da rede pode fazer uma instalação remota e silenciosa de um client nas estações para isso. Mas no caso de um convidado, um smartphone, ou mesmo as milhares de “coisas” conectadas (IoT) que podem surgir?
Cisco (Ghassan): no contexto do IoT, temos muitas coisas conectadas, todo o tempo. Mesmo o “convidado” da rede (computador ou smartphone). A empresa não controla quando o funcionário compra ou troca o seu smartphone. Se muito ela controla a estação de trabalho do empregado. Por isso tem que ser simples esta “inclusão” no contexto da rede para poder ser administrada pela nossa solução de segurança. Por isso o ISE (Identity Sevices Engine), que entregam a identidade, é na minha opinião o diferencial, tanto para IoT como Cloud, pois será ele que entregará para a Cloud quem é aquele dispositivo, qual o usuário e suas permissões. Por exemplo, este usuário não pode falar com o servidor de vendas, na nuvem, Assim se produz marcações no tráfego que acompanham este usuário e device por toda a rede até o datacenter (local ou na nuvem) !! O que nós fizemos com o pxGrid foi integrar nossa ferramenta de ISE com nossa ferramenta de WiFi que entre outras coisas, provê a informação de localização dentro do espaço físico da empresa ou mesmo em locais públicos como, por exemplo, aeroportos. Posso saber que o usuário se conectou na rede WiFi, foi no balcão de checkin, depois foi para a sala VIP e em seguida foi comer um pão de queijo. Isso gera um conjunto grande de dados para análises, fruto da informação sobre qual Access Point ele esteve conectado a cada momento, uma vez que por triangulação de sinais a localização, mesmo interna, pode ser obtida com boa precisão.
Cisco (Paulo): este é o exemplo do aeroporto, mas no varejo isso também pode ser usado. Em um supermercado , certa gôndola recebe mais visitas que a outra, ou determinado corredor tem mais passagem. Isso pode ser demonstrado, pois os dados estão à mão.
Cisco (Ghassan): nós somamos esta ferramenta de “Location” (de Analytics) ao ISE, pois antes os sistemas até sabiam da existência de um dispositivo, mas não sabiam quem ele era. Com o ISE nós sabemos o que é o dispositivo pelo seu perfil de tráfego. No exemplo do varejo, parte disso poderia ser feito com ferramentas de RFID, mas agora o WiFi pode ser usado também como “location” real de dispositivos conectados.
Flavio Xandó: no material da Cisco tem um exemplo de hospital. Isso faz bastante sentido, uma vez que, por exemplo, uma maca que precisa ser rastreada ou uma empresa que pelo WiFi localiza o dispositivo e usuário e em determinada região, liberando ou proibindo o acesso a recursos (isso pode, aquilo não pode).
Cisco (Ghassan): isso mesmo. Temos esta solução como eu havia comentado. E a segurança pode ser vista por outro lado. Imagine de novo o exemplo do hospital. O desfibrilador só funciona em certo pavimento e não em outros. Ele não pode ser conectado em outra rede em outros andares. Se não for plugado em uma rede não autorizada, ele não funciona.
Cisco (Paulo): outro exemplo nessa mesma área. Um tapete ou o piso pode estar conectado e ter sensores de contato e peso. Assim pode se determinar pelas características lidas pelos sensores do chão se alguém sofreu uma queda, e coisas deste tipo.
Flavio Xandó: voltando ao ponto da preocupação com as ameaças, como se protege isso tudo? Como evitar mal uso?
Cisco (Ghassan): o exemplo dos sensores do piso é um caso meio extremo. Não tem como instalar módulos de segurança. Mas veja, por exemplo estas várias estações de tele presença que temos aqui na Cisco, solução que muitos clientes nossos usam, incluindo o “Time Brasil” e comitê olímpico brasileiro (NOTA : contei mais sobre isso no texto “A Cisco além das redes, nos jogos olímpicos - transformações na cidade”). Estas estações usam sistema Android. Sendo assim há possibilidade de baixar aplicações. Se não existir um sistema de segurança que direcione e limite os acessos, esta estação poderia se tornar um ponto de vulnerabilidade para a rede. Mesmo o tapete com sensores no caso do exemplo do hospital, mesmo que não possa receber um módulo de segurança específico, ele teria endereço IP na rede e pode ser isolado para efeito de segurança.
Cisco AMP (Advanced Malware Protection) e Threatgrid
Flavio Xandó: o tal tapete com sensores não é um elemento que tenha capacidade de fazer algo maligno na rede, mas ele pode ser uma porta de entrada. É isso? Ou falando de uma outra forma, qualquer “coisa” das “coisas” (da Internet das coisas – IoT) precisa ser muito bem avaliada e acompanhada...
Cisco (Paulo): isso mesmo. E temos lidado com isso por meio de duas ações. Uma delas é entender o perfil de tráfego, isolar e dar para o dispositivo/usuário apenas o acesso que ele tem direito e nada mais. Outra ação é o AMP (Advanced Malware Protection) que temos usado de uma forma inteligente, como um conector para o mundo da segurança). O AMP é um módulo tão otimizado, tão leve que pode ser disponibilizado para uma estação de trabalho (computador), para um smartphone e também meio que para qualquer coisa, independentemente do poder computacional da “coisa”. E com isso temos ainda mais visibilidade sobre a rede, tráfego, etc.
figura 08 – Cisco AMP
Flavio Xandó: mas o AMP é um Endpoint, não é?
Cisco (Paulo): também! Essa é uma boa pergunta porque muitos dos nossos clientes nos questionam sobre isso. Eles associam “AMP com Endpoint Security”. Temos versões para muitos tipos de dispositivos. Mas eventualmente um certo dispositivo, um smartphone da China, não tem AMP para ele. Por isso temos também o AMP para redes. É um appliance que usa o tráfego de rede para analisar o que transita, arquivos, mensagens, códigos maliciosos. Obviamente quanto mais próximo ao device, mais informações nós temos. Mas nós incorporamos o AMP às ferramentas de firewall, Web Security via cloud que monitora a navegação Web, ao e-mail, clientes VPN, ferramentas de UTM (Unified Threat Management) de menor porte (que são para empresas menores). O importante é que quanto mais informação eu tiver, mais rapidamente eu vou chegar à solução em um momento de necessidade.
Flavio Xandó: mas qual é a relação do AMP com o ThreatGrid, assunto sobre o qual eu li, mas não sei ficou 100% claro?
Cisco (Ghassan): o ThreatGrid complementa o AMP. Trata-se de uma aquisição que a Cisco fez para, por exemplo, fazer SandBox na nuvem, ter mais informações externas sobre as ameaças. Na verdade, o AMP é hoje também uma plataforma. Ele está presente como cliente em várias coisas e nós executamos funções do AMP em vários devices, por exemplo, Sandbox. Mas precisamos estar constantemente atualizados em relação às novas ameaças. O ThreatGrid é uma ferramenta de nuvem que constantemente recebe novas ameaças de vários lados, em todo o mundo, e consegue executar parte de seu processamento na nuvem. O ThreatGrid é um grande concentrador de informações sobre ameaças e códigos maliciosos.
Cisco (Paulo): uma central de inteligência!
figura 09 – Cisco ThreatGrid
Flavio Xandó: alguns fornecedores usam a figura do “honeypot” (um ponto desprotegido propositalmente para ser explorado por ameaças e pode estudá-las). O ThreaGrid também tem esta funcionalidade?
Cisco (Ghassan): várias coisas podem assumir o papel de “honeypot”, que consiste em investigar alguma coisa. Mas a função do ThreadGrid é mesmo uma ferramenta para tirar processamento de outros locais, outras formas de Threat Analysis na rede local e passar para a Cloud.
A ameaça real e crescente do Ransomware
Flavio Xandó: isso me parece ser importante na medida que algumas ameaças são sofisticadas a ponto de perceberem que estão sendo executadas (e analisadas) dentro de um sandbox e dessa forma disfarçar seu comportamento, sua malignindade...
Cisco (Ghassan): ameaças atuais não só são capazes de saber que estão sendo testadas em um sandbox, como sabem que foram detectadas. Algumas vezes ao perceberem que foram detectadas, a reação é encriptar a máquina!! E infelizmente uma das ameaças que mais crescem atualmente, segundo nossas constantes pesquisas, é o Ransomware.
Flavio Xandó: ahhhh, sequestro dos dados!!
Cisco (Ghassan): isso! O malware estava lá possivelmente fazendo outra coisa, cumprindo outra “missão”, mas quando ele é detectado ele encripta os dados e o usuário fica refém do pagamento de resgate para ter seus dados de volta.
Flavio Xandó: já que ele foi descoberto e não pode mais ser usado para aquilo, sua ação final é essa. E isso tem crescido muito, não?
Cisco (Ghassan): sim, porque as pessoas pagam. Como o custo é baixo, o que eles fizeram foi criar esta nova forma para rentabilizar os ataques interrompidos.
Flavio Xandó: eu conheço uma empresa, de pequeno porte, que passou por isso. Tiveram as pastas do servidor encriptadas. O HD externo de backup, com estava conectado na hora, também foi encriptado. Cobraram algo como US$ 2000!
Cisco (Paulo): eles pagaram?
Flavio Xandó: eles se recusaram a pagar! Tiveram que conviver com um outro backup bem mais desatualizado. Tiveram que pescar em vários lugares arquivos como anexos de e-mails, refazer trabalhos, etc. Suaram sangue para recuperar o que foi necessário. Eu no papel de consultor de TI fiz um primeiro atendimento a esta empresa. Depois um profissional especializado em segurança foi chamado. O que me chama a atenção é que Ransomware não é algo que está longe! Eu vi, com meus próprios olhos. É mesmo uma ameaça presente e real.
Cisco (Ghassan): muitos pagam e isso acaba por estimular este nefasto mercado.
Flavio Xandó: eu estava 100% de acordo com a posição da empresa para não pagar! Negociar com bandido é totalmente inseguro. Quem garante que eles liberariam a senha para desencriptar as pastas, mas quando chegassem em determinadas pastas ou arquivos, a tal senha não funcionasse e eles cobrassem de novo para liberar o acesso a este conteúdo!!? Seria como enxugar gelo, algo sem fim! Extorsão sem fim!
Cisco (Paulo): o brasileiro é meio destemido. Eu vejo pessoas aceitando coisas no celular... não se importando se o aplicativo ao ser instalado diz que vai controlar o microfone, câmera, mensagens... a pessoa só vai clicando OK, OK, OK...
figura 10 – Ransomware – tela com exemplo da extorsão (clique para ampliar)
Flavio Xandó: um tempo atrás, a título de pesquisa, um certo software incluiu no meio do seu termo de uso (que NINGUÉM lê), uma cláusula absurda, do tipo “no ato de sua morte sua alma passará a ser de propriedade do desenvolvedor deste software...”. E milhares de pessoas nem questionaram o termo absurdo!
Cisco (Paulo): o brasileiro não é mesmo cuidadoso com estas coisas. Quando eu estava assinando o casamento com a minha esposa, perguntei para a pessoa do cartório, se eu devia ler aquilo tudo e ele me respondeu “não precisa, é igual software, só concorde no final e assine”.
Cisco (Ghassan): mas é bem isso mesmo!! A resposta é ter várias ferramentas para detecção de Ransomware, como o AMP, por exemplo, mas existem outras formas, outros sensores. A Cisco tem um portfólio grande de produtos, mas nós não queremos mais ficar nomeando como firewall, IPS, etc. e apenas os chamamos de sensores. Precisamos ver mais, saber mais o que acontece em vários pontos. Às vezes eu posso precisar de um sensor que é tão complexo como um firewall, mas outras vezes não.
Visão de segurança integrada da Cisco, WebSecurity, escalabilidade e mercado
Flavio Xandó: esta abordagem de parar de falar em “um monte de caixas” com soluções, cada uma para resolver um problema, pelo que entendi, isso ficou obsoleto. Mas o que vocês estão querendo me dizer é que a Cisco tem uma abordagem mais geral e que tudo isso está em baixo de um “guarda-chuvas” único, que tira da visão todas aquelas “caixas” do passado, mas existe uma única “capa de proteção” que está tudo lá presente e integrado. É isso?
Cisco (Ghassan): é isso, mas o mais importante aqui é haver inteligência e automação. O conceito de produtos, não será abandonado. Não é isso. Queremos a abordagem mais inteligente. O primeiro passo e ganhar visibilidade de tudo que ingressa na rede. Coleto estas informações. Vejo mais! Aplicações, dispositivos, usuários, padrões de tráfego de rede, tudo. Isso é fundamental, pois antes de pensar em um produto específico, a empresa precisa conhecer a fundo seu cenário, o comportamento e a partir disso saber sua necessidade. Muitos interpretam visibilidade como apenas “log”. Log é dado, apenas isso. O que precisa ser agregado é contexto. Este dado tem “nome e sobrenome”, de onde ele é, quem ele é, para onde vai, qual permissão, pertence ao AD ou não, é um convidado, é um sensor, é uma impressora, uma câmera IP... O próximo passo é a automação, o máximo possível. Tenho algumas ferramentas que vão automatizar decisões.
Cisco (Ghassan): com esta grande coleta de dados, eles podem ser agregados, comportamentos são compreendidos e isso tudo vai compor um “dashboard”. O tráfego de rede para, por exemplo, 100 usuários é “X’. Estão autenticados e passam por máquinas Windows. Apareceu UM usuário com máquina Apple. Tudo bem, é um dispositivo conhecido. Mas ele está gerando um tipo de tráfego que ele nunca fez! Um acesso fora do padrão, um download não previsto, etc.
Cisco (Paulo): a automação, além de vários outros benefícios obriga a empresa a ter processos. Não basta descobrir que existe algo não usual se não estiver bem definido como proceder. Já vimos isso em situações de ataque. A empresa descobre que está sob um ataque, descobre até a origem e se pergunta : Podemos bloquear este endereço? Como fazemos? Para quem eu pergunto? Quem autoriza o procedimento? A questão de processos em segurança, por tudo isso é fundamental!
figura 11 – modelo de segurança Cisco
Flavio Xandó: alguns destes processos podem exigir intervenção humana, mas alguns deles podem ser automatizados, certo? Que me parece ser o valor de uma solução mais ampla.
Cisco (Paulo): tudo que é possível de ser automatizado tem que ter um processo. O que é manual, vai exigir que se crie um processo na hora (que já fica valendo para situação similar no futuro).
Flavio Xandó: existe um exemplo que acho interessante. Já faz um bom tempo que o Windows Server dispõe de um recurso que se uma estação de trabalho não estiver 100% de acordo com um conjunto de pré-requisitos, e se não estiver com todas as atualizações de segurança em dia, o servidor não pode ser acessado. Imagino que exista algo semelhante no contexto amplo de uma solução de segurança...
Cisco (Ghassan): existe, sim, algo bem parecido, mas não estamos presos a sistema operacional (não apenas Windows). Somos o mais agnóstico quanto possível. Isso porque da mesma forma que usamos a rede como sensor, também usamos a rede como “enforcer”, ou seja, obrigando-o também estar em conformidade com padrões e se algo indevido for detectado ele pode ser movido automaticamente para uma sub-rede restrita, como se fosse um tipo de “quarentena”. Ele até pode, por exemplo, acessar Internet, mas não os servidores da empresa. No limite, isolar completamente aquele usuário da rede se isso for o procedimento determinado para um certo conjunto de eventos de segurança. Não apenas usuários ou estações de trabalho. Um Access Point pode ser excluído da rede, um switch, o que for necessário. E quando falo de “rede”, não é apenas uma rede Cisco, é uma rede qualquer. Conseguimos trabalhar em um ambiente no qual a rede é de outro fornecedor. Nesse contexto vale a pena lembrar da solução “Lancope”, uma empresa adquirida pela Cisco que por meio da tecnologia StealthWatch permite este tipo de monitoração que se baseia fortemente em análise fluxo de tráfego e contexto. Imagine um caso extremo. É detectado um fluxo de tráfego intenso da impressora para a Web. A impressora não faz este tipo de acesso e assim posso tomar uma ação em relação a este fato.
Flavio Xandó: esta capa de segurança tem ficado cada vez mais complexa, para lidar com as ameaças de todos os tipos que têm evoluído, a grande dúvida que tenho é, quanto escalável é esta “capa de segurança”? Ou de outra forma, as empresas pequenas médias e grandes têm a mesma solução, mas com diferentes tamanhos, ou a empresa pequena pode ter apenas um pedaço da solução mais ampla?
Cisco (Ghassan): importante sua pergunta porque está em nosso recente anúncio de crescimento de nosso portfólio de soluções. Nós saímos do modelo de venda de ter “appliance” para o modelo de venda de software. Vendemos hardware para segmento SOHO (small office e home office) e para grandes corporações com as mesmas características e capacidades e vendemos as subscrições, os serviços de segurança com base no que ele quer usar e no seu tamanho. Por exemplo, sandbox eu posso colocar na empresa bem pequena ou na grande corporação. Mas na empresa pequena eu posso não conseguir processar tudo ali porque é pequeno. Por isso começamos a oferecer opções como serviço. Web Security, por exemplo, nós podemos executar na nuvem, não tem hardware nenhum na casa do cliente e ele paga por usuário e o tráfego Web passa por uma nuvem Cisco, onde tenho uma cloud de segurança que controla a navegação dele. Assim como também temos uma cloud de e-mail security.
Flavio Xandó: isso não quer dizer que o tráfego dele vai da empresa até sua nuvem e volta? Ou ele usa como um gateway, passando apenas por lá?
Cisco (Ghassan): isso mesmo. Ele usa como um gateway, qualquer navegação de qualquer dispositivo passa pela minha nuvem para ser filtrada. Mas só podem usar a minha cloud os usuários autenticados que estão pagando pelo serviço.
figura 12 – modelo do WebSecurity
Flavio Xandó: isso não acrescenta uma latência sensível na navegação?
Cisco (Ghassan): introduz latência. Mas como nós temos 22 datacenters no mundo, será usado aquele mais próximo do cliente. Existe datacenter no Brasil, que minimiza a latência, pois temos conexões internacionais com as operadoras, que são tão ou mais rápidas e assim a latência fica imperceptível. Em todos os testes que temos feito, o incremento de latência para usar este serviço no Brasil não é grave. Por isso que estamos sempre investindo em mais datacenters locais.
Flavio Xandó: pela minha experiência, ao acessar sites locais, existe uma latência de PING de cerca de 10 ms e para acesso ao DNS do Google, o conhecido 8.8.8.8, cerca de 50 a 60 ms. Se usar o serviço de WebSecurity da Cisco acrescentar mais 10 ms apenas, penso que tudo bem. Seria um problema se acrescentasse mais 200 ou 300 milissegundos.
Cisco (Ghassan): hoje em dia essa conexão é tão rápida, que não se percebe demora adicional. A latência adicional pode ser medida, mas ele é de fato imperceptível. Nós da Cisco Brasil e muitos outros escritórios remotos, com acesso VPN, ou mesmo em outros países, não há WebSecurity local. Todos usam o serviço da empresa na nuvem, navegamos via Estados Unidos e não temos do que reclamar!! Só tem um efeito colateral. Por exemplo, se eu entrar no site da TAM aparece site em inglês (eles pensam que estamos nos EUA), mas basta mudar o idioma uma vez que ele carregará em português nas outras vezes.
Flavio Xandó: você disse que o serviço WebSecurity é pago por usuário. Mas para isso ser viável para uma empresa pequena e média, está está vinculada ao tráfego que ela gera ou não?
Cisco (Ghassan): não, a política de cobrança é apenas por usuário. Nossos canais que fazem a comercialização deste serviço no Brasil e também operadoras que vendem seus serviços de conexão com Internet podem oferecer aos seus clientes nossa opção de WebSecurity e E-mail Security, configurado nos roteadores deles, e cotam o preço por usuário.
Flavio Xandó: mas isso acontece quando ela vende acesso para empresas e não quando a operadora vende Internet para usuários de smartphone, pessoas físicas...
Cisco (Ghassan): existe esta discussão também. Hoje o serviço não é oferecido para quem é usuário de celular. Hoje é para empresas, mas estamos conversando com as operadoras a respeito. No caso da VIVO, por exemplo, eles têm uma rede IP que tem saídas para a Internet. Nós sugerimos para eles que em vez de se conectarem a estas portas de saída para a Internet, que eles se conectem com a nossa Cloud, que tem o Web Security.
Cisco adquire OpenDNS
Flavio Xandó: eu li nos anúncios e falamos brevemente antes sobre o serviço OpenDNS. Pelo que entendi agora é um serviço Cisco. Eu uso OpenDNS há mais de 10 anos. Predominantemente o serviço de DNS gratuito, os famosos endereços 208.67.222.222 e 208.67.220.220 que são super confiáveis e muito robustos! Mas cheguei a usar uma época um outro serviço, que era gratuito até um certo volume, de filtro de navegação. Já que o DNS usado era o deles, eu usava um painel de controle para escolher as categorias para restrição de acesso, tanto na minha casa como em pequenas empresas. Fiquei curioso com essa aquisição da Cisco, pois tenho interesse em saber como este serviço se integrará às soluções da Cisco e vice-versa?
Cisco (Ghassan): um dos grandes interesses da Cisco é exatamente esta informação de tráfego, o que passa por lá, o que é ruim, o que é filtrado, o que é bom. Mas temos interesse também na ferramenta de Web Security que eles têm. É um tipo de recurso que está mais afinado com o mercado SMB. A solução, por exemplo, que oferecemos para a TELEFONICA/VIVO é a ScanSafe, que foi concebida para Enterprises. Assim a solução OpenDNS vai nos permitir oferecer este serviço para outros segmentos de empresa, por custos mais competitivos ainda.
figura 13 – Cisco e OpenDNS
Flavio Xandó: permanecerá o brand OpenDns com um adendo “by Cisco”,
terá um novo nome? Vai sumir a marca?
Cisco (Ghassan): ainda não temos esta informação, passamos para você assim que soubermos. Algumas empresas que compramos tempos atrás a marca original sumiu e virou somente Cisco.
Flavio Xandó: mas o Webex que foi adquirido por vocês manteve a marca.
Cisco (Ghassan): a empresa avalia caso a caso. Possivelmente o OpenDNS vai entrar embaixo deste guarda-chuva “Cisco Threat Defense”. Aliás nós compramos toda a estrutura, pois eles tinham vários datacenters e uma imensa massa de dados que nos será muito útil, pois agrega muitao nosso “Threat Inteligence”
Flavio Xandó: o OpenDNS também dá para ter um “Web Log”, ou seja, saber quais sites determinado usuário acessou... se não me engano este serviço é pago. Só fazer a filtragem básica e usar o DNS é gratuito.
Cisco (Ghassan): o nosso produto ScanSafe é extremamente eficaz e produtivo para isso, bastante minucioso e repleto de informações. Por isso que cada uma dessas soluções é mais indicada para um segmento. O OpenDNS soma ao nosso portfólio de serviços, que é bastante grande, faz parte de um conjunto que chamamos de “Threat Awareness” que reúne muitas informações sobre ameaças e o risco que os clientes podem correr, ações de DNS suspeitas, etc. Por meio de um portal que é oferecido ao cliente ele pode monitorar características do seu tráfego, com base em seu perfil de acessos e navegação sem que haja um sensor dentro da sua casa. Dessa forma ele terá muito mais visibilidade de sua rede e de seu ambiente.
Flavio Xandó: nos anúncios recentes também havia menção ao AnyConnect que é uma ferramenta de acesso a VPN. O que há de novo em relação a isso?
Cisco (Ghassan): o AnyConnect é uma ferramenta bastante específica e técnica e é usado por milhares e milhares de usuários que precisam usar a rede das empresas remotamente. Mas a partir de agora ele também passa a desempenhar a função de sensor de tráfego e fluxo pela rede que auxilia a complementar a visibilidade da rede. Antes, somente quem estava dentro da rede física que poderia prover estas informações, mas agora o AnyConnect tem essa capacidade de enriquecer a informação sobre a rede também nos pontos remotos.
Flavio Xandó: ele continua com a possibilidade de permitir conexões apenas com usuário e senha, ou exigência de certificado digital, mais uso de token físico, como opções para conexão remota?
Cisco (Ghassan): sim, ele tem tudo isso e ainda é um cliente VPN IPsec e SSL . Por exemplo, os clients VPN embutidos nos produtos da Apple são padrão AnyConnect. Existe parceria deles com a Cisco. Além disso, no caso de uso de certificados digitais, nós adaptamos para o padrão brasileiro, que é diferente de outros lugares do mundo. Também a empresa pode exigir (se configurar o client dessa forma) que 100% uso externo do dispositivo, por exemplo um notebook corporativo, seja feito com a VPN estabelecida. Assim sempre o tráfego será controlado, o acesso à Internet passa pelos sistema de segurança da empresa, etc.
Flavio Xandó: por quantas coisas nós passamos!!
Cisco (Ghassan): falamos de muitas coisa para que você entendesse que não só você soubesse dos lançamentos recentes, mas também nossa política de “Security Everywhere”, em todos os pontos, inclusive oferendo serviços gerenciados presentes em todas as formas de acesso. Todas estas soluções estão disponíveis para os diversos clientes, pequeno, médio e grande, cada um tem o canal certo de comercialização. Podemos vender máquinas físicas ou o software na forma de máquinas virtuais ou como serviço na nuvem. Ele nem precisa ter o appliance físico ou virtual para se conectar ao nosso sistema de nuvem. Por meio de nossos roteadores ou switches ele se conecta nos serviços de nuvem ou mesmo apenas usando o AnyConnect, não como client VPN e sim com o recurso de conector ao nosso sistema, provendo a autenticação no nosso serviço.
Flavio Xandó: então uma empresa pequena, que veio de outro planeta, Plutão por exemplo, que nunca ouviu falar no nome da Cisco, pode por meio do AnyConnect ligar sua rede ao serviço de nuvem da Cisco e usufruir de um grande conjunto de soluções de segurança, estes sobre os quais conversamos?
Cisco (Ghassan): isso mesmo. Antes nós estávamos limitados a Web e E-mail security, mas com nossas conversas com as operadoras, também o firewall pode ser usado como ser usado como serviço rodando na operadora com a nossa tecnologia.
Flavio Xandó: isso demanda uma infraestrutura compatível na operadora, mas o valor mensal pago por cada cliente deve ser capaz de financiar o aumento de infraestrutura necessária.
Flavio Xandó: eu agradeço muito a oportunidade. Foi uma longa conversa e me parece que nós percorremos todos os pontos dos anúncios recentes vocês conseguiram amarrar com muitos outros pontos da tecnologia de segurança da Cisco. Muito obrigado!
Cisco (Ghassan): ainda não temos esta informação, passamos para você assim que soubermos. Algumas empresas que compramos tempos atrás a marca original sumiu e virou somente Cisco.
Flavio Xandó: mas o Webex que foi adquirido por vocês manteve a marca.
Cisco (Ghassan): a empresa avalia caso a caso. Possivelmente o OpenDNS vai entrar embaixo deste guarda-chuva “Cisco Threat Defense”. Aliás nós compramos toda a estrutura, pois eles tinham vários datacenters e uma imensa massa de dados que nos será muito útil, pois agrega muitao nosso “Threat Inteligence”
Flavio Xandó: o OpenDNS também dá para ter um “Web Log”, ou seja, saber quais sites determinado usuário acessou... se não me engano este serviço é pago. Só fazer a filtragem básica e usar o DNS é gratuito.
Cisco (Ghassan): o nosso produto ScanSafe é extremamente eficaz e produtivo para isso, bastante minucioso e repleto de informações. Por isso que cada uma dessas soluções é mais indicada para um segmento. O OpenDNS soma ao nosso portfólio de serviços, que é bastante grande, faz parte de um conjunto que chamamos de “Threat Awareness” que reúne muitas informações sobre ameaças e o risco que os clientes podem correr, ações de DNS suspeitas, etc. Por meio de um portal que é oferecido ao cliente ele pode monitorar características do seu tráfego, com base em seu perfil de acessos e navegação sem que haja um sensor dentro da sua casa. Dessa forma ele terá muito mais visibilidade de sua rede e de seu ambiente.
Flavio Xandó: nos anúncios recentes também havia menção ao AnyConnect que é uma ferramenta de acesso a VPN. O que há de novo em relação a isso?
Cisco (Ghassan): o AnyConnect é uma ferramenta bastante específica e técnica e é usado por milhares e milhares de usuários que precisam usar a rede das empresas remotamente. Mas a partir de agora ele também passa a desempenhar a função de sensor de tráfego e fluxo pela rede que auxilia a complementar a visibilidade da rede. Antes, somente quem estava dentro da rede física que poderia prover estas informações, mas agora o AnyConnect tem essa capacidade de enriquecer a informação sobre a rede também nos pontos remotos.
Flavio Xandó: ele continua com a possibilidade de permitir conexões apenas com usuário e senha, ou exigência de certificado digital, mais uso de token físico, como opções para conexão remota?
Cisco (Ghassan): sim, ele tem tudo isso e ainda é um cliente VPN IPsec e SSL . Por exemplo, os clients VPN embutidos nos produtos da Apple são padrão AnyConnect. Existe parceria deles com a Cisco. Além disso, no caso de uso de certificados digitais, nós adaptamos para o padrão brasileiro, que é diferente de outros lugares do mundo. Também a empresa pode exigir (se configurar o client dessa forma) que 100% uso externo do dispositivo, por exemplo um notebook corporativo, seja feito com a VPN estabelecida. Assim sempre o tráfego será controlado, o acesso à Internet passa pelos sistema de segurança da empresa, etc.
Flavio Xandó: por quantas coisas nós passamos!!
Cisco (Ghassan): falamos de muitas coisa para que você entendesse que não só você soubesse dos lançamentos recentes, mas também nossa política de “Security Everywhere”, em todos os pontos, inclusive oferendo serviços gerenciados presentes em todas as formas de acesso. Todas estas soluções estão disponíveis para os diversos clientes, pequeno, médio e grande, cada um tem o canal certo de comercialização. Podemos vender máquinas físicas ou o software na forma de máquinas virtuais ou como serviço na nuvem. Ele nem precisa ter o appliance físico ou virtual para se conectar ao nosso sistema de nuvem. Por meio de nossos roteadores ou switches ele se conecta nos serviços de nuvem ou mesmo apenas usando o AnyConnect, não como client VPN e sim com o recurso de conector ao nosso sistema, provendo a autenticação no nosso serviço.
Flavio Xandó: então uma empresa pequena, que veio de outro planeta, Plutão por exemplo, que nunca ouviu falar no nome da Cisco, pode por meio do AnyConnect ligar sua rede ao serviço de nuvem da Cisco e usufruir de um grande conjunto de soluções de segurança, estes sobre os quais conversamos?
Cisco (Ghassan): isso mesmo. Antes nós estávamos limitados a Web e E-mail security, mas com nossas conversas com as operadoras, também o firewall pode ser usado como ser usado como serviço rodando na operadora com a nossa tecnologia.
Flavio Xandó: isso demanda uma infraestrutura compatível na operadora, mas o valor mensal pago por cada cliente deve ser capaz de financiar o aumento de infraestrutura necessária.
Flavio Xandó: eu agradeço muito a oportunidade. Foi uma longa conversa e me parece que nós percorremos todos os pontos dos anúncios recentes vocês conseguiram amarrar com muitos outros pontos da tecnologia de segurança da Cisco. Muito obrigado!
figura 14 – Paulo Breitenvieser, Flavio Xandó e Ghassan Dreibi
Nenhum comentário:
Postar um comentário