Desde janeiro de 2016 grandes membros do segmento de segurança, a Websense a Raytheon e Stonesoft, juntaram forças para formar a
Forcepoint.
A empresa foi criada para capacitar organizações a impulsionarem seus negócios,
mediante a adoção segura de tecnologias transformadoras como nuvem, mobilidade,
Internet das Coisas (IOT), etc. A proposta da empresa é realizar isso tudo por
meio de uma plataforma unificada e centrada na nuvem que protege usuários,
redes e dados, que também elimina as ineficiências envolvidas no gerenciamento
de uma coleção de produtos de segurança em servidores, endpoints, etc.
Eu tive no passado a oportunidade de conhecer um pouco
mais da Websense, pois conversara com um de seus executivos no Brasil, Cássio
de Alcântara. Atualmente Cássio é gerente regional de vendas Brasil da
Forcepoint e retomamos a conversa de tempos atrás, sabendo um pouco mais da
nova empresa e também sobre sua visão sobre as necessidades de segurança, bem
como o que mudou, nas ameaças e nas tecnologias de segurança desde nosso último encontro (“
Sutilezas
da segurança – entrevista com Cássio Alcântara da Websense”)!
Cássio de Alcântara, gerente regional de vendas Brasil da Forcepoint
Esta entrevista está dividida em partes de tal forma que o leitor possa ler os tópicos que mais lhe interessam, ou todos. São os seguintes:
- ForcePoint - a nova empresa
- O perigo dos novos tipos de ameaças
- A importância e utilização do cyber behavior
- Análise de conteúdo e contexto como grande arma de defesa
ForcePoint - a nova empresa
Flavio: Cássio eu acho que nos
falamos pela última vez há cerca de dois anos, não é? Passa rápido!! Eu queria
começar a nossa conversa exatamente a partir do ponto da junção das empresas,
como isso muda os negócios?
Cassio: na verdade a Raytheon
comprou a Websense com o intuito de entrar no mercado de cyber guerra porque
eles atuam no mercado de armamentos, fabricam mísseis, fazem manutenção de
bombardeiros, têm sistemas de radar, etc. Juntos começamos a montar uma
configuração porque percebemos que o mercado está mudando muito. Quando você
olhava para a segurança no passado, o que acontecia? Como implementava? A
segurança era fundamentada basicamente em um dispositivo. Este dispositivo
(firewall) era eu que entregava para o
usuário, sabia qual sistema operacional que ele usava, afinal era eu mesmo que
instalava a solução. Os patches de segurança necessários ao ambiente eu que
analisava, avaliava o impacto no cenário dele... Eu sabia a maturidade das
aplicações que ele usava porque eu também que as liberava para seu uso. Como
gestor de segurança eu controlava tudo que acontecia nas máquinas dele.
Flavio: mas isso mudou?
Cassio: muito! Quando inventaram o bring
your own device duas coisas aconteceram. Primeiramente, eu não sei mais que
dispositivo está na mão dele. O segundo aspecto é, eu não posso chegar para ele
e falar, traga seus dispositivos para mim que eu vou um a um colocar a
segurança aí dentro. Eu preciso prover segurança para ele de outra forma.
Flavio: por uma outra camada, não é?
Cassio: isso, outra camada. Os dados que antes eu conhecia, estavam
naquele servidor, ali no fundo do CPD, que eu podia olhar para ele todos os
dias, onde eles estão hoje? Não sei mais. Estão na nuvem, em algum outro lugar.
Eu também preciso prover segurança para este tipo de acesso. Então o que acabou
acontecendo? Toda aquela segurança baseada no contexto do device, não serve
mais, vai deixar de existir. Toda aquela segurança que eu fazia em cima dos
servidores da rede, vão deixar de existir. Qual é o único ponto no qual eu
ainda tenho total controle? Ainda! Que o usuário ainda não controla? O tráfego!
Então a partir do momento que o usuário entra na rede, eu olho para o que flui
na rede e assim eu controlo este tráfego.
Flavio: então como podemos lidar com
esta situação?
Cassio: a nossa visão foi, a Websense tem uma solução que controla o
tráfego Web, a melhor que existe porque é a única que enxerga conteúdo dinâmico.
A a primeira barreira de segurança é o conteúdo, temos uma solução que já
enxerga segurança no acesso Web. Essa solução é integrada com nosso sistema de
anti spam, ou seja, eu empresto esta inteligência de Web para o engine de anti
spam para prover um nível superior de segurança para e-mail e eu tenho uma
solução de DLP (Data Loss Prevention) integrada com tudo isso.
Flavio: isso cobre toda a
necessidade?
Cassio: ainda sobram dois pontos do tráfego que eu não enxergava para
fazer a segurança. Eu não enxergava o tráfego para dentro da rede e eu não
enxergava o tráfego que batia no firewall porque estava ali no gateway de Web
ou e-mail. Eu precisava olhar todo o tráfego, de dentro e de fora. Por isso nós
compramos uma empresa de firewall, cujo exemplo de produto se encontra sob esta
mesa, o Stonesoft. Foi a empresa que era country manager, antes de eu ir para a
Websense, agora nós compramos eu estou de novo com o firewall na minha mão. Só
que ele virou “next generation”, teve uma série de atualizações.
Flavio: como este firewall compõe
uma solução maior? Qual a inovação importante que ele traz?
Cassio: a grande sacada deste firewall é que ele surgiu em um contexto de
alta disponibilidade. Ele é um firewall que a partir de uma caixinha pequena,
eu pego outra igual, associo as duas, uma em cima da outra, faço alta
disponibilidade entre estas caixas e faço redundância de link. Isso me ajuda
também a resistir a um ataque de negação de serviço (DOS) porque ele manobra os
links de acordo com a disponibilidade e performance de cada um. Eu posso pegar
esta solução e implantar em um branch office (filial ou escritório remoto), por
exemplo, oferecendo alta disponibilidade e redundância de link. E para dentro
da empresa a Raytheon tinha algumas soluções baseadas em “insider threat”, as
ameaças internas. A partir do momento que nós juntamos isso tudo, o que
acontece, eu entrei em uma nova situação na qual eu tenho 100% de visibilidade
do tráfego e quase 100% de entendimento dele.
O perigo dos novos tipos de ameaças
Flavio: porque não dá para ter 100% de visibilidade?
Cassio: desde quando nós começamos a falar de Internet das Coisas, estão
surgindo sensores, aplicações, o tempo todo, protocolos novos. Estão aparecendo
coisas de tudo quanto é lado, tanto é que têm surgido empresas de segurança de
mercado de nichos, por exemplo, já existe antivírus específico para gateways...
porque isso? Porque o mundo todo mudou. E os ataques também mudaram. Hoje
quando você fala de segurança, existem dois tipos. O ataque direto, quando o
firewall é diretamente atingido e um ataque mais coordenado, que é voltado para
uma estratégia direcionada. Ataque deste segundo tipo é muito mais difícil de
você pegar porque é feita uma estratégia coordenada. Se as partes não se
conversam, se não têm a inteligência para trocar as informações, para todos
eles parecerá tráfego normal.
Flavio: existe um exemplo que
ilustre isso?
Cassio: o Ransomware é isso... O ataque de Ransomware para todas as
partes, separadamente, parece tráfego normal. Quando você começa a juntar as
coisas e uma pergunta para a outra “está vindo isso daqui?”, “está acontecendo
isso aí?”, “você recebeu um e-mail daqui?”, “este link aponta para lá?”... no
contexto você fala, isso é um ataque de Ransomware e aí pode ser bloqueado. O
grande problema de hoje das corporações, e exatamente por isso nós formamos a
Forcepoint é que as soluções olham cada uma para a sua seara, cada uma para o
seu canto e não conseguem enxergar o Ransomware como um ataque porque é uma
estratégia totalmente coordenada e dividida em pedaços.
Flavio: mas na essência, o
Ransomware não é um malware especializado? Esstou te perguntando isso porque no
meu outro papel, de consultor de TI, tive que interromper um ataque de
Ransomware em uma empresa. Resumindo muito a história, alguém recebeu um
e-mail, cujo título era “atualize o seu software para acesso ao banco XYZ”, o
usuário clicou, nada aparentemente aconteceu e a partir deste momento os
arquivos e pastas da rede começaram a ser criptografados. A entrada foi trivial,
um Phishing cujo e-mail remetia para um link malicioso... São coisas em
princípio evitáveis, com certa educação!! Claro que existindo uma tecnologia
que aplica uma couraça que ajude a se defender disso tudo, é mesmo ótimo! O
grande problema do Ransomware me parece que é se esconder por trás de coisas
bem singelas, mas causa um estrago danado!
Cassio: mas é exatamente por isso que precisa de uma estratégia
coordenada. Imagine o seguinte, o e-mail chegou... como eu empresto a
inteligência de Web para o meu e-mail? Eu pego o domínio do remetente e
analiso, já aconteceu algo ruim ou errado a partir desde endereço (domínio)? E
este link? Ele é ou está malicioso? Qual o conteúdo deste link neste momento?
Por isso que eu te falo que o conteúdo é a primeira barreira: “ahhh este
conteúdo aqui é adulto”. A funcionária A pode receber e-mail com conteúdo
adulto? Não, não pode, então ele é bloqueado. Assim o tipo de conteúdo começa a
direcionar os bloqueios. Digamos que o e-mail passe nesta primeira triagem. Mas
dentro dele tem um link. A ferramenta de segurança de correio vai novamente
pegar este e-mail e entregar para o módulo de segurança de Web e perguntar
“qual é o conteúdo deste link?”. Assim a URL do link é analisada, o que é, para
onde remete.
Flavio: feito na
hora de recepção do e-mail?
Cassio: sim, mas não apenas. Ele é analisado na entrada (chegada). Mas
tem aquele tipo de ataque que ele chega e nessa hora o link não é malicioso,
manda no final de semana, passa pelo servidor SMTP, passa pelo AntiSpam e na
segunda feira que o link vai ser infectado e estará a partir de então apontando
para um arquivo de fato malicioso. Quando existe a ferramenta de Web
trabalhando junto, quando chegar o e-mail e ele não for bloqueado porque na
hora não havia ameaça, na segunda feira ao tentar usar aquele link a ferramenta
da Web vai segurar, pois ela perceberá aquilo como um ataque.
Flavio: este tipo
de ataque é muito engenhoso porque na chegada não tem problema, mas depois de
algum tempo aquilo que era inocente se torna perigoso!! Existe outro exemplo
assim com análise de conteúdo?
Cassio: sim, nós temos nossa ferramenta de DLP (Data Loss Prevention –
prevenção contra perda/roubo de dado) funcionando em conjunto com a ferramenta
da Web. Assim somos capazes de perceber algumas coisas como, por que está sendo
baixado um arquivo com uma criptografia que não é padrão de mercado? O que eu
faço com uma criptografia que não é padrão de mercado? Bloqueio! De onde está
vindo? É tudo uma questão de contexto, uma análise integrada. A nossa solução
tenta suprir a deficiência que o usuário tem, que é a curiosidade. Pois é isso
que você contou há pouco, o usuário recebeu um e-mail, com um link...
Flavio: era a atualização da chave
de segurança do Banco do Brasil, que coincidentemente era um dos bancos que a
pessoa usava diariamente na empresa... ela foi iludida pelo e-mail!
A importância e utilização do cyber behavior
Cassio: por isso que eu
costumo dizer que o conteúdo é o mais importante. Se você vai analisar as
políticas de acesso nas empresas. Normalmente ela vai do presidente para os
diretores, gerentes, coordenadores e usuários. O presidente vê tudo e cada um
desses níveis vê um pouco menos. Porque eles fazem a política assim? Porque
elas não têm ferramentas capazes de entregar para as pessoas exatamente aquilo
que elas necessitam para utilização. Para que eu vou querer o presidente “no
meu pé”? Deixemos ele ver tudo e lá no nível do usuário, eu bloqueio o acesso
dele. Dessa forma não há condição hoje de olhar em profundidade o que eu chamo
de cyber behavior. Uma vez montado a
pessoa vai ter todo o ferramental que ela necessita para trabalhar para evitar
a curiosidade. Assim eu dou um pouco de conforto para ela na rede para que ela
não vá pegar coisas lá fora. Isso porque se ela pega estes arquivos lá fora,
isso é normalmente vazamento de informação.
Flavio: o conceito de cyber behavior,
desta forma que citou não era familiar para mim. Podemos explorar mais isso?
Cassio: quando se monta o cyber behavior, cria-se o primeiro acesso do
usuário, baseado exatamente no que ele precisa utilizar mais um pouco de
conforto. Assim já é criada a primeira barreira que é o conteúdo. Já se começa
a trabalhar no sentido de conter estes ataques coordenados de uma forma mais
inteligente porque a as pessoas passarão a receber apenas o conteúdo que ele
tem que receber. E se um link recebido não estava infectado quando um e-mail
chegou a ferramenta de Web vai bloquear na hora que a pessoa clicar.
Flavio: no material que eu li,
chamou muito minha atenção um conceito de classificação de perfis de usuário. O
que exatamente é isso?
Cassio: avaliando o que trafega na rede, nossa ferramenta de Insider Threat
monta perfis dos usuários, atribuindo “notas” para eles. Por exemplo, o usuário
A tem uma “nota” 8.5, em termos de risco.
Dependendo desta “nota”, este usuário precisa ser mais vigiado, analisado com
cuidado.
Flavio: é um tipo de análise
comportamental? Como acontece esta análise?
Cassio: primeiramente ele é avaliado pelo acesso de Web propriamente
dito. Avaliando todo o seu acesso conseguimos enxergar se ele passa o dia todo
apenas tratando com conteúdo de negócios, negócios, negócios ou se ele tem
desvios de comportamento durante o dia. Se desvios constantes ocorrem
normalmente requer uma tratativa ou com RH, ou com departamento legal ou mesmo
no aspecto técnico. Existem usuários que pelo tipo de acesso, ele fica mais
exposto. Imagine um usuário do departamento legal que precisa pesquisar alguma
coisa que a empresa está sendo processada ou publicar alguma coisa em um blog,
ou em alguma página de Facebook que está infectada e ele precisa entrar lá para
ver.
Flavio: sabemos que existem áreas da
empresa que por motivos legítimos precisam usar redes sociais e coisas do
gênero.
Cassio: precisa sim. Será necessário criar um perfil para este usuário e
dar uma certa tolerância no acesso para ele e mostrar para a área jurídica que
o cyber behavior dele ficará um pouco exposto a este tipo de conteúdo. Mas
quando ele entra em uma página de rede social podemos delimitar que ele pode
entrar ali, mas não pode ver conteúdo adulto e no conteúdo que ele vir, não
poderá “dar um like” (com o IP da Internet da empresa). Não quero que ele faça
“chat”. Não quero que ele faça download ou upload de nada.
Flavio: essas ações todas podem ser
definidas em uma política criada pela companhia que cerceie estes comportamentos...
Cassio: exatamente, posso fazer isso. O objetivo hoje é o seguinte, ao
mesmo tempo que se vai liberando ou criando restrições, isso direciona a
visibilidade. Assim, se eu consigo criar uma política na qual eu entrego
exatamente o que ele precisa ver, eu já controlo bem melhor este acesso. Eu fiz
um estudo e criei um termo chamado TIPP – Tráfego Invisível Potencialmente
Perigoso. Todas as ferramentas que não têm este tipo de controle, baseiam-se
lista de URL e não analisam o conteúdo em profundidade. Nossa solução avalia o
conteúdo em tempo real. O que essas outras soluções fazem com o conteúdo
dinâmico? Por não serem capazes de analisa-las elas o classificam como “não
categorizada” e deixam aberto o tráfego para elas, caso contrário seriam impedidos
acessos a todos os portais, ou alternativamente teriam que alocar um monte de
gente para manualmente classificar os acessos. Isso acaba gerando um problema,
já que ao não serem criadas categorias eu não consigo entregar para o usuário
exatamente o que ele precisa para trabalhar. Imagine 5 anos atrás, quanto tempo
o usuário passava na nuvem, na Internet? Quanto tempo ele passa hoje? Ele passa
100% do tempo dele! Se fica sem acesso à Internet... Já me aconteceu muitas
vezes de ir em empresas e de repente estão todos do lado de fora de braços
cruzados, fumando, conversando, aí você percebe que tem luz, tem água, tem
telefone, mas caiu a Internet!! Eles não têm o que fazer, os sistemas estão
todos na nuvem! Os nossos sistemas internos lá na Forcepoint estão todos na
nuvem. Na nossa visão nós não devemos mais “bloquear” o usuário e sim entregar
o conteúdo que é necessário para ele. É diferente.
Flavio: eu pensei agora em uma analogia,
eu te pergunto se ela se aplica. Você tem uma trilha para subir uma montanha
que é perigosa, tem penhasco, precipícios. Se houver um tropeço a queda será
muito séria. Nesse contexto que você falou, vocês estão deixando o usuário
percorrer esta trilha, mas colocando escoras, corrimão, apoios para dar
segurança no trajeto...
Cassio: sim! O objetivo é, não vou atrapalhar o seu dia a dia de
trabalho. Até algum tempo atrás a função do gerente ou diretor da empresa era
ficar lá provendo melhoria operacional e redução de custo. Hoje a função deste
profissional é alavancar negócios! Como? Ele precisa estar ombro a ombro com o profissional
de negócios olhando como ele pode melhorar a aplicação dele, que tipo de device
ele pode disponibilizar para melhorar o dia a dia de trabalho, como pode haver
um backoffice melhor para aprimorar o nível de informação que estará na nuvem para
que esteja disponível na frente do seu usuário no seu dispositivo móvel? Olhar
tudo isso e entender como fazer tudo funcionar, chegando mais próximo da
fábrica, quais são os sistemas usados, quais os sensores em uso, onde está tudo
isso integrado... Esse tráfego todo tem que ser visibilizado e não bloqueado. Imagine
se isso fosse bloqueado. Se não houver o “ombro a ombro” junto ao homem de negócios,
seu dia a dia estaria sendo atrapalhado. Assim o diretor de TI que está apenas
olhando melhoria operacional e redução de custos do data center, ele está
pensando no século passado. Quando olhamos para as fábricas, a quantidade de
sensores que interagem entre si, a fábrica que trabalha sozinha, da mesma forma
que carros também estão indo nessa direção, casas automatizadas, e ao mesmo
tempo pensamos, como prover segurança para isso tudo! Ninguém vai mais ficar
tentando arrebentar o meu firewall! O ataque vai ser coordenado, vai ser em
pedaços, vai chegar por vários lados, tentando penetrar de forma sutil e quando
eu perceber meus dados estarão criptografados!
Flavio: inclusive por meio de arregimentar
pessoas, o tal “ataque interno”...
Cassio: o ataque interno é também fruto da curiosidade das pessoas, algo
que nunca controlaremos. Por mais que você faça conscientização. Os atacantes vão
nas redes sociais, pesquisam os interesses das pessoas, descobrem algo que o
usuário deveria receber e é enviado para ele e-mail com aquele assunto
específico. Por isso o conteúdo é aberto, pois é algo que deveria ser recebido
mesmo.
Flavio: foi o que aconteceu neste
caso do Ransomware que eu comentei, e-mail vindo do banco X...
Cassio: e por mais que o banco coloque lá no site, que ele não pede
password, não recolhe o cartão em casa, que não liga pedindo códigos de
segurança, as pessoas no dia a dia acabam deixando passar estas coisas.
Flavio: neste caso de Ransomware que
citei, a pessoa clicou e instantaneamente começou a criptografar arquivos da
rede. A rede tinha mais de 900 mil arquivos, quando eu descobri a origem e
interrompi o ataque, quase 30 mil já tinham sido codificados e o que salvou foi
o backup da madrugada que estava totalmente em dia.
Cassio: e tem pessoas que
estão descobrindo que seu backup, na hora da necessidade, não está
funcionando!! Não voltam os dados como deveria. Por causa disso tudo que nossa
estratégia é olhar 100% para o tráfego e entender quase 100%. Eu crio um bolsão
de segurança onde os usuários estão em uma ponta e os sistemas na outra, o que passa
aí no meio vai estar seguro.
Análise de conteúdo e contexto como grande arma de defesa
Flavio: eu acho
que isso sempre foi o objetivo das empresas de segurança, mas talvez não
houvesse o binômio hardware mais software inteligente para fazer isso. E parece
que pelo jeito vocês conseguiram resolver esta equação!
Cassio: na verdade nós fazemos a classificação de conteúdo desde que a
empresa surgiu. Mas trouxemos toda a inteligência de Web para a frente da rede
porque não fazia mais sentido ficar checando segurança, analisando endereço a
endereço lá no nosso laboratório, porque o que aparece é diferente do que
aparece lá. E a nossa solução não é uma caixinha, é o mundo inteiro que está
conectado, analisando um monte de tráfego, buscando as anomalias dentro da
rede... E nós não somos um “antivírus”. Nós temos também uma ferramenta de antivírus
dentro da solução para checar o legado de ataque de vírus, mas nossa ferramenta
analisa o comportamento da página. Temos
cerca de 10 mil critérios que avaliam o comportamento de uma página e, de
repente pode achar uma criptografia estranha, o que está baixando ali, que site
é esse! O tempo todo isso é feito.
Flavio: chama muito a minha atenção
este caráter de personalização da proteção, tudo relacionado com a análise de
Web. Isso é muito forte.
Cassio: Imagine uma solução de DLP que não tem nossa inteligência de Web.
Eu tenho um cartão de crédito corporativo que só posso usar para alimentação,
estadia e deslocamento. Eu pego este cartão e começo a usar em um site. Uma
ferramenta que não tem a inteligência de Web integrada igual à nossa vai
analisar. Pela estrutura do número é um cartão de crédito. De quem é? Pelos
dados vai associar ao Cássio. Ele pode usar cartão de credito na Internet? Pode,
então segue em frente. Mas onde está sendo feito este gasto? Não se sabe. Na
nossa solução, o que é isso? É um cartão de crédito. De quem? Do Cássio. O
Cássio pode colocar o cartão de crédito dele? Qual a categoria deste site? É um
site de compras, este ele não pode, só permitido para alimentação, estadia e
deslocamento. É o site da CVC, então pode, pois está comprando passagem área. Mas,
além disso, este site é ou está malicioso?
Flavio: isso se relaciona com aquela
graduação, o cyber behavior, a tal nota do perfil do usuário?
Cassio: Eu consigo fazer o controle até este nível. Qual é o perfil de
segurança do Cássio? Ele tem um perfil 8.5. É...dá para confiar. Autoriza o
acesso. Estou cruzando o perfil de utilização deste usuário em relação aos
incidentes que ele já teve dentro da rede com o que vem de fora. Estou checando
de vários pontos diferentes como e-mails que ele recebeu, páginas Web que ele
acessou, no DLP os arquivos que ele manipulou e disso tudo vai sair o cyber
behavior que eu vou cruzar com o que veio de fora.
Flavio: muito bom este seu exemplo,
mas eu quero dar uma complicada neste cenário. Imagine que o Cássio pegou o
cartão de crédito e entrou no site de compra de passagem. Mas você não está
dentro do seu escritório, está fora usando o seu notebook que tem a sua solução
de segurança. Pelo que eu sei, a segurança integrada funciona fora do perímetro
da companhia, via nuvem, certo? Mas naquele lugar que você se conectou,
aconteceu um envenenamento de DNS e você se conectou a um site falso da CVC. E
aí??
Cassio: a ferramenta de Web vai me dizer que aquele site é falso porque
funciona pela nuvem! Nossa ferramenta tem como objetivo, não precisar saber
onde o usuário está, não sei com que máquina ele está, eu sei que seu tráfego
passa pela minha rede e assim vou prover a segurança para ele, sem agente nenhum
dentro da máquina. Vou apontar os proxies. Mas e se ele é o administrador da
máquina e ele consegue mexer nos proxies? Apenas neste caso eu vou ter um
agente na máquina para fazer login e apontar a navegação por onde deve sair.
Mas não existe “segurança” em si na máquina e sim no tráfego pela minha nuvem que
será constantemente monitorado e assim garanto a segurança para ele.
Flavio: mas este desvio de navegação
pelo proxy não introduz alguma latência que seja mais sensível?
Cassio: não porque nós temos um datacenter aqui no Brasil. São 14 ou 15
datacenters espalhados pelo mundo. Não tenho certeza porque toda hora estamos
abrindo novos.
Flavio: de toda forma, a Internet
foi feita dessa forma. Um gateway entrega para outro, que entrega para outro e
outro. Um a mais no meio do caminho não faz diferença, desde que ele seja
próximo!
Cassio: isso, desde que que você não precise sair por um site dos EUA
para retornar e acessar um site aqui no Brasil. Mas retomando, a ideia é
exatamente esta. Montarmos os perfis, e fazer os acessos controlados pela
inteligência que a Internet oferece e todas as ferramentas conversarem entre
si. O nosso firewall, este hardware, vai se integrar com a nossa ferramenta de
filtro. Será um next generation firewall que vai ter também análise de
conteúdo. Hoje quando você pega um next generation firewall você vê em seu
módulo de administração barras que mostram quanto cada aplicação usou de tráfego.
Em breve essas informações irão aparecer com cores que indicarão não só as
aplicações, mas o tipo de tráfego associado a cada tipo de conteúdo. A análise
de conteúdo é a grande fortaleza para você conseguir resistir a estes ataques
coordenados.
Flavio: e é uma análise feita de uma
forma autônoma. Porque se depender de alguém ficar analisando tudo isso, seria
necessário um batalhão de pessoas olhando caminhões de dados.
Cassio: claro, é autônomo. São milhares de analíticos (critérios) que a
página é analisada, também pelo contexto, termos, etc. que permite categorizar
cada página e nós vamos melhorando dia após dia. Hoje temos 99.99999%, cinco
noves após a vírgula de taxa de páginas classificadas. É muito boa a análise. Nós
já fazíamos isso antes no laboratório. Faz 20 anos que fazemos isso. Nós nunca
fomos uma simples lista de URLs. E também nunca compramos listas de URLs de
ninguém.
Flavio: que foi lá no passado um começo
legítimo, até uma boa solução. Mas ficou obsoleto, pelo gigantismo da Web.
Cassio: o conteúdo dinâmico que tornou a tecnologia de listas de URLs
obsoleta. Porque mesmo lá no começo da análise das URLs, a categoria “outros”
ou “não categorizada” sempre existiu porque nunca foi possível colocar a
Internet toda em uma lista de URLs. É inviável. No começo o que nós fazíamos
era, ao analisar uma página, este site tem representatividade, muita gente o
acessa? Então ele se tornava não categorizado porque ninguém se interessa por
ele. Ele só ia para a lista de URLs quando ele passava a ter muita
visibilidade. Mas quando a Internet foi se popularizando por vários meios de
acesso e principalmente com o surgimento de conteúdo dinâmico, existem redes
hoje em dia cujo tráfego é de 80% de conteúdo dinâmico, tudo isso acabava
virando “não categorizado”, apenas 20% podia ser categorizada. E dentro destes
80% é que as pessoas acabavam acessando o que bem entendiam. Este é o pior
cenário porque a empresa tinha uma ferramenta para organizar a política de
acesso, mas estava sendo bastante ineficiente. Dessa forma há exposição ao
risco, ocorrem problemas de segurança e surgem outros problemas.
Flavio: é nesse caso que a análise
comportamental da página é importante. Mas qual a extensão dessa análise?
Apenas texto? Imagens também?
Cassio: são avaliadas todas as palavras e os links para os quais a página
aponta. Nos e-mails temos uma ferramenta que analisa além do texto e links, também
as imagens para determinar se é pornô ou não. As imagens apenas detectamos
pornografia, mas no texto conseguimos enquadrar em mais de cem categorias. Vou dar
um exemplo. Na época da copa do mundo a FIFA divulgava dois vídeos. Um com o
perfil da seleção e outro com os resumo dos jogos. Estes eram os vídeos
oficiais. Estes vídeos dentro do Youtube classificávamos como “Special Event. Hoje
se você pegar estes mesmos vídeos da FIFA eles estão categorizados como
entretenimento, porque o evento especial acabou. Então nós chegamos à
sofisticação de criar uma categoria apenas para registrar algo que naquele
momento está chamando muita atenção. Isso porque tem muita gente querendo
acessar aquilo, preciso arrumar uma forma de meu usuário controlar este acesso
e fazer de forma ordenada para que não pare a rede dele. Imagine uma empresa com
6 mil usuários e todos querendo ver os gols de um jogo. Então isso pode ser
organizado, por exemplo, certos usuários podem ver vídeos do tipo “Special
Event” das 12:00 às 13:00, com uma cota de 30 minutos (horários diferentes ou
cotas diferentes para grupos de usuários), ordenando assim quem vai ver e em
qual horário, seja no pré almoço ou pós almoço de cada um. Nossa solução também
entra na página do Youtube, lê tudo que tem em volta, para todos os links que
ele aponta e assim posso classificar os vídeos. As outras ferramentas olham e atestam
“isso é Youtube”, apenas isso, abre tudo ou fecha tudo.
Flavio: no ano passado, lendo o que
falavam várias empresas de segurança, já havia uma previsão sobre a explosão do
Ransonware neste ano. De fato, cresceu muito, mas eu li comentários recentes
prevendo o declínio deste tipo de ataque porque os atacantes estão deixando de
ser “éticos”!! Tem havido episódios de Ransomware sem que acesso aos dados sejam
devolvidos, mesmo após o pagamento de resgate, até por causa de causa de
malware mal feito.
Cassio: alguns tipos de Ransomware já arrecadaram mais de 325 milhões de
dólares. Ética (ou a falta dela) existe em todo lugar. Eu conheço alguns casos
de empresas que pagaram e ficaram na mão. Por isso tem muita gente que ao
perceber que os arquivos foram criptografados, apagam tudo e fazem o backup
voltar. Mas existe uma grande necessidade de verificar se os backups estão
sendo feitos de fato e se são utilizáveis. Porque a grande desgraça do
Ransomware não é ele criptografar seus arquivos e sim ele fazer isso e você não
ter backup utilizável.
Flavio: este caso
que eu comentei com você dos 900 mil arquivos, 30 mil que foram criptografados
até que eu interrompesse o processo, aconteceu às 11:00 da manhã, perto das
12:00 apagamos todos os arquivos inválidos. Demorou perto de duas horas para
recuperar apenas aqueles 30 mil arquivos a partir de um backup daquela
madrugada e o único prejuízo foi se algum daqueles 30 mil arquivos fora
alterado entre 08:00 e 12:00. No final tudo foi resolvido perfeitamente.
Cassio: a chave é ter estes processos definidos para que em situação
assim a perda de dados seja mínima ou quase nula. Mas quem foi pego e se viu em
má situação foram aqueles que descobriram na pior hora que seus backups estavam
semanas atrasados ou que não funcionavam. E o alarde foi grande a ponto de
aquecer o mercado de Storage e produtos de backup!! Ransomware não foi o primeiro
tipo de ataque coordenado, não será o último. Digo isso porque o maior problema
que existe hoje é o roubo da informação. Criptografar o dado é muito incômodo,
mas quando informação é roubada, é muito difícil de controlar. Há aspectos de
propriedade intelectual envolvidos, segredos de empresa, projetos, bancos de
dados de clientes, etc. que pode trazer muito mais risco. Exatamente por tudo
isso que a solução totalmente integrada de segurança deve estar em uso pela
empresa visando evitar estas e todas as outras ameaças, conhecidas e
desconhecidas que podem ocorrer.
Flavio: Cássio, como da outra vez, foi uma conversa muito estimulante,
informativa na qual eu aprendi muito. Espero que os leitores apreciem e possam
também capturar as lições que você nos passou hoje. E também que não fiquemos
tanto tempo sem conversar!! Muito obrigado!!