Desde janeiro de 2016 grandes membros do segmento de segurança, a Websense a Raytheon e Stonesoft, juntaram forças para formar a Forcepoint.
A empresa foi criada para capacitar organizações a impulsionarem seus negócios,
mediante a adoção segura de tecnologias transformadoras como nuvem, mobilidade,
Internet das Coisas (IOT), etc. A proposta da empresa é realizar isso tudo por
meio de uma plataforma unificada e centrada na nuvem que protege usuários,
redes e dados, que também elimina as ineficiências envolvidas no gerenciamento
de uma coleção de produtos de segurança em servidores, endpoints, etc.
Eu tive no passado a oportunidade de conhecer um pouco
mais da Websense, pois conversara com um de seus executivos no Brasil, Cássio
de Alcântara. Atualmente Cássio é gerente regional de vendas Brasil da
Forcepoint e retomamos a conversa de tempos atrás, sabendo um pouco mais da
nova empresa e também sobre sua visão sobre as necessidades de segurança, bem
como o que mudou, nas ameaças e nas tecnologias de segurança desde nosso último encontro (“Sutilezas
da segurança – entrevista com Cássio Alcântara da Websense”)!
Cássio de Alcântara, gerente regional de vendas Brasil da Forcepoint
Esta entrevista está dividida em partes de tal forma que o leitor possa ler os tópicos que mais lhe interessam, ou todos. São os seguintes:
Flavio: Cássio eu acho que nos falamos pela última vez há cerca de dois anos, não é? Passa rápido!! Eu queria começar a nossa conversa exatamente a partir do ponto da junção das empresas, como isso muda os negócios?
Cassio: na verdade a Raytheon comprou a Websense com o intuito de entrar no mercado de cyber guerra porque eles atuam no mercado de armamentos, fabricam mísseis, fazem manutenção de bombardeiros, têm sistemas de radar, etc. Juntos começamos a montar uma configuração porque percebemos que o mercado está mudando muito. Quando você olhava para a segurança no passado, o que acontecia? Como implementava? A segurança era fundamentada basicamente em um dispositivo. Este dispositivo (firewall) era eu que entregava para o usuário, sabia qual sistema operacional que ele usava, afinal era eu mesmo que instalava a solução. Os patches de segurança necessários ao ambiente eu que analisava, avaliava o impacto no cenário dele... Eu sabia a maturidade das aplicações que ele usava porque eu também que as liberava para seu uso. Como gestor de segurança eu controlava tudo que acontecia nas máquinas dele.
Flavio: mas isso mudou?
Cassio: muito! Quando inventaram o bring your own device duas coisas aconteceram. Primeiramente, eu não sei mais que dispositivo está na mão dele. O segundo aspecto é, eu não posso chegar para ele e falar, traga seus dispositivos para mim que eu vou um a um colocar a segurança aí dentro. Eu preciso prover segurança para ele de outra forma.
Flavio: por uma outra camada, não é?
Cassio: isso, outra camada. Os dados que antes eu conhecia, estavam naquele servidor, ali no fundo do CPD, que eu podia olhar para ele todos os dias, onde eles estão hoje? Não sei mais. Estão na nuvem, em algum outro lugar. Eu também preciso prover segurança para este tipo de acesso. Então o que acabou acontecendo? Toda aquela segurança baseada no contexto do device, não serve mais, vai deixar de existir. Toda aquela segurança que eu fazia em cima dos servidores da rede, vão deixar de existir. Qual é o único ponto no qual eu ainda tenho total controle? Ainda! Que o usuário ainda não controla? O tráfego! Então a partir do momento que o usuário entra na rede, eu olho para o que flui na rede e assim eu controlo este tráfego.
Flavio: então como podemos lidar com esta situação?
Cassio: a nossa visão foi, a Websense tem uma solução que controla o tráfego Web, a melhor que existe porque é a única que enxerga conteúdo dinâmico. A a primeira barreira de segurança é o conteúdo, temos uma solução que já enxerga segurança no acesso Web. Essa solução é integrada com nosso sistema de anti spam, ou seja, eu empresto esta inteligência de Web para o engine de anti spam para prover um nível superior de segurança para e-mail e eu tenho uma solução de DLP (Data Loss Prevention) integrada com tudo isso.
Flavio: isso cobre toda a necessidade?
Cassio: ainda sobram dois pontos do tráfego que eu não enxergava para fazer a segurança. Eu não enxergava o tráfego para dentro da rede e eu não enxergava o tráfego que batia no firewall porque estava ali no gateway de Web ou e-mail. Eu precisava olhar todo o tráfego, de dentro e de fora. Por isso nós compramos uma empresa de firewall, cujo exemplo de produto se encontra sob esta mesa, o Stonesoft. Foi a empresa que era country manager, antes de eu ir para a Websense, agora nós compramos eu estou de novo com o firewall na minha mão. Só que ele virou “next generation”, teve uma série de atualizações.
Flavio: como este firewall compõe uma solução maior? Qual a inovação importante que ele traz?
Cassio: a grande sacada deste firewall é que ele surgiu em um contexto de alta disponibilidade. Ele é um firewall que a partir de uma caixinha pequena, eu pego outra igual, associo as duas, uma em cima da outra, faço alta disponibilidade entre estas caixas e faço redundância de link. Isso me ajuda também a resistir a um ataque de negação de serviço (DOS) porque ele manobra os links de acordo com a disponibilidade e performance de cada um. Eu posso pegar esta solução e implantar em um branch office (filial ou escritório remoto), por exemplo, oferecendo alta disponibilidade e redundância de link. E para dentro da empresa a Raytheon tinha algumas soluções baseadas em “insider threat”, as ameaças internas. A partir do momento que nós juntamos isso tudo, o que acontece, eu entrei em uma nova situação na qual eu tenho 100% de visibilidade do tráfego e quase 100% de entendimento dele.
- ForcePoint - a nova empresa
- O perigo dos novos tipos de ameaças
- A importância e utilização do cyber behavior
- Análise de conteúdo e contexto como grande arma de defesa
ForcePoint - a nova empresa
Flavio: Cássio eu acho que nos falamos pela última vez há cerca de dois anos, não é? Passa rápido!! Eu queria começar a nossa conversa exatamente a partir do ponto da junção das empresas, como isso muda os negócios?
Cassio: na verdade a Raytheon comprou a Websense com o intuito de entrar no mercado de cyber guerra porque eles atuam no mercado de armamentos, fabricam mísseis, fazem manutenção de bombardeiros, têm sistemas de radar, etc. Juntos começamos a montar uma configuração porque percebemos que o mercado está mudando muito. Quando você olhava para a segurança no passado, o que acontecia? Como implementava? A segurança era fundamentada basicamente em um dispositivo. Este dispositivo (firewall) era eu que entregava para o usuário, sabia qual sistema operacional que ele usava, afinal era eu mesmo que instalava a solução. Os patches de segurança necessários ao ambiente eu que analisava, avaliava o impacto no cenário dele... Eu sabia a maturidade das aplicações que ele usava porque eu também que as liberava para seu uso. Como gestor de segurança eu controlava tudo que acontecia nas máquinas dele.
Flavio: mas isso mudou?
Cassio: muito! Quando inventaram o bring your own device duas coisas aconteceram. Primeiramente, eu não sei mais que dispositivo está na mão dele. O segundo aspecto é, eu não posso chegar para ele e falar, traga seus dispositivos para mim que eu vou um a um colocar a segurança aí dentro. Eu preciso prover segurança para ele de outra forma.
Flavio: por uma outra camada, não é?
Cassio: isso, outra camada. Os dados que antes eu conhecia, estavam naquele servidor, ali no fundo do CPD, que eu podia olhar para ele todos os dias, onde eles estão hoje? Não sei mais. Estão na nuvem, em algum outro lugar. Eu também preciso prover segurança para este tipo de acesso. Então o que acabou acontecendo? Toda aquela segurança baseada no contexto do device, não serve mais, vai deixar de existir. Toda aquela segurança que eu fazia em cima dos servidores da rede, vão deixar de existir. Qual é o único ponto no qual eu ainda tenho total controle? Ainda! Que o usuário ainda não controla? O tráfego! Então a partir do momento que o usuário entra na rede, eu olho para o que flui na rede e assim eu controlo este tráfego.
Flavio: então como podemos lidar com esta situação?
Cassio: a nossa visão foi, a Websense tem uma solução que controla o tráfego Web, a melhor que existe porque é a única que enxerga conteúdo dinâmico. A a primeira barreira de segurança é o conteúdo, temos uma solução que já enxerga segurança no acesso Web. Essa solução é integrada com nosso sistema de anti spam, ou seja, eu empresto esta inteligência de Web para o engine de anti spam para prover um nível superior de segurança para e-mail e eu tenho uma solução de DLP (Data Loss Prevention) integrada com tudo isso.
Flavio: isso cobre toda a necessidade?
Cassio: ainda sobram dois pontos do tráfego que eu não enxergava para fazer a segurança. Eu não enxergava o tráfego para dentro da rede e eu não enxergava o tráfego que batia no firewall porque estava ali no gateway de Web ou e-mail. Eu precisava olhar todo o tráfego, de dentro e de fora. Por isso nós compramos uma empresa de firewall, cujo exemplo de produto se encontra sob esta mesa, o Stonesoft. Foi a empresa que era country manager, antes de eu ir para a Websense, agora nós compramos eu estou de novo com o firewall na minha mão. Só que ele virou “next generation”, teve uma série de atualizações.
Flavio: como este firewall compõe uma solução maior? Qual a inovação importante que ele traz?
Cassio: a grande sacada deste firewall é que ele surgiu em um contexto de alta disponibilidade. Ele é um firewall que a partir de uma caixinha pequena, eu pego outra igual, associo as duas, uma em cima da outra, faço alta disponibilidade entre estas caixas e faço redundância de link. Isso me ajuda também a resistir a um ataque de negação de serviço (DOS) porque ele manobra os links de acordo com a disponibilidade e performance de cada um. Eu posso pegar esta solução e implantar em um branch office (filial ou escritório remoto), por exemplo, oferecendo alta disponibilidade e redundância de link. E para dentro da empresa a Raytheon tinha algumas soluções baseadas em “insider threat”, as ameaças internas. A partir do momento que nós juntamos isso tudo, o que acontece, eu entrei em uma nova situação na qual eu tenho 100% de visibilidade do tráfego e quase 100% de entendimento dele.
O perigo dos novos tipos de ameaças
Flavio: porque não dá para ter 100% de visibilidade?
Cassio: desde quando nós começamos a falar de Internet das Coisas, estão surgindo sensores, aplicações, o tempo todo, protocolos novos. Estão aparecendo coisas de tudo quanto é lado, tanto é que têm surgido empresas de segurança de mercado de nichos, por exemplo, já existe antivírus específico para gateways... porque isso? Porque o mundo todo mudou. E os ataques também mudaram. Hoje quando você fala de segurança, existem dois tipos. O ataque direto, quando o firewall é diretamente atingido e um ataque mais coordenado, que é voltado para uma estratégia direcionada. Ataque deste segundo tipo é muito mais difícil de você pegar porque é feita uma estratégia coordenada. Se as partes não se conversam, se não têm a inteligência para trocar as informações, para todos eles parecerá tráfego normal.
Flavio: existe um exemplo que ilustre isso?
Cassio: o Ransomware é isso... O ataque de Ransomware para todas as partes, separadamente, parece tráfego normal. Quando você começa a juntar as coisas e uma pergunta para a outra “está vindo isso daqui?”, “está acontecendo isso aí?”, “você recebeu um e-mail daqui?”, “este link aponta para lá?”... no contexto você fala, isso é um ataque de Ransomware e aí pode ser bloqueado. O grande problema de hoje das corporações, e exatamente por isso nós formamos a Forcepoint é que as soluções olham cada uma para a sua seara, cada uma para o seu canto e não conseguem enxergar o Ransomware como um ataque porque é uma estratégia totalmente coordenada e dividida em pedaços.
Flavio: mas na essência, o Ransomware não é um malware especializado? Esstou te perguntando isso porque no meu outro papel, de consultor de TI, tive que interromper um ataque de Ransomware em uma empresa. Resumindo muito a história, alguém recebeu um e-mail, cujo título era “atualize o seu software para acesso ao banco XYZ”, o usuário clicou, nada aparentemente aconteceu e a partir deste momento os arquivos e pastas da rede começaram a ser criptografados. A entrada foi trivial, um Phishing cujo e-mail remetia para um link malicioso... São coisas em princípio evitáveis, com certa educação!! Claro que existindo uma tecnologia que aplica uma couraça que ajude a se defender disso tudo, é mesmo ótimo! O grande problema do Ransomware me parece que é se esconder por trás de coisas bem singelas, mas causa um estrago danado!
Cassio: mas é exatamente por isso que precisa de uma estratégia coordenada. Imagine o seguinte, o e-mail chegou... como eu empresto a inteligência de Web para o meu e-mail? Eu pego o domínio do remetente e analiso, já aconteceu algo ruim ou errado a partir desde endereço (domínio)? E este link? Ele é ou está malicioso? Qual o conteúdo deste link neste momento? Por isso que eu te falo que o conteúdo é a primeira barreira: “ahhh este conteúdo aqui é adulto”. A funcionária A pode receber e-mail com conteúdo adulto? Não, não pode, então ele é bloqueado. Assim o tipo de conteúdo começa a direcionar os bloqueios. Digamos que o e-mail passe nesta primeira triagem. Mas dentro dele tem um link. A ferramenta de segurança de correio vai novamente pegar este e-mail e entregar para o módulo de segurança de Web e perguntar “qual é o conteúdo deste link?”. Assim a URL do link é analisada, o que é, para onde remete.
Flavio: feito na
hora de recepção do e-mail?
Cassio: sim, mas não apenas. Ele é analisado na entrada (chegada). Mas tem aquele tipo de ataque que ele chega e nessa hora o link não é malicioso, manda no final de semana, passa pelo servidor SMTP, passa pelo AntiSpam e na segunda feira que o link vai ser infectado e estará a partir de então apontando para um arquivo de fato malicioso. Quando existe a ferramenta de Web trabalhando junto, quando chegar o e-mail e ele não for bloqueado porque na hora não havia ameaça, na segunda feira ao tentar usar aquele link a ferramenta da Web vai segurar, pois ela perceberá aquilo como um ataque.
Cassio: sim, mas não apenas. Ele é analisado na entrada (chegada). Mas tem aquele tipo de ataque que ele chega e nessa hora o link não é malicioso, manda no final de semana, passa pelo servidor SMTP, passa pelo AntiSpam e na segunda feira que o link vai ser infectado e estará a partir de então apontando para um arquivo de fato malicioso. Quando existe a ferramenta de Web trabalhando junto, quando chegar o e-mail e ele não for bloqueado porque na hora não havia ameaça, na segunda feira ao tentar usar aquele link a ferramenta da Web vai segurar, pois ela perceberá aquilo como um ataque.
Flavio: este tipo
de ataque é muito engenhoso porque na chegada não tem problema, mas depois de
algum tempo aquilo que era inocente se torna perigoso!! Existe outro exemplo
assim com análise de conteúdo?
Cassio: sim, nós temos nossa ferramenta de DLP (Data Loss Prevention – prevenção contra perda/roubo de dado) funcionando em conjunto com a ferramenta da Web. Assim somos capazes de perceber algumas coisas como, por que está sendo baixado um arquivo com uma criptografia que não é padrão de mercado? O que eu faço com uma criptografia que não é padrão de mercado? Bloqueio! De onde está vindo? É tudo uma questão de contexto, uma análise integrada. A nossa solução tenta suprir a deficiência que o usuário tem, que é a curiosidade. Pois é isso que você contou há pouco, o usuário recebeu um e-mail, com um link...
Flavio: era a atualização da chave de segurança do Banco do Brasil, que coincidentemente era um dos bancos que a pessoa usava diariamente na empresa... ela foi iludida pelo e-mail!
Cassio: sim, nós temos nossa ferramenta de DLP (Data Loss Prevention – prevenção contra perda/roubo de dado) funcionando em conjunto com a ferramenta da Web. Assim somos capazes de perceber algumas coisas como, por que está sendo baixado um arquivo com uma criptografia que não é padrão de mercado? O que eu faço com uma criptografia que não é padrão de mercado? Bloqueio! De onde está vindo? É tudo uma questão de contexto, uma análise integrada. A nossa solução tenta suprir a deficiência que o usuário tem, que é a curiosidade. Pois é isso que você contou há pouco, o usuário recebeu um e-mail, com um link...
Flavio: era a atualização da chave de segurança do Banco do Brasil, que coincidentemente era um dos bancos que a pessoa usava diariamente na empresa... ela foi iludida pelo e-mail!
A importância e utilização do cyber behavior
Cassio: por isso que eu
costumo dizer que o conteúdo é o mais importante. Se você vai analisar as
políticas de acesso nas empresas. Normalmente ela vai do presidente para os
diretores, gerentes, coordenadores e usuários. O presidente vê tudo e cada um
desses níveis vê um pouco menos. Porque eles fazem a política assim? Porque
elas não têm ferramentas capazes de entregar para as pessoas exatamente aquilo
que elas necessitam para utilização. Para que eu vou querer o presidente “no
meu pé”? Deixemos ele ver tudo e lá no nível do usuário, eu bloqueio o acesso
dele. Dessa forma não há condição hoje de olhar em profundidade o que eu chamo
de cyber behavior. Uma vez montado a
pessoa vai ter todo o ferramental que ela necessita para trabalhar para evitar
a curiosidade. Assim eu dou um pouco de conforto para ela na rede para que ela
não vá pegar coisas lá fora. Isso porque se ela pega estes arquivos lá fora,
isso é normalmente vazamento de informação.
Flavio: o conceito de cyber behavior, desta forma que citou não era familiar para mim. Podemos explorar mais isso?
Cassio: quando se monta o cyber behavior, cria-se o primeiro acesso do usuário, baseado exatamente no que ele precisa utilizar mais um pouco de conforto. Assim já é criada a primeira barreira que é o conteúdo. Já se começa a trabalhar no sentido de conter estes ataques coordenados de uma forma mais inteligente porque a as pessoas passarão a receber apenas o conteúdo que ele tem que receber. E se um link recebido não estava infectado quando um e-mail chegou a ferramenta de Web vai bloquear na hora que a pessoa clicar.
Flavio: no material que eu li, chamou muito minha atenção um conceito de classificação de perfis de usuário. O que exatamente é isso?
Cassio: avaliando o que trafega na rede, nossa ferramenta de Insider Threat monta perfis dos usuários, atribuindo “notas” para eles. Por exemplo, o usuário A tem uma “nota” 8.5, em termos de risco. Dependendo desta “nota”, este usuário precisa ser mais vigiado, analisado com cuidado.
Flavio: é um tipo de análise comportamental? Como acontece esta análise?
Cassio: primeiramente ele é avaliado pelo acesso de Web propriamente dito. Avaliando todo o seu acesso conseguimos enxergar se ele passa o dia todo apenas tratando com conteúdo de negócios, negócios, negócios ou se ele tem desvios de comportamento durante o dia. Se desvios constantes ocorrem normalmente requer uma tratativa ou com RH, ou com departamento legal ou mesmo no aspecto técnico. Existem usuários que pelo tipo de acesso, ele fica mais exposto. Imagine um usuário do departamento legal que precisa pesquisar alguma coisa que a empresa está sendo processada ou publicar alguma coisa em um blog, ou em alguma página de Facebook que está infectada e ele precisa entrar lá para ver.
Flavio: sabemos que existem áreas da empresa que por motivos legítimos precisam usar redes sociais e coisas do gênero.
Cassio: precisa sim. Será necessário criar um perfil para este usuário e dar uma certa tolerância no acesso para ele e mostrar para a área jurídica que o cyber behavior dele ficará um pouco exposto a este tipo de conteúdo. Mas quando ele entra em uma página de rede social podemos delimitar que ele pode entrar ali, mas não pode ver conteúdo adulto e no conteúdo que ele vir, não poderá “dar um like” (com o IP da Internet da empresa). Não quero que ele faça “chat”. Não quero que ele faça download ou upload de nada.
Flavio: o conceito de cyber behavior, desta forma que citou não era familiar para mim. Podemos explorar mais isso?
Cassio: quando se monta o cyber behavior, cria-se o primeiro acesso do usuário, baseado exatamente no que ele precisa utilizar mais um pouco de conforto. Assim já é criada a primeira barreira que é o conteúdo. Já se começa a trabalhar no sentido de conter estes ataques coordenados de uma forma mais inteligente porque a as pessoas passarão a receber apenas o conteúdo que ele tem que receber. E se um link recebido não estava infectado quando um e-mail chegou a ferramenta de Web vai bloquear na hora que a pessoa clicar.
Flavio: no material que eu li, chamou muito minha atenção um conceito de classificação de perfis de usuário. O que exatamente é isso?
Cassio: avaliando o que trafega na rede, nossa ferramenta de Insider Threat monta perfis dos usuários, atribuindo “notas” para eles. Por exemplo, o usuário A tem uma “nota” 8.5, em termos de risco. Dependendo desta “nota”, este usuário precisa ser mais vigiado, analisado com cuidado.
Flavio: é um tipo de análise comportamental? Como acontece esta análise?
Cassio: primeiramente ele é avaliado pelo acesso de Web propriamente dito. Avaliando todo o seu acesso conseguimos enxergar se ele passa o dia todo apenas tratando com conteúdo de negócios, negócios, negócios ou se ele tem desvios de comportamento durante o dia. Se desvios constantes ocorrem normalmente requer uma tratativa ou com RH, ou com departamento legal ou mesmo no aspecto técnico. Existem usuários que pelo tipo de acesso, ele fica mais exposto. Imagine um usuário do departamento legal que precisa pesquisar alguma coisa que a empresa está sendo processada ou publicar alguma coisa em um blog, ou em alguma página de Facebook que está infectada e ele precisa entrar lá para ver.
Flavio: sabemos que existem áreas da empresa que por motivos legítimos precisam usar redes sociais e coisas do gênero.
Cassio: precisa sim. Será necessário criar um perfil para este usuário e dar uma certa tolerância no acesso para ele e mostrar para a área jurídica que o cyber behavior dele ficará um pouco exposto a este tipo de conteúdo. Mas quando ele entra em uma página de rede social podemos delimitar que ele pode entrar ali, mas não pode ver conteúdo adulto e no conteúdo que ele vir, não poderá “dar um like” (com o IP da Internet da empresa). Não quero que ele faça “chat”. Não quero que ele faça download ou upload de nada.
Flavio: essas ações todas podem ser definidas em uma política criada pela companhia que cerceie estes comportamentos...
Cassio: exatamente, posso fazer isso. O objetivo hoje é o seguinte, ao mesmo tempo que se vai liberando ou criando restrições, isso direciona a visibilidade. Assim, se eu consigo criar uma política na qual eu entrego exatamente o que ele precisa ver, eu já controlo bem melhor este acesso. Eu fiz um estudo e criei um termo chamado TIPP – Tráfego Invisível Potencialmente Perigoso. Todas as ferramentas que não têm este tipo de controle, baseiam-se lista de URL e não analisam o conteúdo em profundidade. Nossa solução avalia o conteúdo em tempo real. O que essas outras soluções fazem com o conteúdo dinâmico? Por não serem capazes de analisa-las elas o classificam como “não categorizada” e deixam aberto o tráfego para elas, caso contrário seriam impedidos acessos a todos os portais, ou alternativamente teriam que alocar um monte de gente para manualmente classificar os acessos. Isso acaba gerando um problema, já que ao não serem criadas categorias eu não consigo entregar para o usuário exatamente o que ele precisa para trabalhar. Imagine 5 anos atrás, quanto tempo o usuário passava na nuvem, na Internet? Quanto tempo ele passa hoje? Ele passa 100% do tempo dele! Se fica sem acesso à Internet... Já me aconteceu muitas vezes de ir em empresas e de repente estão todos do lado de fora de braços cruzados, fumando, conversando, aí você percebe que tem luz, tem água, tem telefone, mas caiu a Internet!! Eles não têm o que fazer, os sistemas estão todos na nuvem! Os nossos sistemas internos lá na Forcepoint estão todos na nuvem. Na nossa visão nós não devemos mais “bloquear” o usuário e sim entregar o conteúdo que é necessário para ele. É diferente.
Flavio: eu pensei agora em uma analogia, eu te pergunto se ela se aplica. Você tem uma trilha para subir uma montanha que é perigosa, tem penhasco, precipícios. Se houver um tropeço a queda será muito séria. Nesse contexto que você falou, vocês estão deixando o usuário percorrer esta trilha, mas colocando escoras, corrimão, apoios para dar segurança no trajeto...
Cassio: sim! O objetivo é, não vou atrapalhar o seu dia a dia de trabalho. Até algum tempo atrás a função do gerente ou diretor da empresa era ficar lá provendo melhoria operacional e redução de custo. Hoje a função deste profissional é alavancar negócios! Como? Ele precisa estar ombro a ombro com o profissional de negócios olhando como ele pode melhorar a aplicação dele, que tipo de device ele pode disponibilizar para melhorar o dia a dia de trabalho, como pode haver um backoffice melhor para aprimorar o nível de informação que estará na nuvem para que esteja disponível na frente do seu usuário no seu dispositivo móvel? Olhar tudo isso e entender como fazer tudo funcionar, chegando mais próximo da fábrica, quais são os sistemas usados, quais os sensores em uso, onde está tudo isso integrado... Esse tráfego todo tem que ser visibilizado e não bloqueado. Imagine se isso fosse bloqueado. Se não houver o “ombro a ombro” junto ao homem de negócios, seu dia a dia estaria sendo atrapalhado. Assim o diretor de TI que está apenas olhando melhoria operacional e redução de custos do data center, ele está pensando no século passado. Quando olhamos para as fábricas, a quantidade de sensores que interagem entre si, a fábrica que trabalha sozinha, da mesma forma que carros também estão indo nessa direção, casas automatizadas, e ao mesmo tempo pensamos, como prover segurança para isso tudo! Ninguém vai mais ficar tentando arrebentar o meu firewall! O ataque vai ser coordenado, vai ser em pedaços, vai chegar por vários lados, tentando penetrar de forma sutil e quando eu perceber meus dados estarão criptografados!
Flavio: inclusive por meio de arregimentar pessoas, o tal “ataque interno”...
Cassio: o ataque interno é também fruto da curiosidade das pessoas, algo que nunca controlaremos. Por mais que você faça conscientização. Os atacantes vão nas redes sociais, pesquisam os interesses das pessoas, descobrem algo que o usuário deveria receber e é enviado para ele e-mail com aquele assunto específico. Por isso o conteúdo é aberto, pois é algo que deveria ser recebido mesmo.
Flavio: foi o que aconteceu neste caso do Ransomware que eu comentei, e-mail vindo do banco X...
Cassio: e por mais que o banco coloque lá no site, que ele não pede password, não recolhe o cartão em casa, que não liga pedindo códigos de segurança, as pessoas no dia a dia acabam deixando passar estas coisas.
Flavio: neste caso de Ransomware que citei, a pessoa clicou e instantaneamente começou a criptografar arquivos da rede. A rede tinha mais de 900 mil arquivos, quando eu descobri a origem e interrompi o ataque, quase 30 mil já tinham sido codificados e o que salvou foi o backup da madrugada que estava totalmente em dia.
Cassio: e tem pessoas que
estão descobrindo que seu backup, na hora da necessidade, não está
funcionando!! Não voltam os dados como deveria. Por causa disso tudo que nossa
estratégia é olhar 100% para o tráfego e entender quase 100%. Eu crio um bolsão
de segurança onde os usuários estão em uma ponta e os sistemas na outra, o que passa
aí no meio vai estar seguro.
Análise de conteúdo e contexto como grande arma de defesa
Flavio: eu acho que isso sempre foi o objetivo das empresas de segurança, mas talvez não houvesse o binômio hardware mais software inteligente para fazer isso. E parece que pelo jeito vocês conseguiram resolver esta equação!
Cassio: na verdade nós fazemos a classificação de conteúdo desde que a empresa surgiu. Mas trouxemos toda a inteligência de Web para a frente da rede porque não fazia mais sentido ficar checando segurança, analisando endereço a endereço lá no nosso laboratório, porque o que aparece é diferente do que aparece lá. E a nossa solução não é uma caixinha, é o mundo inteiro que está conectado, analisando um monte de tráfego, buscando as anomalias dentro da rede... E nós não somos um “antivírus”. Nós temos também uma ferramenta de antivírus dentro da solução para checar o legado de ataque de vírus, mas nossa ferramenta analisa o comportamento da página. Temos cerca de 10 mil critérios que avaliam o comportamento de uma página e, de repente pode achar uma criptografia estranha, o que está baixando ali, que site é esse! O tempo todo isso é feito.
Flavio: chama muito a minha atenção este caráter de personalização da proteção, tudo relacionado com a análise de Web. Isso é muito forte.
Cassio: Imagine uma solução de DLP que não tem nossa inteligência de Web. Eu tenho um cartão de crédito corporativo que só posso usar para alimentação, estadia e deslocamento. Eu pego este cartão e começo a usar em um site. Uma ferramenta que não tem a inteligência de Web integrada igual à nossa vai analisar. Pela estrutura do número é um cartão de crédito. De quem é? Pelos dados vai associar ao Cássio. Ele pode usar cartão de credito na Internet? Pode, então segue em frente. Mas onde está sendo feito este gasto? Não se sabe. Na nossa solução, o que é isso? É um cartão de crédito. De quem? Do Cássio. O Cássio pode colocar o cartão de crédito dele? Qual a categoria deste site? É um site de compras, este ele não pode, só permitido para alimentação, estadia e deslocamento. É o site da CVC, então pode, pois está comprando passagem área. Mas, além disso, este site é ou está malicioso?
Flavio: isso se relaciona com aquela graduação, o cyber behavior, a tal nota do perfil do usuário?
Cassio: Eu consigo fazer o controle até este nível. Qual é o perfil de segurança do Cássio? Ele tem um perfil 8.5. É...dá para confiar. Autoriza o acesso. Estou cruzando o perfil de utilização deste usuário em relação aos incidentes que ele já teve dentro da rede com o que vem de fora. Estou checando de vários pontos diferentes como e-mails que ele recebeu, páginas Web que ele acessou, no DLP os arquivos que ele manipulou e disso tudo vai sair o cyber behavior que eu vou cruzar com o que veio de fora.
Flavio: muito bom este seu exemplo, mas eu quero dar uma complicada neste cenário. Imagine que o Cássio pegou o cartão de crédito e entrou no site de compra de passagem. Mas você não está dentro do seu escritório, está fora usando o seu notebook que tem a sua solução de segurança. Pelo que eu sei, a segurança integrada funciona fora do perímetro da companhia, via nuvem, certo? Mas naquele lugar que você se conectou, aconteceu um envenenamento de DNS e você se conectou a um site falso da CVC. E aí??
Cassio: a ferramenta de Web vai me dizer que aquele site é falso porque funciona pela nuvem! Nossa ferramenta tem como objetivo, não precisar saber onde o usuário está, não sei com que máquina ele está, eu sei que seu tráfego passa pela minha rede e assim vou prover a segurança para ele, sem agente nenhum dentro da máquina. Vou apontar os proxies. Mas e se ele é o administrador da máquina e ele consegue mexer nos proxies? Apenas neste caso eu vou ter um agente na máquina para fazer login e apontar a navegação por onde deve sair. Mas não existe “segurança” em si na máquina e sim no tráfego pela minha nuvem que será constantemente monitorado e assim garanto a segurança para ele.
Flavio: mas este desvio de navegação pelo proxy não introduz alguma latência que seja mais sensível?
Cassio: não porque nós temos um datacenter aqui no Brasil. São 14 ou 15 datacenters espalhados pelo mundo. Não tenho certeza porque toda hora estamos abrindo novos.
Flavio: de toda forma, a Internet foi feita dessa forma. Um gateway entrega para outro, que entrega para outro e outro. Um a mais no meio do caminho não faz diferença, desde que ele seja próximo!
Cassio: isso, desde que que você não precise sair por um site dos EUA para retornar e acessar um site aqui no Brasil. Mas retomando, a ideia é exatamente esta. Montarmos os perfis, e fazer os acessos controlados pela inteligência que a Internet oferece e todas as ferramentas conversarem entre si. O nosso firewall, este hardware, vai se integrar com a nossa ferramenta de filtro. Será um next generation firewall que vai ter também análise de conteúdo. Hoje quando você pega um next generation firewall você vê em seu módulo de administração barras que mostram quanto cada aplicação usou de tráfego. Em breve essas informações irão aparecer com cores que indicarão não só as aplicações, mas o tipo de tráfego associado a cada tipo de conteúdo. A análise de conteúdo é a grande fortaleza para você conseguir resistir a estes ataques coordenados.
Flavio: e é uma análise feita de uma forma autônoma. Porque se depender de alguém ficar analisando tudo isso, seria necessário um batalhão de pessoas olhando caminhões de dados.
Cassio: claro, é autônomo. São milhares de analíticos (critérios) que a página é analisada, também pelo contexto, termos, etc. que permite categorizar cada página e nós vamos melhorando dia após dia. Hoje temos 99.99999%, cinco noves após a vírgula de taxa de páginas classificadas. É muito boa a análise. Nós já fazíamos isso antes no laboratório. Faz 20 anos que fazemos isso. Nós nunca fomos uma simples lista de URLs. E também nunca compramos listas de URLs de ninguém.
Flavio: que foi lá no passado um começo legítimo, até uma boa solução. Mas ficou obsoleto, pelo gigantismo da Web.
Cassio: o conteúdo dinâmico que tornou a tecnologia de listas de URLs obsoleta. Porque mesmo lá no começo da análise das URLs, a categoria “outros” ou “não categorizada” sempre existiu porque nunca foi possível colocar a Internet toda em uma lista de URLs. É inviável. No começo o que nós fazíamos era, ao analisar uma página, este site tem representatividade, muita gente o acessa? Então ele se tornava não categorizado porque ninguém se interessa por ele. Ele só ia para a lista de URLs quando ele passava a ter muita visibilidade. Mas quando a Internet foi se popularizando por vários meios de acesso e principalmente com o surgimento de conteúdo dinâmico, existem redes hoje em dia cujo tráfego é de 80% de conteúdo dinâmico, tudo isso acabava virando “não categorizado”, apenas 20% podia ser categorizada. E dentro destes 80% é que as pessoas acabavam acessando o que bem entendiam. Este é o pior cenário porque a empresa tinha uma ferramenta para organizar a política de acesso, mas estava sendo bastante ineficiente. Dessa forma há exposição ao risco, ocorrem problemas de segurança e surgem outros problemas.
Flavio: é nesse caso que a análise comportamental da página é importante. Mas qual a extensão dessa análise? Apenas texto? Imagens também?
Cassio: são avaliadas todas as palavras e os links para os quais a página aponta. Nos e-mails temos uma ferramenta que analisa além do texto e links, também as imagens para determinar se é pornô ou não. As imagens apenas detectamos pornografia, mas no texto conseguimos enquadrar em mais de cem categorias. Vou dar um exemplo. Na época da copa do mundo a FIFA divulgava dois vídeos. Um com o perfil da seleção e outro com os resumo dos jogos. Estes eram os vídeos oficiais. Estes vídeos dentro do Youtube classificávamos como “Special Event. Hoje se você pegar estes mesmos vídeos da FIFA eles estão categorizados como entretenimento, porque o evento especial acabou. Então nós chegamos à sofisticação de criar uma categoria apenas para registrar algo que naquele momento está chamando muita atenção. Isso porque tem muita gente querendo acessar aquilo, preciso arrumar uma forma de meu usuário controlar este acesso e fazer de forma ordenada para que não pare a rede dele. Imagine uma empresa com 6 mil usuários e todos querendo ver os gols de um jogo. Então isso pode ser organizado, por exemplo, certos usuários podem ver vídeos do tipo “Special Event” das 12:00 às 13:00, com uma cota de 30 minutos (horários diferentes ou cotas diferentes para grupos de usuários), ordenando assim quem vai ver e em qual horário, seja no pré almoço ou pós almoço de cada um. Nossa solução também entra na página do Youtube, lê tudo que tem em volta, para todos os links que ele aponta e assim posso classificar os vídeos. As outras ferramentas olham e atestam “isso é Youtube”, apenas isso, abre tudo ou fecha tudo.
Flavio: no ano passado, lendo o que falavam várias empresas de segurança, já havia uma previsão sobre a explosão do Ransonware neste ano. De fato, cresceu muito, mas eu li comentários recentes prevendo o declínio deste tipo de ataque porque os atacantes estão deixando de ser “éticos”!! Tem havido episódios de Ransomware sem que acesso aos dados sejam devolvidos, mesmo após o pagamento de resgate, até por causa de causa de malware mal feito.
Cassio: alguns tipos de Ransomware já arrecadaram mais de 325 milhões de dólares. Ética (ou a falta dela) existe em todo lugar. Eu conheço alguns casos de empresas que pagaram e ficaram na mão. Por isso tem muita gente que ao perceber que os arquivos foram criptografados, apagam tudo e fazem o backup voltar. Mas existe uma grande necessidade de verificar se os backups estão sendo feitos de fato e se são utilizáveis. Porque a grande desgraça do Ransomware não é ele criptografar seus arquivos e sim ele fazer isso e você não ter backup utilizável.
Flavio: este caso
que eu comentei com você dos 900 mil arquivos, 30 mil que foram criptografados
até que eu interrompesse o processo, aconteceu às 11:00 da manhã, perto das
12:00 apagamos todos os arquivos inválidos. Demorou perto de duas horas para
recuperar apenas aqueles 30 mil arquivos a partir de um backup daquela
madrugada e o único prejuízo foi se algum daqueles 30 mil arquivos fora
alterado entre 08:00 e 12:00. No final tudo foi resolvido perfeitamente.
Cassio: a chave é ter estes processos definidos para que em situação assim a perda de dados seja mínima ou quase nula. Mas quem foi pego e se viu em má situação foram aqueles que descobriram na pior hora que seus backups estavam semanas atrasados ou que não funcionavam. E o alarde foi grande a ponto de aquecer o mercado de Storage e produtos de backup!! Ransomware não foi o primeiro tipo de ataque coordenado, não será o último. Digo isso porque o maior problema que existe hoje é o roubo da informação. Criptografar o dado é muito incômodo, mas quando informação é roubada, é muito difícil de controlar. Há aspectos de propriedade intelectual envolvidos, segredos de empresa, projetos, bancos de dados de clientes, etc. que pode trazer muito mais risco. Exatamente por tudo isso que a solução totalmente integrada de segurança deve estar em uso pela empresa visando evitar estas e todas as outras ameaças, conhecidas e desconhecidas que podem ocorrer.
Flavio: Cássio, como da outra vez, foi uma conversa muito estimulante, informativa na qual eu aprendi muito. Espero que os leitores apreciem e possam também capturar as lições que você nos passou hoje. E também que não fiquemos tanto tempo sem conversar!! Muito obrigado!!
Cassio: a chave é ter estes processos definidos para que em situação assim a perda de dados seja mínima ou quase nula. Mas quem foi pego e se viu em má situação foram aqueles que descobriram na pior hora que seus backups estavam semanas atrasados ou que não funcionavam. E o alarde foi grande a ponto de aquecer o mercado de Storage e produtos de backup!! Ransomware não foi o primeiro tipo de ataque coordenado, não será o último. Digo isso porque o maior problema que existe hoje é o roubo da informação. Criptografar o dado é muito incômodo, mas quando informação é roubada, é muito difícil de controlar. Há aspectos de propriedade intelectual envolvidos, segredos de empresa, projetos, bancos de dados de clientes, etc. que pode trazer muito mais risco. Exatamente por tudo isso que a solução totalmente integrada de segurança deve estar em uso pela empresa visando evitar estas e todas as outras ameaças, conhecidas e desconhecidas que podem ocorrer.
Flavio: Cássio, como da outra vez, foi uma conversa muito estimulante, informativa na qual eu aprendi muito. Espero que os leitores apreciem e possam também capturar as lições que você nos passou hoje. E também que não fiquemos tanto tempo sem conversar!! Muito obrigado!!
Nenhum comentário:
Postar um comentário