Security Intelligence for your Business

Uma das coisas que mais encontramos em organizações são dados não-estruturados. Eles englobam vários tipos de arquivos como documentos, imagens, planilhas, vídeos, etc armazenados em servidores, storages e repositórios semi-estruturados como o SharePoint. Gerenciar e proteger esses dados apresentam vários desafios, entre eles:

  • Permissões: Determinar quem pode acessar quais dados, quais pastas um determinado usuário ou grupo pode acessar e identificar permissões excessivas e desnecessárias.
  • Auditoria de Acessos: O departamento de TI não consegue responder perguntas como: “Quem acessou ou apagou os meus dados?”
  • Propriedade dos Dados: O departamento de TI não consegue identificar de forma confiável quem são os donos desses dados, e encontra muita dificuldade em envolver os responsáveis por esses dados no processo de governança.
  • Operação: Alterações manuais nas permissões e grupos não são confiáveis. Os usuários de negócio e os donos/responsáveis por determinadas informações não conseguem tomar decisões efetivas sobre o acesso aos dados.
  • Alto Risco: Permissões excessivas ou inativas são raramente revogadas. Ou seja, os dados estão abertos para acesso dos grupos globais, sem nenhuma forma confiável de remediar o acesso sem causar impacto nos negócios.

Confira abaixo um vídeo que mostra como as soluções de governança de dados da Varonis pode ajudar a sua empresa a resolver essas questões.

8. O seu próximo firewall deve simplificar a segurança da rede com a adição do controle de aplicativos.

Caso de negócio:

Muitas empresas têm dificuldade em incorporar mais feeds de informação, mais políticas e mais gerenciamento em pessoas e processos de segurança sobrecarregados. Em outras palavras, se sua equipe não consegue gerenciar o que tem no momento, adicionar mais dispositivos e gerenciar interfaces juntamente com políticas e informações associadas não vai ajudar a reduzir o esforço da equipe administrativa, nem reduzir o tempo de resposta a incidentes. Quanto mais distribuída é a política (por exemplo, um firewall baseado em porta permite tráfego pela porta 80, IPS procura por/bloqueia ameaças e aplicativos, gateway web seguro aplica filtros de URL), mais difícil é gerenciar a política. Que política sua equipe de segurança utiliza para possibilitar o WebEx? De que forma eles determinam e resolvem conflitos de políticas em diferentes dispositivos?

Já que instalações típicas de firewalls baseados em portas apresentam bases de regras que incluem milhares de regras, adicionar milhares de assinaturas de aplicativos em dezenas de milhares de portas aumentará exponencialmente a complexidade.

Requisitos:

Seu negócio se baseia em aplicativos, usuários e conteúdo e o seu próximo firewall deve possibilitar a criação de políticas que apoiam diretamente suas iniciativas de negócio. O contexto compartilhado por aplicativos, usuários e conteúdos em todos os aspectos—visibilidade, controle de políticas, geração de logs e relatórios— ajudará a simplificar significativamente a sua infraestrutura de segurança. Uma política de firewall baseada em portas e endereços IP, seguida de políticas separadas para controle de aplicativos, IPS e anti-malware irá somente complicar o seu processo de gerenciamento de políticas e pode acabar inibindo os negócios.

Veja também:

7. O seu próximo firewall deve fornecer controles consistentes a todos os usuários, independente do local ou tipo de dispositivo.

Caso de negócio:

Os seus usuários estão cada vez mais trabalhando fora das dependências da empresa, muitas vezes acessando a rede da empresa em smartphones ou tablets. Antes domínio de pessoas sempre “na estrada”, agora uma porção significativa da sua força de trabalho pode trabalhar de forma remota. Seja trabalhando de uma cafeteria, de casa ou da empresa de um cliente, seus usuários esperam conectar seus aplicativos via WiFi, redes de banda larga sem fio ou qualquer outro meio necessário. Independente de onde o usuário ou o aplicativo que ele utiliza esteja, o mesmo padrão de controle de firewall deve ser aplicado. Se o seu próximo firewall permitir visibilidade e controle de aplicativos no tráfego dentro das dependências da empresa, mas não fora, ele errará o alvo em um dos tráfegos de maior risco.

Requisitos:

Conceitualmente, isso é simples—o seu próximo firewall deve ter visibilidade e controle consistente sobre o tráfego, independente do local que o usuário esteja. Isso não quer dizer que a sua organização terá exatamente as mesmas políticas para ambos; por exemplo, algumas organizações podem desejar que seus funcionários usem o Skype quando estão na estrada, mas não dentro da matriz, enquanto outras podem ter uma política que determina que quando os usuários estão fora do escritório, não podem fazer download de anexos do salesforce.com, a não ser que tenham ativado uma criptografia de disco rígido. Isto pode ser alcançado com o seu próximo firewall sem introduzir latência significativa para o usuário final nem impor problemas operacionais para o administrador, ou custos para a organização.

Veja também:

6. O seu próximo firewall deve procurar por ameaças em todos os aplicativos e em todas as portas.

Caso de negócio:

As empresas continuam a adotar uma ampla variedade de aplicativos para viabilizar os negócios, e eles podem ser hospedados internamente ou fora do seu local físico. Independente de ser um aplicativo hospedado no SharePoint, Box.net, Google Docs, Microsoft Office365 ou um aplicativo extranet hospedado por um parceiro, muitas organizações precisam usar aplicativos capazes de usar portas não padrão, SSL ou compartilhar arquivos. Em outras palavras, estes aplicativos podem viabilizar os negócios mas também podem atuar como vetores de ciberameaças. Além disso, alguns destes aplicativos (como o SharePoint) dependem de tecnologias de suporte que são alvos regulares de explorações (como IIS, Servidor SQL). Bloquear o aplicativo não é apropriado, mas também não é possível permitir cegamente os aplicativos com os (possíveis) riscos associados ao negócio e à cibersegurança.

Esta tendência de usar portas não padrão é muito acentuada no mundo dos malwares. Já que o malware reside na rede, e a maioria das comunicações envolvem um cliente malicioso (o malware) se comunicando com um servidor malicioso (comando e controle), o criminoso tem total liberdade para usar qualquer combinação de porta e protocolo que quiser. Na verdade, em uma análise recente de três meses, 97% de todos os malwares desconhecidos fornecidos via FTP usaram portas totalmente fora do padrão.

Requisitos:

Parte da permissão segura envolve permitir um aplicativo e procurar por ameaças. Estes aplicativos podem se comunicar através de uma combinação de protocolos (por exemplo, o SharePoint usa CIFS, HTTP e HTTPS, e exige uma política de firewall mais sofisticada do que apenas “bloquear o aplicativo”). A primeira etapa é identificar o aplicativo (independente da porta ou criptografia), determinar as funções que você quer permitir ou negar e verificar os componentes permitidos quanto a ameaças—explorações, vírus/malware ou spyware… ou até mesmo informações confidenciais, controladas ou sensíveis.

Veja também:

5. O seu próximo firewall deve gerenciar o tráfego desconhecido de forma sistemática.

Caso de negócio:

O tráfego desconhecido existe em pequenas quantidades em todas as redes, mas ainda representa um risco significativo para você e para a sua empresa. Existem vários elementos importantes para considerar com o tráfego desconhecido: ele é classificado? É possível reduzi-lo através de um controle por políticas? O seu firewall é capaz de classificar com facilidade aplicativos personalizados para que sejam “conhecidos” na sua política de segurança? O seu firewall ajuda a determinar se o tráfego desconhecido é uma ameaça?

O tráfego desconhecido também está fortemente vinculado a ameaças na rede. Os criminosos geralmente são forçados a modificar um protocolo para explorar um aplicativo alvo. Por exemplo, para atacar um servidor da web, um criminoso pode precisar modificar tanto um cabeçalho HTTP que o tráfego resultante não é mais identificado como um tráfego da web. Tal anormalidade pode ser uma indicação prévia de um ataque. Da mesma forma, um malware geralmente usará protocolos personalizados como parte de seu modelo de comando e controle, permitindo às equipes de segurança eliminar qualquer infestação desconhecida por malwares.

Requisitos:

Por padrão, o seu próximo firewall deve classificar todo o tráfico, em todas as portas—esta é uma área em que a discussão anterior sobre o modelo de controle de segurança e arquitetura se tornou muito importante. Modelos positivos (negar por padrão) classificam tudo, modelos negativos (permitir por padrão) classificam apenas o que são solicitados a classificar. Classificar tudo é apenas uma pequena parte do desafio introduzido pelo tráfego desconhecido. O seu próximo firewall deve permitir ver todo o tráfego desconhecido, em todas a portas, em um local [de gerenciamento] e analisar rapidamente o tráfego para determinar se (1) é um aplicativo interno ou personalizado, (2) é um aplicativo comercial sem uma assinatura ou (3) é uma ameaça. Além disso, seu próximo firewall deve fornecer as ferramentas necessárias para não somente ver o tráfego desconhecido, como também gerenciá-lo sistematicamente controlando-o através de políticas, criando uma assinatura personalizada, enviando um PCAP de aplicativo comercial para maior análise ou realizando investigações analíticas para determinar se ele é uma ameaça.

Veja também:

4. O seu próximo firewall deve fornecer controle sobre a função nos aplicativos.

Caso de negócio:

Desenvolvedores de plataformas de aplicativos, como o Google, Facebook, Salesforce.com ou a Microsoft, fornecem aos usuários um conjunto avançado de recursos e funções que ajudam a garantir a lealdade do usuário, mas que podem representar perfis de risco muito diferentes. Por exemplo, permitir o Webex pode ser uma valiosa ferramenta de negócios, mas usar o Webex Desktop Sharing para assumir o desktop do seu funcionário a partir de uma fonte externa pode ser uma violação de conformidade interna ou regulatória. Outro exemplo é o Google Mail (Gmail) e o Google Talk (Gtalk). Quando um usuário entra no Gmail, o que pode ser permitido pelas políticas, pode trocar contexto com facilidade através do Gtalk, o que pode não ser permitido. O seu próximo firewall deve poder reconhecer e delinear recursos e funções individuais para que uma resposta apropriada às políticas possa ser implementada.

Requisitos:

O seu próximo firewall deve classificar de forma contínua cada aplicativo, monitorando alterações que podem indicar que uma função diferente está sendo utilizada. O conceito da classificação de tráfego “uma vez e pronto” não é uma opção, já que ignora o fato de que estes aplicativos comumente usados compartilham sessões e oferecem suporte a várias funções. Se uma função ou recurso diferente é introduzido na sessão, o firewall deve observá-lo nas tabelas de estado e realizar uma verificação de política. O rastreamento contínuo do estado para compreender as diferentes funções suportadas por cada aplicativo e os diferentes riscos associados é um requisito crítico do seu próximo firewall.

Veja também:

3. O seu próximo firewall deve descriptografar e inspecionar SSL e controlar SSH.

Caso de negócio:

Hoje em dia, 25% dos aplicativos usam SSL de uma forma ou de outra nas redes corporativas atuais . Dado o aumento da adoção de HTTPS por vários aplicativos de alto risco e alta recompensa empregados pelos usuários finais (por exemplo, Gmail, Facebook) e a capacidade do usuário de forçar SSL em vários websites, sua equipe de segurança tem um enorme e crescente ponto cego sem a capacidade de descriptografar, classificar, controlar e verificar o tráfego SSL criptografado. Certamente, um firewall de próxima geração precisa ser flexível o suficiente para permitir determinados tipos de tráfego SSL criptografado (por exemplo, tráfego da web proveniente de serviços financeiros ou organizações de cuidado com a saúde), e poder descriptografar outros tipos de tráfego (por exemplo, SSL em portas não padrão, HTTPS de websites não classificados na Europa Oriental) através de políticas. O SSH é usado quase que universalmente e pode ser configurado com facilidade por usuários finais para finalidades não relacionadas ao trabalho, da mesma forma que uma ferramenta de desktop remoto é utilizada. O fato de que o SSH é criptografado também o torna uma ferramenta útil para ocultar atividade não relacionada ao trabalho.

Requisitos:

A capacidade de descriptografar SSL é um elemento fundamental—não somente porque compõe um percentual significativo e cada vez maior do tráfego empresarial, como também porque permite alguns outros recursos importantes que seriam incompletos ou ineficientes sem a capacidade de descriptografar o SSL. Elementos importantes de se procurar incluem reconhecimento e descriptografia de SSL em qualquer porta – tanto de entrada quanto de saída -, controle de políticas sobre a descriptografia e os elementos de hardware e software necessários para realizar descriptografia de SSL em dezenas de milhares de conexões SSL simultâneas com desempenho previsto. Os requisitos adicionais a considerar incluem a capacidade de identificar e controlar o uso de SSH. Especificamente, o controle de SSH deve incluir a capacidade de determinar se ele está sendo usado para encaminhamento de porta (local, remoto, X11) ou uso nativo (SCP, SFTP e acesso ao shell). O conhecimento sobre como o SSH está sendo utilizado pode ser traduzido em políticas de segurança apropriadas.

Veja também:

2. O seu próximo firewall deve identificar e controlar ferramentas de evasão da segurança.

Caso de negócio:

Um pequeno número de aplicativos na sua rede pode ser usado para evitar, propositalmente, as políticas de segurança que estão em vigor para proteger os ativos digitais da sua organização. Duas classes de aplicativos se encaixam nas ferramentas de evasão da segurança: aqueles que são expressamente projeta- dos para evitar a segurança (por exemplo, proxies externos, túneis criptografados não relacionados à VPN) e aqueles que podem ser adaptados para alcançar com facilidade o mesmo objetivo (por exemplo, ferramentas de gerenciamento de desktop/servidor remoto).

  • Aplicativos com proxies externos e túneis criptografados não relacionados à VPN são especificamente usados para evitar os controles de segurança em vigor através de uma ampla variedade de técnicas de evasão. Estes aplicativos não apresentam valor de negócio para sua rede, já que foram projetados para evitar a segurança, introduzindo riscos invisíveis à segurança e aos negócios.
  • As ferramentas de gerenciamento de desktop/servidor remoto, como RDP e Teamviewer, são geralmente usadas por profissionais de suporte e de TI para trabalharem de forma mais eficiente. Também são frequentemente usadas por funcionários para passar pelo firewall, estabelecendo conexões com seus computadores de casa ou com computadores que estão fora da rede. Os cibercriminosos sabem que estes aplicativos são comumente usados e existem casos documentados publicamente, tanto no Relatório Verizon de violação de dados (DBIR) quanto no relatório Mandiant, nos quais essas ferramentas de acesso remoto foram executadas em uma ou mais fases de um ataque.

Para esclarecer, nem todos estes aplicativos possuem os mesmos riscos; aplicativos de acesso remoto apresentam uso legítimo, assim como muitos aplicativos de túnel criptografado. Entretanto, essas mesmas ferramentas estão cada vez mais sendo adotadas por criminosos como parte de ataques persistentes contínuos. Sem a capacidade de controlar essas ferramentas de evasão da segurança, as organizações não podem aplicar suas políticas, expondo-se aos riscos que consideravam estar mitigando.

Requisitos:

Há diferentes tipos de aplicativos de evasão, e cada um usa técnicas levemente diferentes. Existem proxies externos públicos e privados (consulte proxy.org para obter um banco de dados maior de proxies públicos) que podem usar tanto HTTP quanto HTTPS. Os proxies privados geralmente estão definidos em endereços de IP não classificados (por exemplo, computadores domésticos) com aplicativos como PHProxy ou CGIProxy. Os aplicativos de acesso remoto como o RDP, Teamviewer ou GoToMyPC apresentam usos legítimos, mas devido ao risco associado, devem ser gerenciados de perto. A maioria dos outros aplicativos de evasão (por exemplo, Ultrasurf, Tor, Hamachi) não apresentam uso empresarial na sua rede. Independente da sua postura de política de segurança, o seu próximo firewall precisa ter técnicas específicas para identificar e controlar todos esses aplicativos, independentemente da porta, protocolo, criptografia ou outra tática de evasão. Mais uma consideração: os aplicativos que permitem evitar a segurança são atualizados regularmente para torná-los mais difíceis de detectar e controlar. Portanto, é importante entender não somente que o seu próximo firewall deve poder identificar esses aplicativos de evasão, como também é importante saber com que frequência a inteligência de aplicativos do firewall é atualizada e mantida.

Veja também:

1. O seu próximo firewall deve identificar e controlar os aplicativos, em todas as portas, o tempo todo.

Caso de negócio:

Os desenvolvedores de aplicativos não aderem mais à metodologia padrão de desenvolvimento de porta/protocolo/aplicativo. Cada vez mais aplicativos são capazes de operar em portas não padrão ou pular portas (por exemplo, aplicativos de mensagens instantâneas, compartilhamento peer-to-peer ou VoIP). Além disso, os usuários estão cada vez mais audaciosos para forçar a execução de aplicativos em portas não padrão (por exemplo, RDP, SSH).

Para aplicar políticas de firewall específicas para aplicativos em que as portas são irrelevantes, o seu próximo firewall deve assumir que qualquer aplicativo pode ser executado em qualquer porta. O conceito de qualquer aplicativo em qualquer porta é uma das mudanças fundamentais no panorama de aplicativos que está impulsionando a migração de firewalls baseados em portas para firewalls de próxima geração.

Qualquer aplicativo em qualquer porta também ressalta o motivo pelo qual um modelo de controle negativo não é capaz de solucionar o problema. Se um aplicativo pode ser movido para qualquer porta, um produto baseado em controle negativo exigiria conhecimento de antemão ou a necessidade de executar todas as assinaturas em todas as portas, a todo o momento.

Requisitos:

Este é simples, você deve assumir que qualquer aplicativo pode ser executado em qualquer porta e o seu próximo firewall deve classificar o tráfego por aplicativo em todas as portas, a todo o momento, por padrão. A classificação do tráfego em todas as portas será um tema recorrente em todos os itens restantes; caso contrário, os controles baseados em porta continuarão a ser ludibriados pelas mesmas técnicas que os têm atormentado por anos.

Veja também:

Os critérios de seleção de um firewall se encaixam basicamente em três áreas: funções de segurança, operações e desempenho. Os elementos funcionais de segurança correspondem à eficácia dos controles de segurança e à capacidade da sua equipe de gerenciar o risco associado com os aplicativos que passam pela sua rede.

Da perspectiva operacional, a grande pergunta é “onde está a política de aplicativos e quão difícil e complicado é para sua equipe gerenciá-la”? No quesito desempenho a pergunta também é simples: o firewall é capaz de fazer o que deve fazer de acordo com os requisitos de rendimento da sua empresa?

Embora cada organização tenha requisitos e prioridades variadas nestes três critérios de seleção, as 10 coisas que o seu próximo firewall deve fazer são:

  1. Identificar e controlar aplicativos em qualquer porta
  2. Identificar e controlar circumventores
  3. Descriptografar SSL de saída e controlar SSH
  4. Fornecer controle sobre a função nos aplicativos
  5. Gerenciar o tráfego desconhecido de forma sistemática
  6. Procurar por vírus e malware em aplicativos em todas as portas
  7. Permitir a mesma visibilidade e controle para todos os usuários e dispositivos
  8. Tornar a segurança de rede mais simples, não mais complexa, com a adição de controle de aplicativos
  9. Fornecer o mesmo rendimento e desempenho com controle de aplicativos totalmente ativado
  10. Oferecer suporte exatamente às mesmas funções de firewall em um fator de forma virtualizado ou em hardware

Nessa série de 11 posts, abordaremos cada um desses pontos em detalhes, 10 posts iremos abordar cada um desses pontos importantes para selecionarmos um firewall.