*Por Fernando Ceolin
Por mais contraditório que pareça, nunca se investiu tanto em segurança da informação e, ao mesmo tempo, nunca foram registrados tantos incidentes. Acreditamos que esse cenário se deva ao fato de que muitas empresas, mesmo investindo mais em segurança, não têm uma noção exata do que está acontecendo dentro dos seus próprios ambientes.
Nossa experiência mostra que 85% do tráfego dentro de um data center é leste/oeste. Assim, nas empresas que trabalham apenas com ferramentas para gestão de tráfego e controle de acesso ao seu ambiente, a visibilidade da rede não ultrapassa 15% – o que pode comprometer a segurança e o funcionamento das aplicações.
E como os negócios exigem 100% de disponibilidade de todas as aplicações, os líderes da empresa pedem soluções.
O que impede a efetividade da segurança?
Em primeiro lugar, a pouca visibilidade dos ambientes internos: para chegar a uma boa solução, o primeiro passo é saber com detalhes o que se passa na rede e em todos os ambientes de TI da empresa. Além disso, de modo geral, há diferentes times – responsáveis por segurança, infraestrutura, aplicações, e assim por diante – que não conversam entre si. Na verdade, muitas vezes o responsável pela aplicação não entende de rede, o de rede não entende de aplicação, o de aplicação não conhece segurança.
Sem visibilidade
Deficiências em visibilidade e no alinhamento de equipes, quando traduzidas em risco, podem impossibilitar a manutenção ou a atualização de sistemas críticos. Por exemplo, quando um administrador cria um segmento de rede que vai abrigar um ambiente de produção, várias máquinas começam a conversar entre si. Sem visibilidade, não se sabe o que está acontecendo entre elas. E se uma delas for alvo de ataque (interno ou externo) efetuado com êxito, todas as máquinas daquele segmento poderão ser comprometidas.
Outro risco é o efetivo controle dos protocolos de administração. Mesmo com ferramentas como cofres de senha, se o administrador tiver uma credencial de acesso há o perigo de a ameaça se mover lateralmente dentro do data center.
Completando esse cenário de risco, atualmente, com a pandemia e o modelo de home-office, muitas empresas liberaram suas VPNs para os colaboradores. Mas será que o administrador e o usuário comum estão compartilhando a mesma VPN? Se estiverem, todos os que estiverem no mesmo segmento de rede terão as mesmas permissões, sem um controle granular de acessos.
Mantendo o controle
Você não pode controlar o que você não conhece, por isso nosso primeiro objetivo deve ser a visibilidade completa de tudo o que acontece dentro do data center – independentemente de ser on-premise, híbrido, cloud e/ou multi-cloud, sem esquecermos dos ambientes legados – de forma que os times de gestão não tenham dúvidas sobre o que ocorre e quem seria responsável por determinado componente/aplicação/ação dentro do ambiente.
Uma vez estando claro o que acontece no ambiente de TI, quais são as interações entre as aplicações e quem está fazendo o que, chega o momento da implantação dos controles. E não só dentro dos ambientes, mas também através dos ambientes. Por exemplo, exercendo total controle sobre as interações das workloads na nuvem com as workloads on-premise, para garantir que somente ocorram as operações autorizadas, evitando-se assim toda e qualquer tentativa de movimentação lateral.
No que diz respeito à automação da segurança, uma vez definidas as políticas de acesso, é necessário assegurar que cada workload será acompanhada aonde quer que vá; ou seja, abstraindo qualquer infraestrutura e garantindo que cada componente do ambiente saiba com quem pode ou não se comunicar, não importando sua localização. Isso permite não somente o aumento da postura de segurança do ambiente. Oferece também a liberdade de a empresa movimentar seu data center para onde quiser, sem se preocupar em gerenciar politicas de segurança, já que se pode contar hoje com formas automáticas de troca de configurações de conectividade e de ajustes nas políticas de controle de acesso.
Uma vez que o data center esteja blindado, qualquer tentativa de acesso não autorizado deverá ser verificada, por exemplo, por meio de serviços de deception (honeypots) capazes de expor os métodos do atacante.
Finalmente, para obter bons resultados de negócio é preciso inovar sempre. Quanto mais rapidamente se conseguir lançar uma aplicação, mais ágil será a empresa no que toca a atingir seus objetivos e ultrapassar a concorrência.
*Por Fernando Ceolin é diretor de vendas e engenharia da Guardicore para Brasil e América Latina