11 segundos é o tempo que leva para o próximo ataque cibernético. Você está preparado para lidar com violações?
As violações são inevitáveis, então você precisa de maneiras de limitar seu impacto para evitar resultados catastróficos. Mas suas tecnologias tradicionais de prevenção e detecção não são mais suficientes. O que você precisa é de uma maneira de impedir que as violações se espalhem antes mesmo de saber que elas estão no sistema.
É por isso que a Segmentação Zero Trust é essencial. Ao contrário das tecnologias de prevenção e detecção, a Segmentação Zero Trust contém a disseminação de violações inevitáveis e ransomware pela superfície de ataque híbrida.
Parece complicado? Não precisa ser. O novo Segmentação Zero Trust para Leigos oferece um guia simples para implementar a Segmentação Zero Trust e impedir a propagação de violações.
Contendo a violação
Uma dose de verdade nem sempre é agradável, mas certamente pode ser um remédio poderoso. O remédio que este capítulo pede que você engula é a realidade de que suas melhores defesas cibernéticas não são boas o suficiente.
Aqui, você encontra detalhes assustadores sobre violações e afirma que violações acontecerão, não importa o quão cuidadoso você seja. Em seguida, entende porque é realmente fortalecedor presumir que violações ocorrerão, diminuir seu limite de confiança de acordo e aprender como conter as violações que acontecem.
Entrando na era da contenção de violações
Incidentes de segurança cibernética tendem a tirar o sono de muita gente à noite, e não apenas de quem trabalha com tecnologia da informação (TI). As manchetes estão repletas de histórias de terror sobre ataques custosos e incidentes de ransomware incrivelmente disruptivos, que podem ser indizivelmente dolorosos para as operações comerciais e a reputação organizacional. Executivos, até o CEO, também estão perdendo o sono, e é seguro dizer que a maioria das organizações daria praticamente qualquer coisa para evitar esses pesadelos.
Mas aqui estão as notícias preocupantes: confiar apenas na prevenção não é mais uma estratégia vencedora. Os ataques são praticamente inevitáveis hoje em dia. De fato, cerca de três quartos das organizações foram atacadas por ransomware nos últimos dois anos. Em média, um ataque acontece a cada 11 segundos.
Quando você pensa nisso, isso não é nenhuma surpresa. Hoje em dia, praticamente tudo está conectado à internet, e os ambientes de TI que costumavam ser predominantemente locais estão migrando rapidamente para arquiteturas híbridas, hiperconectadas e com foco na nuvem.
A transformação digital é uma conveniência e uma grande oportunidade; também expande significativamente a possibilidade de ataques.
Com a TI híbrida atual, você tem várias nuvens, muitos endpoints, data centers, contêineres, máquinas virtuais e mainframes. Mas com a rápida transformação digital em andamento em todos os setores, não são apenas esses sistemas de TI típicos que estão cada vez mais interconectados. A tecnologia operacional (TO) — como dispositivos de saúde para pacientes em um hospital, bombas em um oleoduto ou controladores de máquinas em uma linha de produção de uma fábrica — está cada vez mais densamente conectada à TI tradicional. Isso expande ainda mais a superfície potencial de ataque e o que pode ser impactado por uma violação. A interconectividade significa que os invasores têm muitos lugares para ir depois de entrarem.
Na década de 2000, os esforços de segurança se concentravam na prevenção, trancando aquela porta e “mantendo-os fora”. Seus sistemas viviam relativamente com segurança dentro de um fosso. Uma década depois, os invasores estavam se tornando cada vez mais hábeis em atravessar o fosso, então o foco mudou para detecção e “encontrá-los rapidamente”. Agora, mais uma década se passou, e o cenário parece mais sombrio do que nunca. Se você gosta de apostas, pode apostar que vai acontecer alguma violação. Isso significa que é hora de outra mudança no foco da segurança de TI, para o objetivo de “minimizar o impacto”.
Isso soa terrivelmente pessimista, mas, de certa forma, pode ser quase um pensamento libertador. Com certeza, você ainda quer prevenir violações na medida do possível, mas quando começar a presumir que elas irão acontecer, poderá concentrar a maior parte da sua atenção em limitar e conter o impacto. E a boa notícia é que você tem muito mais opções do que imagina hoje, na “era da contenção de violações”.
Uma violação de segurança ocorre quando um invasor consegue ultrapassar as defesas de segurança cibernética de uma organização em locais como endpoints, perímetro da rede, data centers ou na nuvem. Isso, essencialmente, significa permitir que o invasor entre, com acesso à rede corporativa.
Às vezes, uma violação ocorre involuntariamente quando funcionários vazam informações acidentalmente para fontes terceirizadas, talvez baixando algo incorretamente ou falhando em proteger um dispositivo. Geralmente, porém, as violações de segurança ocorrem por meio de ações intencionais de um invasor.
Uma violação de dados é o que pode acontecer em seguida, quando o invasor se move lateralmente dentro do ambiente, alcança o prêmio (dados sensíveis) e, em seguida, rouba ou exfiltra as informações. Esses dados podem então ser vendidos com lucro na dark web ou podem ser bloqueados na esperança de obter resgate.
Entender como as violações de segurança acontecem e tentar preveni-las é importante. Está mais difícil do que nunca prevenir todas as violações, mas ainda é importante tentar. Aqui estão algumas das razões pelas quais ocorrem violações de segurança:
- Erro de funcionário: Este é um dos maiores, responsável por quase metade das vezes. Talvez um funcionário tenha sido generoso demais com permissões, não tenha configurado as ferramentas de segurança corretamente, deixado acidentalmente um documento confidencial aberto ou não tenha protegido adequadamente arquivos ou pastas.
- Malware: Cibercriminosos podem usar malware para abrir a porta, geralmente roubando credenciais. O malware pode ser baixado em um computador e, em seguida, movido lateralmente para infectar outros na rede.
- Phishing: Esta é uma forma comum de malware ser baixado. Hackers criam e-mails com aparência legítima de fontes que parecem confiáveis e, quando o funcionário abre o e-mail ou anexo, ou clica em um link no e-mail, isso desencadeia uma infecção.
Percebeu um ponto em comum? Erros e ações inadvertidas de funcionários
Muitas violações de segurança podem ser evitadas treinando os funcionários para ficarem atentos a e-mails suspeitos e nunca clicarem em nada a menos que tenham certeza de que é legítimo. Certifique-se também de que eles saibam como criar senhas seguras e exclusivas e usar a autenticação multifator, quando disponível.
Aqui estão algumas outras ideias para uma boa higiene de segurança a fim de reduzir a probabilidade de uma violação:
- Esteja ciente de tudo o que precisa ser protegido. Certifique-se de ter visibilidade de todos os endpoints vulneráveis e do software em execução neles — as equipes de segurança não gostam de ser surpreendidas.
- Fique de olho nessas vulnerabilidades. Quando tiver uma lista de endpoints para proteger, monitore todos eles em busca de alterações que gerem risco, bem como patches que reforcem a segurança.
- Seja econômico com privilégios. O conceito de privilégio mínimo é vital aqui. Estabeleça limites rígidos para privilégios administrativos e monitore-os cuidadosamente.
- Faça benchmarking de suas configurações. Com todos os seus ativos inventariados e um plano em vigor para protegê-los e monitorá-los, é aconselhável verificar essas configurações e garantir que elas estejam de acordo com o que os padrões do setor recomendam.
- Exercite sua consciência situacional. As coisas mudam o tempo todo, com softwares atualizados, novas ameaças e prioridades revisadas. Sua equipe de segurança deve se manter atualizada sobre as mudanças no ambiente e nas expectativas.
Supondo que haja uma violação
Não é mais realista pensar que você pode prevenir todas as violações ou esperar que consiga encontrar violações com rapidez suficiente para corrigi-las. Hoje em dia, embora seus objetivos de segurança ainda devam incluir prevenção e detecção, eles devem ir muito além — você deve presumir a violação e se concentrar em limitar e conter.
Seu primeiro pensamento pode ser: “Isso parece me preparar para uma paranoia paralisante” ao começar presumindo uma violação. Você pode imaginar algum tipo de equivalente em segurança de TI a andar por uma calçada lotada com medo de que todos os transeuntes estejam conspirando para lhe causar prejuízo. Isso seria o suficiente para fazer muitas pessoas tremerem de volta para suas casas, para nunca mais aparecerem em público. Mas essa realmente não é a metáfora certa para conjurar em sua mente na era da contenção de violações.
Pense em vez disso em alguma história animada favorita de um super-herói, cumprindo sua rotina diária. Há maus atores por toda parte, aparecendo na trama quase incessantemente.
O herói percebe cada um deles muito rapidamente, às vezes com o canto do olho, e executa algum movimento rápido e muitas vezes deslumbrante que neutraliza a ameaça. O super-herói mal diminui o passo enquanto avança, lidando com tudo o que aparece em seu caminho.
Certo, isso é ficção animada. Mas está mais próximo da realidade do que você pode imaginar. Assim como aquele personagem fictício, sua organização é capaz de avançar no enredo da operação diária com a consciência situacional necessária para identificar os maus atores e os movimentos rápidos que podem deter a ameaça.
Esse caminho destemido envolve um conceito conhecido como Segmentação de Confiança Zero (ZTS). Não é ficção científica ou fantasia de super-herói animado, e as ferramentas para fazer isso acontecer estão surpreendentemente ao alcance e são fáceis de incorporar aos seus sistemas.
Não confiar em nada
O que você deve construir é uma arquitetura Zero Trust, que é praticamente o que o nome sugere — ela não confia implicitamente em nada.
Uma arquitetura Zero Trust é mais difícil de violar e também dificulta a disseminação de uma violação bem-sucedida. Com essa mentalidade, cada interação entre pessoas, cargas de trabalho, redes, dados e dispositivos deve ser verificada antes de prosseguir. E o princípio do privilégio mínimo concede aos dispositivos e usuários apenas o acesso mínimo necessário para realizar o trabalho.
Zero Trust é uma atualização para o seu controle de acesso e muito mais. Antes de seguir esse caminho, você deve aplicar a autenticação multifator em todos os pontos de acesso e garantir que todos os dispositivos conectados sejam atualizados regularmente e bem mantidos. Você precisará de monitoramento regular e completo para garantir que seu controle de acesso seja rigoroso. E você deve aprimorar o gerenciamento, limitando o acesso a componentes individuais na rede.
Você também deve realmente adotar o princípio do privilégio mínimo como uma prática recomendada de segurança cibernética. A ideia básica: as cargas de trabalho recebem apenas as permissões necessárias para executar uma tarefa autorizada e nada mais. Isso limita a potencial superfície de ataque, pois nenhuma carga de trabalho específica possui todas as chaves do castelo.
Aliás, a confiança mínima se aplica não apenas a aplicativos, dispositivos e sistemas integrados, mas também às permissões estabelecidas para pessoas.
Existem cinco etapas básicas para uma estratégia de Confiança Zero:
- Determinar a superfície de ataque
A superfície de ataque são todas as vulnerabilidades que um agente de ameaça pode buscar, e em uma rede híbrida pode haver muitas vulnerabilidades. Você precisa de um mapa da superfície de ataque que considere pessoas, dispositivos, a rede, cargas de trabalho e dados.
- Criar as políticas
Antes de lançar a Confiança Zero, você precisa defini-la completamente, perguntando e respondendo a todas as perguntas pertinentes sobre como a rede será usada, por quem, onde e muito mais.
- Definir os controles de acesso
Esta etapa envolve o estabelecimento de níveis de acesso e permissão para cada usuário ou tipo de usuário. Isso também deve levar em consideração o contexto, como identidade do usuário, dispositivo, localização, tipo de conteúdo e qual aplicativo está sendo solicitado.
- Escolher soluções de Confiança Zero
Existem ferramentas para facilitar isso, mas cada rede tem suas próprias características únicas. A microssegmentação é considerada um controle de segurança Zero Trust primário, pois ajuda a separar sua infraestrutura híbrida em diferentes áreas e descobrir os protocolos para cada uma.
- Monitore
Implementar o Zero Trust é importante, mas não é o fim da história. Você deve monitorar constantemente a atividade da rede em busca de fraquezas e comportamentos incomuns.
Contenção em jogo
Ao combinar a mentalidade de “presumir violação” com a arquitetura Zero Trust, você tem a melhor chance de conter efetivamente as violações quando elas acontecem, em minutos. É mais provável que você veja todos os riscos ao visualizar a comunicação e o tráfego na superfície de ataque híbrida. E, devido ao seu foco em Zero Trust, a comunicação é controlada e restringida cuidadosamente.
Você consegue conter, ou interromper a propagação, com muito mais eficácia. Você pode isolar proativamente ativos de alto valor e, durante um ataque, isolar reativamente quaisquer sistemas comprometidos.
Compreendendo a segmentação zero trust
Há segmentação e há ZTS. Todas as abordagens de segmentação descritas na seção anterior têm o mesmo objetivo geral e todas podem funcionar, mas definitivamente não são todas iguais.
O ZTS tem suas raízes na microssegmentação, que às vezes é chamada de segmentação baseada em host.
É uma abordagem que se baseia em modelos de lista de permissões para bloquear todo o tráfego exceto o que é especificamente permitido. Esse é o modelo de segurança Zero Trust em ação, no qual nada é confiável e tudo é verificado. A microssegmentação particiona a rede até cargas de trabalho individuais, permitindo que você empregue os conceitos Zero Trust em seu potencial máximo para garantir que esses segmentos sejam protegidos separadamente. Voilà! É ZTS!
Esse tipo de segmentação estabelece um mapa da nuvem e dos ambientes e aplicativos de computação locais. O mapa mostra o que precisa ser protegido e é usado para implementar políticas de segmentação automatizadas.
Essas políticas utilizam rótulos legíveis por humanos, em vez de endereços IP ou nomes de host, e você pode impor a segmentação até o nível do processo.
Então, por que agora é a hora desse tipo de segmentação? Há muitos motivos, mas aqui estão três importantes:
- Ataques cibernéticos são inevitáveis. As estatísticas mostram que isso é verdade, mas para muitas organizações há uma surpreendente falta de preparação.
- As mentalidades de segurança cibernética costumam estar desatualizadas. Apesar do investimento contínuo em controles de perímetro, as organizações ainda sofrem violações. Quando você reconhece que as violações são inevitáveis e começa a presumir a ocorrência de uma violação, pode então se concentrar em isolar as violações e impedir sua disseminação. O ZTS é a maneira mais rápida e fácil de fazer isso.
- O ZTS funciona hoje e amanhã. É uma abordagem flexível e inovadora que mantém a confiança por padrão, aplica o conceito de privilégio mínimo, fornece monitoramento abrangente de segurança e alcança os melhores resultados futuros.
Usando a segmentação zero trust
Existem diversos casos de uso para os quais o ZTS é uma solução ideal, e você pode encontrar mais detalhes sobre eles no Capítulo 7. Os usos incluem situações muito específicas, bem como uma conquista mais geral de segurança contínua e capacidade de responder rapidamente a ameaças.
A contenção de ransomware é de importância cada vez maior e é um caso de uso em que o ZTS realmente se destaca. É essencial para uma resposta bem-sucedida a incidentes, permitindo colocar em quarentena partes da infraestrutura que podem estar comprometidas e criar bolhas limpas no ambiente.
Esse recurso é essencial para impedir a disseminação lateral de atividades maliciosas e garantir que uma pequena violação permaneça pequena. Quanto mais eficazmente você conseguir conter os danos, mais curto será o caminho para a recuperação. Com o ZTS, é possível agir incrivelmente rápido para lidar com uma violação.
Enquanto as organizações, no passado, gastavam um tempo valioso tentando entender a intenção do malware, a abordagem mais rápida é simplesmente fechar a porta do celeiro e, em seguida, lidar com o intruso.
ZTS significa que é apenas um celeiro muito pequeno cuja porta foi fechada. Na verdade, não se trata apenas de fechar a porta rapidamente quando uma violação é descoberta. O ZTS garante que a porta do celeiro esteja aberta apenas quando necessário e apenas pelos motivos certos e predeterminados.
Tudo isso ajuda tremendamente a manter a organização como um todo em funcionamento enquanto a atividade maliciosa é eliminada da área comprometida. As manchetes assustadoras que você lê geralmente envolvem ataques com um impacto enorme, aqueles que paralisam uma cadeia de suprimentos inteira ou forçam um sistema de saúde a voltar aos dias de registros em papel por dias ou semanas.
Talvez a melhor maneira de descrever este caso de uso seja o desejo por maior resiliência. É isso que os executivos da área de negócios geralmente esperam alcançar com esse tipo de iniciativa, geralmente após ouvirem sobre algo que aconteceu com outra pessoa no setor.
O desejo é tornar a arquitetura da sua organização não apenas mais segura, mas também mais resiliente, capaz de se recuperar mais rapidamente do ataque inevitável. Para uma organização de saúde, isso significa garantir que um incidente afete apenas um dispositivo médico, não todos eles. Para um fabricante de cerveja, é garantir que o lúpulo continue circulando na maioria das fábricas, mesmo que haja uma infiltração em uma área.
Além de aumentar a resiliência diante de incidentes de ransomware e outros ataques, o ZTS é útil para uma série de casos de uso importantes. Por exemplo:
- Rumo à nuvem: o ZTS ajuda sua organização a migrar com segurança cargas de trabalho de um data center local para a nuvem ou de um local da nuvem para outro. Você pode fazer a mudança de forma segura, com total visibilidade e a garantia de que você manterá políticas de segurança consistentes de um local para outro.
- Integrando TI e tecnologia operacional (TO): A convergência de TI e TO é inevitável. Sistemas de manufatura, equipamentos industriais, sistemas de energia, tecnologia de saúde e outras tecnologias operacionais estão constantemente se integrando à TI, o que é essencial para aprimorar as operações, mas potencialmente arriscado do ponto de vista da segurança cibernética. O ZTS ajuda a garantir que nem a TI nem a TO fiquem superexpostas à medida que se integram.
- Estreitando o raio de confiança: Antigamente, a confiança terminava onde a internet começava, imposta por um firewall, roteador ou switch. Hoje, o perímetro se deteriorou e os ambientes de TI são muito mais complexos — e está claro que os ataques podem encontrar seu caminho por meio de pessoas de dentro, muitas vezes inconscientes, mas honestas, ou por meio de brechas não intencionais criadas pela rápida expansão e transformação digital. Por esse motivo, construir um modelo de acesso com privilégios mínimos é essencial, estreitando o raio de ataque ao nível da carga de trabalho.
- Alinhando a higiene da segurança: Você quer garantir que sua organização siga as melhores práticas de gerenciamento de vulnerabilidades, mitigação de riscos, gerenciamento de caminhos e outras atividades. O ZTS desempenha um papel importante nisso.
- Monitorando as interações de software: Há muito código-fonte aberto por aí, em meio a compilações personalizadas e como parte de software comercial. Também há muita conectividade entre componentes e infraestrutura, e a pandemia acelerou a evolução. Você precisa de visibilidade e controle sobre como o software interage com a infraestrutura onde ele está, e o ZTS oferece isso.
Transformando os negócios
As empresas mais bem-sucedidas são aquelas que conseguem transformar a si mesmas, suas operações e suas missões para atender às necessidades e expectativas em constante mudança de seus clientes.
A TI tem sido uma poderosa facilitadora da transformação, e isso nunca ficou tão claro quanto durante os recentes anos de pandemia, quando a transformação de muitas atividades diárias comuns acelerou drasticamente.
De repente, grandes porcentagens de funcionários estavam trabalhando em casa. Novos modelos permitiram a entrega de praticamente qualquer coisa para quase todos os lugares. Interações sem dinheiro e sem contato tornaram-se altamente valorizadas. Houve aumento da automação no setor bancário, e mais pessoas estavam baixando cartões digitais de entrada de quartos de hotel e chaves digitais de aluguel de carros.
Mas as transformações de TI também podem abrir portas para riscos novos e, às vezes, mal compreendidos. Às vezes, as empresas se transformam mais rapidamente do que o seguro, automatizando e conectando-se a novas vulnerabilidades.
O papel de quem trabalha com segurança cibernética é proteger a empresa contra incidentes cibernéticos, mas esses profissionais também devem equilibrar as prioridades de segurança com os objetivos do negócio.
A concorrência não espera, então a equipe de segurança nem sempre pode dizer “não” — em resumo, ela deve garantir altos níveis de segurança e maior resiliência, sem atrapalhar a transformação.
Existem quatro maneiras básicas pelas quais o cenário da transformação empresarial pode se concretizar:
- Conservadores digitais: Essas organizações dão baixa prioridade à transformação digital e, por isso, sentem que estão bastante seguras do ponto de vista da segurança cibernética. Alerta de spoiler: Além de serem pouco proativas em transformação, se não se concentrarem na resiliência cibernética, não estão tão seguras quanto pensam.
- Bloqueadores de segurança: Essas são as organizações que levam a resiliência da segurança cibernética a sério e, como tal, estão mais seguras do que os conservadores digitais. Mas suas visões sobre o que é preciso para estar seguro prejudicam sua capacidade de transformação.
- Cibervelocistas: Essas são as organizações tão entusiasmadas com a transformação digital que sua revolução se antecipa à sua segurança. Elas estão arrasando com suas ideias transformadoras, enquanto avançam para um território significativamente arriscado. Os desafios e as oportunidades resultantes da pandemia certamente incentivaram muita corrida cibernética.
- Líderes cibernéticos: Essas organizações encontraram o equilíbrio certo para transformar os negócios com sucesso e segurança. Elas buscam uma transformação digital poderosa, mas também levam a resiliência da segurança cibernética a sério. A ZTS é a maneira ideal de alcançar o equilíbrio necessário para ser uma empresa produtiva, mas segura — uma verdadeira líder cibernética.
Como a ZTS alcança esse equilíbrio e possibilita a transformação?
Ajudando a implantação de segurança a amadurecer de uma abordagem reativa para uma proatividade.
Com um modelo de privilégios mínimos, a equipe de segurança entende qual acesso é necessário para que uma capacidade transformadora funcione e, em seguida, transforma o acesso para atender a esse requisito.
A postura de segurança caminha lado a lado com a postura da capacidade tecnológica à medida que ela evolui. Em comparação com as organizações bloqueadoras de segurança, os líderes cibernéticos percebem que provavelmente serão atingidos por algum tipo de ataque, então se planejam para isso. Os bloqueadores visam interromper todos os ataques e acabam interrompendo também a transformação. Os líderes cibernéticos descobrem como ser resilientes para que possam continuar quando um ataque acontece.
Estabelecendo objetivos de segurança
Geralmente, você não inicia uma jornada sem saber para onde está indo. Para empresas que decidiram seguir o caminho do ZTS, uma das primeiras tarefas é estabelecer objetivos de segurança.
Sua organização deve determinar sua postura de segurança para reforçá-la. E você nunca terá certeza se está vencendo se não primeiro descobrir o que é sucesso. Este é um daqueles lugares onde você não deve deixar o perfeito ser inimigo do bom, porque implementar o ZTS é, na verdade, uma questão de evolução, em vez de revolução.
Sim, pode haver um estado final muito impressionante e grandioso que você gostaria de alcançar. Mas muitos projetos fracassam porque se concentram nesse estado final como a única medida de sucesso. É melhor buscar algumas vitórias menores antes de almejar o campeonato. Não há nenhuma vergonha em ir atrás de algo mais fácil.
A visibilidade é um ótimo objetivo inicial. É uma parte essencial para melhorar sua postura de segurança e evoluir da reatividade para uma postura mais proativa. A visibilidade ajuda você a avaliar seus riscos e, para muitas organizações, obter visibilidade em todos os lugares parece uma grande vitória por si só.
Outro bom passo é alcançar uma melhoria na proteção contra ransomware. Outro passo ainda é estabelecer a segmentação ambiental. Para algumas organizações, o sucesso final significa garantir que cada aplicativo esteja devidamente protegido, mas esse tipo de sucesso provavelmente virá mais adiante.
O nível de proteção desejado é uma questão fundamental a ser determinada ao definir objetivos. Uma solução ZTS estabelecerá regras para o que é permitido e o que não é, e programará essa política de segurança no ponto de controle apropriado para proteger cargas de trabalho individuais.
Proteção total significa que apenas conexões explicitamente permitidas podem ser estabelecidas, enquanto todas as outras comunicações desnecessárias são negadas. É desnecessário dizer que a proteção total é muito mais abrangente e complexa, e leva mais tempo para chegar lá.
A questão é que cada organização tem seu próprio conceito de sucesso. Sucesso em ZTS não significa necessariamente que todos os pontos de acesso estejam operando imediatamente em um modelo de privilégio mínimo, mas geralmente significa que a infraestrutura está se movendo na direção de uma confiança cada vez menos implícita
Também é possível chegar a um ponto em que o custo excede o benefício. Nesse ponto, a organização decide que já fez o suficiente e o sucesso foi alcançado. Estabelecer objetivos de segurança envolve uma conversa entre várias partes da organização. Todas as partes interessadas precisam alinhar suas metas e objetivos para evitar frustração ou insatisfação com o processo.
Tornar-se mais resiliente costuma ser um objetivo geral, e é um bom objetivo, mas é uma jornada. A chave é não se apegar demais ao estado perfeito. Com apenas uma série de etapas relativamente simples, você pode reduzir significativamente os riscos, limitar proativamente a comunicação lateral para reduzir o impacto de um evento cibernético e aumentar sua capacidade de responder a ameaças.
Observando a superfície de ataque
É uma guerra lá fora, uma guerra que coloca você contra cibercriminosos nefastos. Como em qualquer guerra, você precisa ser capaz de se defender e, para isso, precisa saber onde está vulnerável. Este capítulo discute a superfície de ataque que você está tentando proteger, quais são os ativos que os criminosos buscam e como o contexto da atividade se encaixa. Também ajuda a identificar quais riscos estão no topo da lista.
Percebendo as vulnerabilidades
Toda a busca pela segurança cibernética consiste em prevenir e lidar com ataques, e a superfície de ataque é praticamente a soma total das coisas que você está tentando proteger de um invasor. A superfície de ataque refere-se a todos os ativos de tecnologia da informação (TI) da organização que estão potencialmente expostos aos criminosos.
O que quero dizer com “expostos”? Estou falando de ativos que podem ter vulnerabilidades físicas ou digitais que um usuário não autorizado pode aproveitar para obter acesso à rede e extrair ou danificar os dados dela.
A propósito, as pessoas também podem ser consideradas parte da superfície de ataque. Isso porque elas são frequentemente alvos de e-mails de phishing e outras iniciativas de engenharia social. Assim como seus ativos de TI, seus funcionários precisam estar prontos para se defender e defender sua organização.
Aqui estão os tipos de superfícies de ataque que você precisa conhecer:
- Superfície de ataque digital: Todos os computadores, servidores e outros dispositivos conectados à internet estão expostos a ataques, o que significa que os dispositivos em execução neles fazem parte da superfície de ataque digital. Exemplos incluem sites, bancos de dados, sistemas operacionais, aplicativos, recursos de nuvem e cargas de trabalho, além dos serviços de seus provedores terceirizados.
- Superfície de ataque do dispositivo: Refere-se a todo o hardware e dispositivos físicos da sua organização, e a quaisquer dispositivos de funcionários que possam se conectar à rede corporativa. Isso inclui estações de trabalho e laptops, dispositivos móveis, roteadores e switches, TVs e câmeras de segurança, até mesmo impressoras. Acessar um dispositivo pode potencialmente permitir que um invasor se mova lateralmente pela rede para acessar outros alvos.
- Superfície de ataque de engenharia social: Seus funcionários, mesmo os mais honestos, podem representar riscos à segurança quando são alvo de ataques de engenharia social. Esse é um termo sofisticado para enganar seus funcionários a fazer algo que não fariam de outra forma. O phishing por e-mail tenta fazer com que eles abram um anexo infectado por malware ou cliquem em um link malicioso. Um funcionário pode inadvertidamente deixar um invasor entrar literalmente também, disfarçado de técnico ou zelador. Ou alguém pode implantar um pendrive que um funcionário conecta, querendo ver o que há nele e sem perceber que a resposta é malware.
Vendo o que você está protegendo
Você pode achar um pouco assustador considerar o quão ampla é a superfície de ataque. Mas, como em tantas outras áreas da vida, você não pode realmente resolver um problema até reconhecer que tem um problema e entender sua extensão.
É disso que se trata a visibilidade — entender completamente o que você precisa proteger e obter a capacidade de ver o que está acontecendo.
A jornada para uma segurança maior começa com um mapeamento cuidadoso da superfície de ataque, traçando um panorama abrangente dos locais potencialmente vulneráveis e documentando exatamente o que os torna vulneráveis. Isso significa levar em consideração todos os potenciais vetores de ataque, que são os caminhos que os invasores usam para invadir a rede. Aqui estão alguns exemplos:
- Credenciais comprometidas: Quando nomes de usuário e senhas caem em mãos erradas, coisas ruins acontecem. O problema mais comum é quando os funcionários se tornam vítimas de phishing e inserem seus logins em sites falsos.
- Senhas fracas: Podem ser as antigas senhas padrão de “123456” ou “senha” ou outras tentativas fracas. Ou quando as pessoas usam a mesma senha em muitos lugares.
- Pessoas mal intencionadas: Este problema é menos comum do que ações não intencionais de funcionários honestos, mas às vezes funcionários insatisfeitos expõem informações confidenciais de propósito.
- Ransomware: Este tipo de ataque geralmente bloqueia seus dados para que somente o invasor possa desbloqueá-los, após o pagamento do resgate, é claro.
- Erros relacionados a firewall: Configure um firewall incorretamente e pessoas mal-intencionadas podem entrar. O mesmo problema pode ocorrer se uma carga de trabalho pública estiver configurada incorretamente. É importante auditar regularmente firewalls e cargas de trabalho públicas.
Uma boa compreensão da superfície de ataque destaca melhores maneiras de proteger a organização, reduzindo a superfície de ataque. Aqui estão algumas das abordagens possíveis:
- Implementar segmentação para conter o movimento lateral de invasores que conseguem entrar
- Controlar regras de acesso excessivamente permissivas, para que os funcionários possam acessar apenas os ativos de que precisam para realizar o trabalho
- Treinar os funcionários para reconhecer e resistir a esforços de engenharia social direcionados a eles, filtrar sua atividade na internet para mantê-los longe de sites perigosos e exigir senhas mais seguras e complexas, juntamente com a verificação MFA e atualizações regulares para lidar proativamente com vulnerabilidades
- Adicionar ou aumentar a criptografia
- Encontrar e corrigir configurações incorretas de segurança na nuvem
Colocando tudo em contexto
O contexto é fundamental quando você busca estabelecer o equilíbrio certo entre acessibilidade e segurança. Sua solução de Segmentação Zero Trust (ZTS) precisa considerar muito mais do que apenas quem está falando com quem.
Se tudo o que você sabe é que este recurso específico está se comunicando com aquele outro recurso ali, você não pode realmente tirar conclusões sólidas sobre se essa interação é permitida e segura.
Você precisa saber quais são os recursos, qual a função que eles desempenham, qual é o aplicativo ou usuário, onde ele está e muito mais. Considere, por exemplo, a porta do Protocolo de Área de Trabalho Remota (RDP).
Muitas interações vitais utilizam a porta RDP, mas ela também é um caminho popular para ransomware. Se você puder remover o RDP ou restringir efetivamente seu acesso, poderá impedir muitos ransomwares em seu caminho.
É aí que o contexto entra em jogo. É como seu sistema determina se há um motivo válido para uma conexão RDP. Aqui estão algumas das considerações contextuais mais comuns:
- Função: Qual a função deste servidor na pilha de aplicativos?
- Aplicativo: Qual é o aplicativo ou função de negócios?
- Ambiente: Está em produção, em desenvolvimento ou em preparação?
- Localização: Onde está a localização física do recurso ou usuário?
Com um ZTS eficaz, todos os seus recursos são rotulados por esses tipos de detalhes de contexto. A questão é que, se qualquer um desses fatores mudar, o contexto muda. E se o contexto mudar, a permissão de uma interação pode mudar.
Isso torna o contexto muito mais útil do que, digamos, um endereço IP ou o nome do host de uma estação de trabalho. Uma regra de firewall pode se aplicar a uma estação de trabalho específica, mas não leva em consideração se o usuário muda de estação de trabalho, função ou carga de trabalho.
Uma política de segurança que leva em conta o contexto pode fazer um trabalho muito melhor ao permitir a atividade correta e interromper a atividade prejudicial. Ela permite que você escreva regras rigorosamente, para que conexões potencialmente arriscadas possam ser restritas apenas a fontes autorizadas para funções autorizadas.
Identificando ativos
Em última análise, se você pretende proteger seus aplicativos e dados de intrusos, precisa entender completamente como eles interagem e interdependem. E você precisa entender isso melhor do que seus possíveis inimigos.
Isso requer um esforço abrangente para identificar ativos e mapear as dependências dos aplicativos. É uma parte fundamental da visibilidade sobre a qual falo neste capítulo.
Nas arquiteturas híbridas e complexas de hoje, seus ativos estão em todos os lugares. Seu olhar atento precisa observar data centers, servidores bare-metal, endpoints, a nuvem, todas as suas tecnologias operacionais e tudo o mais. Ele precisa saber tudo o que há para saber sobre ambientes altamente dinâmicos, incluindo plataformas virtualizadas, conteinerizadas e em nuvem entre as quais os aplicativos podem migrar.
O processo de mapeamento de dependências de aplicativos fornece visibilidade total da topologia do aplicativo. Ele permite que você saiba onde seus ativos de maior valor estão localizados em seus ambientes e quais tipos de fluxos de tráfego podem alcançá-los.
Ele também esclarece as políticas de segurança que monitoram e controlam os fluxos de tráfego, ajudando você a identificar as falhas. Adotar uma abordagem de segurança sensível ao aplicativo é muito mais poderoso do que simplesmente escanear a infraestrutura. Entender como os aplicativos funcionam e interagem pode fornecer insights mais profundos sobre como eles podem ser alvos, o que permite um melhor planejamento para isolá-los e protegê-los.
Priorizando riscos
Se você chegou até aqui no livro, entendeu que os riscos estão por toda parte. Em uma rede grande e complexa, muitas interações extremamente importantes estão ocorrendo — interações que não são apenas cruciais para a inovação, mas também um convite para problemas.
Algumas ameaças são mais urgentes do que outras, e você obterá o máximo de seus esforços de segurança se avaliar as vulnerabilidades para priorizar os riscos de ransomware. Sua equipe de TI tem apenas uma largura de banda limitada, portanto, precisa estabelecer prioridades de risco.
Aumentar sua visibilidade com dados valiosos sobre comunicações ajuda nesse esforço. Interromper o malware significa bloquear as portas que ele deseja usar para saltar de um aplicativo ou máquina para outro. Mas você também precisa saber quais portas devem permanecer abertas entre os sistemas para manter os serviços essenciais em operação.
A visibilidade em tempo real da comunicação entre ativos ajudará a identificar portas abertas desnecessariamente. Também pode ajudar a identificar quais portas apresentam o maior risco. Por exemplo, portas altamente conectadas usadas pelo Microsoft Active Directory e outros serviços essenciais apresentam um alto nível de risco. O monitoramento e os relatórios de sistemas sobre a infraestrutura de TI também podem trazer riscos que precisam ser priorizados. Portas ponto a ponto também podem ser significativamente arriscadas — incluindo aquelas usadas para tarefas como gerenciamento remoto de desktops e aplicativos de compartilhamento de arquivos.
Outro problema de alta prioridade a ser resolvido são os protocolos de comunicação antigos, como o Protocolo de Transferência de Arquivos (FTP) e o Telnet. Esses protocolos podem não ser mais muito usados, e a política de segurança pode até limitar seu uso. No entanto, eles tendem a permanecer ativos por padrão, o que os torna alvos atraentes.
O mapeamento de vulnerabilidades deve gerar pontuações de exposição à vulnerabilidade. Essa abordagem facilita a determinação de onde estão os maiores riscos — apontando onde concentrar primeiro os esforços de segmentação.
Respondendo e isolando ransomwares
Se você pretende frustrar invasores, precisa saber como eles se movem. E você deve ter um bom controle sobre o que está acontecendo em sua rede.
Este capítulo discute o movimento lateral, o caminho preferido dos cibercriminosos e como você pode impedir que o ransomware se espalhe. Ele mostra o poder da visibilidade em seu ambiente de tecnologia da informação (TI), explica como o objetivo geral é a resiliência e explora como conter danos também em tecnologia operacional (TO).
Movimento lateral
Ter um cibercriminoso invadindo sua rede já é ruim o suficiente. Mas o que é realmente ruim é o que pode acontecer em seguida: movimento lateral. Movimento lateral é apenas uma maneira sofisticada de dizer que cibercriminosos e malware querem se mover ou se espalhar pela sua organização para encontrar dados e ativos valiosos.
Após atravessarem um endpoint e entrarem na rede sob o disfarce de um usuário autorizado, os hackers buscam se aprofundar no sistema. Eles buscam dados confidenciais, propriedade intelectual ou outros ativos de alto valor. Eles se movem de um ativo para outro, percorrendo o sistema comprometido, frequentemente roubando privilégios avançados de acesso de usuários ao longo do caminho.
Isso é movimento lateral e é uma tática central dos ciberataques. É uma das maneiras pelas quais os ciberataques atuais podem ser mais complexos e prejudiciais do que as violações de antigamente. Um dos grandes objetivos de uma estratégia de contenção de violações é detectar o movimento lateral rapidamente e interrompê-lo.
Para entender o problema do movimento lateral, é útil considerar o que os invasores procuram enquanto realizam seus movimentos laterais. Aqui estão alguns dos objetivos comuns e o que eles buscam:
- Eles podem estar roubando dados intelectuais, como o código-fonte de um projeto, do dispositivo de trabalho de um desenvolvedor.
- Eles podem estar tentando acessar o e-mail de um executivo para roubar dados bancários ou obter informações confidenciais da empresa que poderiam ser usadas para manipular ou tirar vantagem dos preços das ações.
- Eles podem estar procurando outras credenciais ou meios para aumentar seus privilégios ilícitos.
- Eles podem estar procurando dados de clientes, incluindo informações de cartões de pagamento.
- Pode haver algum outro tipo de ativo específico da empresa ou carga útil valiosa que eles estejam buscando.
Seja lá o que estejam fazendo, eles estão se movimentando pela rede em direção ao seu objetivo final. Ao fazer essas movimentações, eles normalmente seguem três estágios comuns de movimentação lateral:
Reconhecimento: Este é um estágio inicial em que o invasor está basicamente olhando ao redor. Isso significa explorar e mapear a rede, os dispositivos e os usuários. Trata-se de familiarizar-se com hierarquias de rede, convenções de nomenclatura de host, sistemas operacionais, localização de payloads e insights para fazer movimentações laterais adicionais.
- Obtenção de privilégios: A melhor maneira de um invasor contornar uma rede sem ser notado é fingir que pertence a ela, o que significa obter credenciais de login válidas. A obtenção ilegal de credenciais de rede costuma ser chamada de dumping de credenciais, e os cibercriminosos costumam fazer isso por meio de ataques de phishing ou typosquatting, que envolvem a criação de uma armadilha com uma URL que parece legítima, mas pode conter um pequeno erro de ortografia ou erro de digitação do site real.
- Saltos: Uma vez dentro, o invasor obtém acesso a outros pontos de comunicação e computação na rede, ignorando os controles de segurança e comprometendo ainda mais dispositivos. Ou seja, movendo-se lateralmente repetidamente, até que o invasor conclua o trabalho ou seja detectado e seja interrompido.
Essa etapa intermediária de obtenção de privilégios adicionais pode ajudar o agente da ameaça a permanecer no sistema por um longo período, mesmo que a equipe de TI tenha descoberto a infecção inicial do sistema. Isso permite livre movimentação com acesso contínuo e sem detecção.
Permanecer e se movimentar livremente é o que chamamos de tempo de permanência, e você ficaria chocado com a duração desse tempo. A movimentação lateral pelo sistema às vezes pode durar semanas ou até meses após a violação inicial, deixando o sistema vulnerável ao roubo de dados. Um estudo descobriu que pode levar 200 dias ou mais para detectar um ataque de phishing e muitos outros dias para contê-lo.
Identificando o inesperado
Essa possibilidade de um tempo de permanência tranquilo é um dos principais motivos pelos quais os invasores usam o movimento lateral como tática. Pode haver muito tempo para olhar ao redor, explorar tesouros e coletar novas credenciais. E com essas credenciais ilícitas, mas válidas, pode parecer que é um usuário legítimo circulando pela rede, em vez de um intruso.
Obter visibilidade total da superfície de ataque é uma das melhores maneiras de identificar essas ameaças inesperadas e indesejadas. Entender todos os sistemas, dispositivos e aplicativos em sua rede ajudará você a avaliar o que precisa ser protegido e segmentado adequadamente. Você precisa estar totalmente ciente dos possíveis caminhos de ataque, bem como das credenciais expostas e de quaisquer configurações incorretas.
É disso que se trata a visibilidade baseada em risco. Trata-se de identificar quais sistemas e aplicativos se tornam vulneráveis por excesso de comunicação desnecessária, bem como por fluxos de dados fora de conformidade.
Mapas de dependências de aplicativos criam um panorama da topologia do aplicativo, facilitando a visualização dos relacionamentos entre os aplicativos e a compreensão de como os protocolos funcionam no ambiente de produção. Dados de vulnerabilidade podem fornecer insights adicionais gerando pontuações quantitativas de risco.
Impedindo a propagação
Ransomware é assustador e perigoso, mas a boa notícia é que ele também é previsível na forma como se move. Essa previsibilidade torna possível tomar medidas proativas para impedir sua propagação.
Como descrito anteriormente, o malware entra por meio de alguma via vulnerável. Então, se não for detectado e controlado, pode se espalhar lateralmente por redes, dispositivos e servidores.
Uma vez instalado, é ativado e começa a causar estragos. Aqui estão três etapas principais para impedir a propagação de ransomware.
Eliminando conexões desnecessárias
É assim que você isola e protege seus ativos críticos. O objetivo é eliminar caminhos desnecessários entre dispositivos e redes, permitindo apenas as comunicações necessárias e otimizando os fluxos de trabalho.
Por exemplo, considere uma videoconferência. O laptop do host não precisa se comunicar diretamente com outro dispositivo conectado à reunião por meio das portas RDP (Remote Desktop Protocol) ou SMB (Server Message Block). O fechamento dessas portas fortalecerá a segurança sem impactar a videoconferência.
Você pode atingir esse objetivo bloqueando todas as comunicações entre portas individuais, como sugerido no exemplo anterior. Você pode fazer isso para um único aplicativo ou em uma determinada localização geográfica, ou pode fazer isso em toda a rede.
Quando se trata de fechar portas de entrada e saída, você pode fazer isso de forma proativa e reativa. Trabalhar proativamente é como trancar a porta à noite — você está tomando medidas por precaução, prevenindo algo que possa acontecer. Depois de identificar seus ativos e aplicativos de maior valor, isole-os em anéis de proteção.
Essa é uma medida proativa que os mantém protegidos contra malware que se intromete em outros lugares. Trabalhar reativamente significa ter políticas em vigor em caso de violação ou atividade suspeita e, em seguida, responder quando os incidentes ocorrerem. Observe que, embora a ação ocorra de forma reativa, isso ainda exige planejamento proativo. Algumas considerações rápidas:
- Raramente há necessidade de servidores não gerenciais usarem portas vulneráveis que permitem a comunicação ponto a ponto, como RDP e SMB. Essas portas são os vetores mais comuns para malware, portanto, desligá-las fará um grande bem preventivo.
- Portas usadas por bancos de dados e serviços principais, como aqueles incluídos em aplicativos Linux, costumam ser antigas e vulneráveis. Controles e políticas baseados em risco no lado de entrada das máquinas no data center podem ajudar a corrigir essas vulnerabilidades. E a maioria dos servidores de data center tem pouca ou nenhuma necessidade de se comunicar com a internet.
- Quando você reforça as comunicações para impedir que dados não autorizados saiam da organização, isso pode interromper a função de comando e controle do ransomware. Isso impede que o ransomware seja acionado de fora. Você pode fazer o mesmo com sistemas em nuvem e permissões de acesso do usuário mais amplas do que o necessário.
Usando a visibilidade
É importante coletar dados de conexão e informações de fluxo da sua infraestrutura, incluindo roteadores e switches locais, bem como nuvens e outros sistemas de usuário final. Isso ajuda a criar mapas de dependências de aplicativos.
Com essa visibilidade, os administradores podem tomar decisões sólidas sobre quais ativos devem se comunicar entre si e quais não devem não. Isso leva a políticas proativas que servem para conter ativos e sistemas críticos. Essas políticas podem funcionar em todas as máquinas, switches de rede, firewalls nativos da nuvem e outras áreas.
O objetivo final é garantir que, se houver uma violação entre dois usuários, ela não afete nenhum outro usuário ou ativo na nuvem ou no data center.
Melhorando as respostas a intrusões
Muito do que descrevi anteriormente é de natureza preventiva. Mas você também precisa ser capaz de reagir de forma rápida e eficaz quando intrusões ocorrem — afinal, você está trabalhando com a presunção de que elas irão acontecer.
Se você detectar atividades suspeitas, pode ser necessário imediatamente colocar barreiras em torno de bancos de dados principais, sistemas de pagamento, registros médicos ou outros itens confidenciais. Essa é uma capacidade de contenção potencialmente mais restritiva do que você gostaria de executar no dia a dia e exige a criação de políticas secundárias para serem ativadas como parte da resposta a incidentes, para interromper o malware em seu caminho.
Esse tipo de capacidade é uma poderosa combinação de proatividade e reação. Para que isso aconteça, é preciso planejar com antecedência o dia em que ela ocorre. Também requer a capacidade de identificar o tráfego fluindo de maneiras inesperadas. Isso significa visibilidade de suas cargas de trabalho onde quer que estejam em execução, seja no data center, na nuvem ou em qualquer outro lugar. Um mapa visual mostra onde você precisa fechar a porta.
Construindo resiliência
Sem querer insistir, mas vale a pena reiterar que coisas vão acontecer. Sim, sempre será importante proteger o portão, mas o verdadeiro objetivo daqui para frente é resiliência — ser capaz de resistir a um ataque e se recuperar rapidamente. Existem quatro princípios fundamentais para construir resiliência:
- Observe seus fluxos de comunicação interna. A visibilidade dos fluxos de comunicação é a chave para detectar ataques de ransomware precocemente, antes que se espalhem muito. Também é uma ótima maneira de identificar caminhos que você não percebeu que estavam abertos, antes que os criminosos percebam.
- Bloqueie caminhos de ransomware. A maioria dos ataques de ransomware explora um pequeno conjunto de caminhos de alto risco, incluindo RDP e SMB. Se esses serviços forem deixados abertos desnecessariamente, eles oferecem aos invasores um caminho fácil para dentro e ao redor da rede. Portanto, bloqueie-os quando puder. Abra apenas aqueles que realmente precisam permanecer abertos, fique de olho neles e esteja pronto para bloquear o ambiente ao detectar atividade suspeita.
- Proteja seus ativos. Os ativos que você mais valoriza são também aqueles que os invasores valorizam muito. Eles começarão com um ativo de menor valor, avançarão pela rede e frequentemente se esconderão até encontrarem o ouro. Portanto, sempre proteja esses ativos de alto valor segmentando seu ambiente, cercando-os com anéis e cercas e colocando obstáculos nos caminhos até eles.
- Use as ferramentas certas. Firewalls manuais e ferramentas similares de segmentação de rede foram criadas anos e anos atrás, para arquiteturas e ameaças muito diferentes das atuais. Essas três recomendações listadas logo antes desta? Ferramentas mais antigas geralmente não fazem isso. Você precisa de ferramentas modernas projetadas para proteger os ambientes atuais das ameaças de hoje (e de amanhã).
Contendo violações tecnológicas operacionais
Com toda a discussão sobre segurança de TI, às vezes a TO é ofuscada. Mas, dependendo da natureza do seu negócio, você pode ter muitos dispositivos para fins especiais em redes de TI realizando tarefas críticas. Eles podem ser sensores, motores, controladores lógicos programáveis, unidades terminais remotas e uma série de outros dispositivos que impulsionam operações em locais como fábricas, instalações médicas, usinas de energia e redes de serviços públicos, além de outros locais vitais.
Se eles realizam trabalho vital, você pode apostar que são alvos valiosos para cibercriminosos. Às vezes, os dispositivos de TO são isolados, o que significa que não estão fisicamente conectados às redes de TI. Mas, atualmente, há muitos usos poderosos para TO que exigem que eles estejam conectados. Em outras palavras, eles exigem convergência TI/TO.
Os mesmos princípios que protegem os ambientes de TI podem proteger também o mundo da TO. Isso inclui visibilidade das atividades, comunicação e detalhes de configuração. Isso é fundamental para identificar e prevenir movimentos laterais no ambiente de TO.
Você também precisa de um mecanismo de política de Segmentação Zero Trust que possa separar tudo o que precisa ser separado, TI ou TO. E então você precisa ser capaz de aplicar as políticas sem desligar as redes críticas de TI e TO. O objetivo é manter o negócio funcionando, mesmo diante de problemas, sem ter que implementar controles que atrapalhem o desempenho.
Protegendo aplicativos
Seus aplicativos e os dados que eles processam são extremamente valiosos para você e para os criminosos que se preparam para atacá-lo.
Sua empresa precisa continuar avançando mesmo com os ataques acontecendo, então você precisa proteger seus aplicativos. Este capítulo mostra como reduzir o impacto de um ataque e como saber por onde começar sua jornada rumo à Segmentação Zero Trust (ZTS). Ele descreve como agir de forma rápida e inteligente e destaca a importância de manter a disponibilidade dos aplicativos mesmo ao aumentar a segurança.
Reduzindo o raio de explosão
As coisas que você mais valoriza também serão de maior valor para potenciais invasores. Isso inclui aplicativos que fornecem serviços críticos, os locais onde você armazena seus dados confidenciais ou informações de identificação pessoal (PII) e outros recursos regulamentados por vários mandatos de conformidade, como a Lei Sarbanes-Oxley ou a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA).
É por isso que a segmentação de aplicativos é fundamental. É como você controla as comunicações laterais entre aplicativos ou camadas de aplicativos. O ring-fencing protege recursos de alto valor executados em hipervisores bare-metal ou cargas de trabalho em contêineres em seus data centers, nuvens públicas ou ambientes híbridos.
Se parece complicado, pode ser — mas não precisa ser. Com as ferramentas certas, é surpreendentemente simples criar políticas e entregar um único plano de controle para criar e operacionalizar a segurança em todos os perímetros da rede. Você pode decidir o quão granular sua segmentação precisa ser — granular ou microssegmentada. E você pode atender aos requisitos de conformidade sem rearquitetar a rede.
Descobrindo por onde começar
Vamos dizer logo de cara que a perfeição leva tempo. Mas o ZTS não é uma coisa do tipo tudo ou nada. Não só é possível, como frequentemente aconselhável, começar com aplicativos de alto valor, bem como com as vitórias mais fáceis.
Os ativos de alto valor mais óbvios são coisas como detalhes da conta do cliente e outras PII, bem como sistemas de pagamento e outros ativos financeiros. Também no topo da lista devem estar os recursos que se enquadram em qualquer tipo de mandato de conformidade regulatória. Esses são todos os tipos de coisas que, se expostas ou exploradas, podem causar perdas financeiras significativas, interrupções operacionais ou danos à reputação.
Mas não se esqueça dos ativos que podem ser de alto valor, mas temporários. As empresas perceberam, posteriormente, que algo como um cupom de desconto de feriado ou uma promoção da Cyber Monday pode ser usado para fins nefastos. Esses itens normalmente não estão incluídos na lista das “joias da coroa”, mas ainda podem ter valor significativo para um invasor.
Além disso, por serem um pouco mais fugazes do que um aplicativo permanente ou elemento de infraestrutura, eles podem não passar por tantos testes de segurança antes de entrarem em produção. Esses ativos podem não precisar do mesmo nível de proteção que outros itens no topo da lista, mas não os deixe passar despercebidos.
Tomando decisões rápidas, mas inteligentes
No mundo da oncologia, é importante fazer o diagnóstico correto para determinar o tratamento adequado. Isso pode exigir exames de imagem, biópsias e outras abordagens diagnósticas, que podem levar algum tempo.
A segurança de TI, no passado, às vezes tinha uma mentalidade semelhante. Identifique algo suspeito e tente descobrir o que exatamente está acontecendo para planejar a resposta mais adequada. Essa abordagem pode parecer sensata, mas, atualmente, não é rápida o suficiente.
A primeira prioridade não deveria ser impedir que um ataque se espalhe ainda mais? A abordagem ZTS faz exatamente isso. Ativos de alto valor em toda a organização são protegidos individualmente, de uma forma tão gerenciável quanto abrangente.
Além disso, com um switch de contenção, a ferramenta certa pode fechar as portas rapidamente ao primeiro sinal de um possível ataque e impedir que um ataque se mova para qualquer outro lugar da rede.
Quando uma atividade suspeita é detectada, esse interruptor pode ser acionado — manualmente pela equipe de segurança ou como parte de um script, como um manual de Orquestração, Automação e Resposta de Segurança (SOAR).
Acionar esse interruptor pode, em segundos, isolar o ataque logo no ponto de entrada. Se for um ransomware, não avançará, dando aos analistas tempo para descobrir o que é e como corrigi-lo.
E, enquanto isso, um mapa de dependências de aplicativos mostra qual tráfego é necessário para manter as operações comerciais vitais em funcionamento enquanto o ataque é mitigado. Esse tráfego pode continuar a fluir, e a vida pode continuar.
É um conceito aparentemente simples, mas, claro, uma ideia tão poderosa está fadada a ser complexa. Há muitas políticas a serem criadas e aplicadas, para garantir proteção proativa e recursos reativos.
É aí que a ferramenta certa pode fazer toda a diferença. A proteção deve ser abrangente, mas se não for gerenciável, as regras podem ser ignoradas ou mal interpretadas. Ao escolher uma solução, preste atenção ao seu design para saber o quão simples e gerenciável será sua implementação.
Mantendo a disponibilidade dos aplicativos
No início deste livro, falo sobre os velhos tempos de defender o perímetro, construindo um fosso ao redor das instalações que efetivamente mantinha os malfeitores afastados. Essa era uma abordagem perfeitamente adequada na época.
Hoje, é claro, a transformação contínua dos negócios exige que os aplicativos atravessem esse fosso e vivam em todos os lugares, não apenas no local, mas também em ambientes de nuvem ou híbridos. Eles devem ser facilmente acessíveis às pessoas, bem como a outros aplicativos, instantaneamente prontos e absolutamente sempre disponíveis.
Esses são os aplicativos essenciais para os negócios. Você está perdido se eles forem comprometidos por malfeitores. Mas se a sua segurança comprometer a acessibilidade desses aplicativos, você estará igualmente perdido. Seu objetivo é melhorar a segurança em torno desses aplicativos essenciais que já estão em execução em sua organização, de maneiras que não comprometam a disponibilidade.
O ZTS atende a essa necessidade sob diversas perspectivas. Conforme descrito em outro lugar, ele permite altos níveis de proteção, além da capacidade de saber quais comunicações são essenciais e deixá-las passar. Possui paredes compartimentadas para limitar a disseminação de malware e portas cuidadosamente controladas que mantêm a disponibilidade e a acessibilidade.
Além disso, uma solução com boa visibilidade permite que as organizações prossigam com suas iniciativas de segurança de uma forma que lhes permita visualizar o impacto das medidas que estão prestes a tomar. Antes de pressionar o botão “iniciar”, elas podem determinar se uma política atingirá seus objetivos de segurança sem danificar o aplicativo.
Mantendo-se à frente no jogo
A Segmentação de Confiança Zero (ZTS) pode colocá-lo em uma posição muito melhor e mais resiliente, mas é preciso um esforço constante para não ficar para trás. Este capítulo destaca a necessidade de melhorias contínuas em segurança, discute como medir o sucesso, oferece conselhos para as próximas etapas e compartilha insights sobre por que a segurança precisa ser uma consideração inicial no ciclo de desenvolvimento.
Construindo um ciclo de otimização
Como a maioria das mudanças positivas — praticar mais exercícios, melhorar sua dieta, tomar melhores decisões financeiras — implementar a ZTS não é algo que se faz de uma vez só. É uma busca contínua.
Deste ponto em diante, você identificará novas oportunidades, projetará novas soluções, testará a eficácia da sua microssegmentação e implementará e validará suas soluções. E então você repetirá o ciclo inteiro indefinidamente.
Vários fatores impulsionam essa necessidade de um ciclo de otimização. O ambiente está em constante mudança. Servidores estão entrando e saindo do ar. Os desenvolvedores estão continuamente aprimorando seus aplicativos e, ocasionalmente, adicionando novos. Pode haver fusões e aquisições que alteram o cenário.
Todos esses tipos de mudanças alteram seu cenário de segurança e exigem uma reformulação das políticas. Só porque seus controles de segurança são válidos hoje, não significa que serão válidos amanhã. À medida que a infraestrutura evolui, sua segurança também evolui. A boa notícia é que, ao adicionar novos elementos ao cenário, você pode protegê-los desde o início.
Além disso, o aumento da visibilidade impulsiona uma melhor conscientização sobre o ambiente. Quanto mais você observa, mais vê que pode precisar de atenção. Isso significa mais mudanças de políticas e mais voltas neste ciclo de otimização.
Além disso, há a realidade de que sua implementação de Zero Trust não é apenas uma questão de apertar um botão e ele estará em vigor em todos os lugares. Seu trabalho amadurecerá com o tempo; você obterá maior resiliência em alguns aplicativos importantes e, em seguida, a impulsionará para outros.
Validando os resultados de segurança
Como você ganha confiança de que as medidas de segurança que implementou alcançarão os resultados desejados? Boa pergunta.
Certamente, cada dia que passa sem que sua organização seja debilitada por um ataque é um sinal de esperança. Mas viver no limite, aguardando uma catástrofe potencial, não é uma maneira divertida de viver.
Felizmente, existem muitas maneiras de validar seus resultados de segurança e provar que eles estão entregando os resultados esperados. Isso pode variar de testes básicos de controles de segurança até testes de penetração para verificar até onde os indivíduos conseguem atravessar sua rede.
Por exemplo, por meio de testes de penetração, você pode verificar como seus limites no Protocolo de Área de Trabalho Remota (RDP) impedirão que um invasor se mova de ativos de baixo valor para um banco de dados ou diretório ativo de maior valor.
Validar os resultados de segurança requer um domínio completo das táticas, técnicas e procedimentos adversários que os criminosos normalmente seguem ao planejar um ataque. Visibilidade da superfície de ataque e muitos dados relevantes sobre eventos podem ajudar você a determinar o sucesso da sua plataforma na detecção e no combate a ataques.
Testes contínuos dessa natureza são parte essencial do seu DNA Zero Trust. Vale a pena ocasionalmente trazer uma “equipe vermelha” independente para desempenhar o papel de invasor e ver como sua “equipe azul” é capaz de responder. De fato, agora é possível automatizar esse tipo de exercício de equipe vermelha versus equipe azul, para que você esteja sempre monitorando a eficácia dos controles de segurança e vendo como eles se sairiam contra adversários sofisticados.
Decidindo o próximo passo
Quanto mais você avançar nesse caminho, mais fácil será encontrar o seu caminho e descobrir o que precisa ser melhorado em seguida. Para começar, porém, estabeleça marcos de segurança para o seu projeto e trabalhe em direção a esses resultados.
O que você inevitavelmente descobrirá é que, à medida que ganha visibilidade, começará a identificar outras coisas em seu ambiente das quais não estava ciente antes. Isso é um sinal de que você está no caminho certo.
Você pode, por exemplo, ter a percepção de que um determinado serviço não está mais sendo usado. Você pode obter visibilidade sobre a dívida técnica ou talvez sobre um risco que você desconhecia. Disso surgirão imposições de políticas adicionais e, em seguida, mais conscientização.
Você está priorizando seu trabalho com base no risco, na exposição e na probabilidade de que um determinado risco seja explorado. E então, como mencionei anteriormente, a mudança constante surgirá e direcionará sua decisão sobre o que vem a seguir. Mantenha-se atento e flexível, e o caminho a seguir se tornará aparente.
A segurança se deslocando para a esquerda
A segurança tem sido, há muito tempo, uma criança órfã no ambiente de tecnologia da informação (TI). Ela tem sido mantida em segundo plano, raramente convidada para a primeira fase de uma implantação. Os desenvolvedores têm uma visão cautelosa da segurança, sentindo que ela está sempre os atrasando. Um dia, uma violação acontece, e então as pessoas se perguntam por que não havia uma proteção melhor.
É por isso que a segurança precisa continuar se movendo para a esquerda, envolvendo-se mais nos estágios iniciais do ciclo de vida de desenvolvimento de TI. Os desenvolvedores podem ou não perceber isso a princípio, mas o ZTS tem a oportunidade de ser mais uma bênção do que uma maldição.
Considere a realidade de que os desenvolvedores podem acessar código aberto como parte de seu trabalho e podem fazê-lo sem realmente saber com certeza se malware foi implantado nele, adormecido e esperando para ser ativado. Claramente, você não pode viver indefinidamente com malware à espreita nas sombras.
A boa notícia é que, com o Zero Trust considerado desde o início do ciclo de desenvolvimento, você está avançando no processo com um recurso já protegido. Ao criar ambientes, você está fazendo isso com a segurança já implementada.
Isso pode reduzir um pouco o nível de preocupação, sabendo que a disseminação de qualquer malware será interrompida imediatamente. E pode liberar os desenvolvedores para desenvolver mais rapidamente, sem ficarem atolados em soluções de segurança que atrapalham a disponibilidade ou o desempenho do aplicativo.
Além disso, os desenvolvedores podem se beneficiar da visibilidade proporcionada por uma solução ZTS robusta. A visibilidade proporciona uma maior compreensão do risco desde o início, o que permite a tomada de decisões mais seguras no lado esquerdo do ciclo de vida.
Em resumo, tudo isso faz parte da transição de reativo para proativo. Você está modernizando a maneira como desenvolve aplicativos ao incluir e implementar controles de segurança como parte do ciclo de vida de desenvolvimento de aplicativos.
Mudar para a esquerda significa mover a segurança de algo que é incorporado posteriormente para um elemento integral, incorporado ao longo do ciclo de vida. Máquinas virtuais, por exemplo, são criadas com privilégios mínimos desde o início, e os aplicativos são iniciados de dentro de uma cerca segura. A segurança não é mais uma reflexão tardia ou algo que chega depois — tudo nasce seguro.
Terceirização de TI e segurança
É sabido que contar com o apoio de uma empresa de TI especializada em segurança faz a diferença na sobrevivência de uma empresa frente a um ataque cibernético. Isso, porque a empresa de TI tem técnicos especialistas em segurança, que podem ser acionados imediatamente para auxiliar na contenção da violação e assegurar o bom funcionamento da operação.
Diferenciais da Infonova
A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.
BACKUP
Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.
VALOR FINANCEIRO
O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.
LIBERAÇÃO DO RH
O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.
FLEXIBILIDADE – HUB DE TECNOLOGIA
A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:
- Ar-condicionado;
- Outsourcing de impressão;
- Links de internet;
- Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES
A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.
RETENÇÃO DE COLABORADORES
Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.
LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES
Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.
NÃO TEM MULTA DE CONTRATO
A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.
PODE PARAR QUANDO QUISER
Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.
CONTINUAMOS AMIGOS
Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.
DORMIR TRANQUILO
Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.
