Paulo Henrique Gomes Gonçalves
Security Engineer – Telco LatAm
Outubro de 2022
A cibersegurança nunca esteve tão em evidência quanto nos últimos dois anos. Especialmente devido à pandemia de covid-19, que demandou a rápida adoção do trabalho remoto em resposta ao período de quarentena.
Na prática, o que houve foi uma aceleração dos planos empresariais. Assim, cresceu a adoção de estratégias de digitalização e da extensão do ambiente de trabalho além das fronteiras de suas redes.
Ao mesmo tempo, já se delineava entre as empresas uma tendência da migração à Cloud. Então, aplicações, serviços e ferramentas antes hospedadas em data centers próprios ou terceirizados passam ao ambiente digital.
Como resultado, as ofertas de nuvem pública se tornaram extremamente vantajosas em termos de preço e rapidez na ativação de novos recursos. Semelhantemente, facilidades como o auto scaling, que permite o ajuste automático dos serviços em cloud, beneficiaram os administradores de TI e os usuários internos da empresa.
Entre os principais proveitos da tecnologia que viabilizou a digitalização, estão a otimização da gestão e dos processos, bem como a diminuição do tempo Go-to-Market.
Foi a partir daí que o panorama de cibersegurança e de ameaças passou por grandes transformações. Nesse cenário, abordagens como SASE e SSE se tornam prioridades, sem deixar de lado elementos como o SD-WAN. Mas, para implementar o melhor sistema de segurança digital, é importante entender a relação entre essas proteções e como usá-las com máxima eficiência.
Arquitetura tradicional deve mudar
É preciso lembrar que, na arquitetura tradicional de segurança de rede, as empresas contavam com um perímetro muito bem definido. Ou seja, era nítida a extensão da rede que era privada e em qual ponto se tornava pública.
Um recurso imprescindível para isso era o bom e velho firewall, que foi inventado pela Check Point na década de 1990. Esse serviço era responsável por separar a parte segura da parte mais vulnerável, onde estava a internet na rede.
O data center se mantinha como elemento central, abrigando aplicações, serviços, ferramentas, rede da matriz e filiais. Desse modo, os usuários corporativos ficavam todos dentro do perímetro de segurança do ambiente privado.
Apesar disso, mesmo nesse meio definido e controlado, outros mecanismos de segurança já eram necessários. Entre eles, destacam-se:
- Sistema de prevenção de intrusão (IPS), que monitora a rede empresarial em busca de atividades suspeitas a fim de interrompê-las e passar o alerta para o time de TI;
- Antivírus;
- Antimalware.
Entretanto, após a onda de digitalização das empresas, a preocupação com a cibersegurança é ainda maior. Até porque há mais exposição ao meio digital, principalmente devido à migração das aplicações, serviços e ferramentas corporativas para a Cloud e à necessidade de proporcionar mobilidade à força de trabalho.
Cenário atual traz novos desafios
Atualmente, surgem novas questões pertinentes quando pensamos em determinar a melhor arquitetura de segurança digital. A princípio, podemos indagar como avaliar um conceito teoricamente simples como o perímetro da rede. Hoje, um vendedor consegue acessar sistemas de gestão, como o customer relationship management (CRM), a partir de um restaurante a 1.000 km da filial mais próxima.
Apesar da praticidade, o uso massivo de nuvem também gera dificuldades em relação à segurança da informação. Isso porque é ali que são armazenadas informações estratégicas da organização e de clientes que precisam ser protegidas conforme a Lei Geral de Proteção de Dados (LGPD).
É justamente esse ambiente que vem recebendo um crescente número de ataques. E os objetivos variam entre roubar informações, pedir resgate por dados sequestrados através de ransomware ou simplesmente consumir o processamento para minerar criptomoedas.
Então, de que modo restringir o acesso e garantir que somente funcionários possam acessar a rede? Ou ainda, como facilitar esse acesso sem expor informações sensíveis da empresa?
No Brasil, por exemplo, é comum o uso de dispositivos móveis pessoais dos funcionários para uso corporativo. O conceito é conhecido como BYOD (do inglês bring your own device) e, em geral, é considerado uma porta de entrada de ataques maliciosos.
Uma das ameaças mais populares no ambiente empresarial é o phishing, que usa e-mails e outras formas de comunicação a fim de enganar um usuário desavisado ou desatento.
Enfim, esses são desafios atuais que precisam ser resolvidos. Afinal, permitir que profissionais trabalhem em casa tende a aumentar o rendimento, além de ser uma forma de fidelizar os colaboradores especializados.
Só para ilustrar, segundo o Relatório de Transformação Digital na América Latina, divulgado pela Atlantico VC, em setembro de 2022, empresas com funcionários integralmente remotos chegam a ter 63% de alta na produtividade.
Evolução tecnológica provê soluções de cibersegurança
Com esse complexo panorama de cibersegurança esclarecido, é comum se desesperar. Porém, já existem soluções que conseguem mitigar riscos nesse meio digital e podem ser adaptadas a negócios de diferentes setores e porte.
Para começar, podemos pensar em um dos golpes mais comuns: o e-mail contaminado. Nesse sentido, há filtros que identificam e excluem esse tipo de mensagem. Se isso falhar, há recursos que evitam que o usuário confunda um site falso pelo de um banco, por exemplo.
Caso a comunicação passe pelo recurso de segurança e seja acessada, ainda há mecanismos que evitam o vazamento de informações via preenchimento de campos.
Continuando o ciclo, se houver a instalação de um software malicioso, existem soluções que evitam que ele cause dano, encerrando o processo, alertando os gestores e desinstalando o programa. Uma vez que a ameaça é reconhecida, o sistema de cibersegurança se familiariza com o método e atua de maneira mais consistente e rápida.
Aliás, vale ressaltar que a evolução é tanta que já existem ferramentas de defesa das redes corporativas até mesmo contra ataques de Dia Zero. Essas são ameaças desconhecidas que se aproveitam de vulnerabilidades em softwares, como ocorreu recentemente com a SolarWinds e Log4j.
A Check Point Software Technologies tem uma família de produtos denominada Harmony, incluindo End Point, Connect, Browse, Email & Colaboration e Mobile. O foco é a proteção dos dispositivos como computadores, servidores e telefones celulares, com a finalidade de reduzir a superfície de ataque.
Ou seja, a ideia é diminuir a quantidade de recursos da rede corporativa expostos a um possível ataque malicioso nos dispositivos de usuário. Inclusive, é o conjunto dessas ferramentas de cibersegurança que forma os conceitos batizados de SASE e SSE.
Conhecendo conceitos
A seguir, explicaremos alguns dos principais conceitos para quem quer entender mais sobre o tema, que é imprescindível de conhecer. Veja!
O que é SASE?
A sigla que se torna cada vez mais popular na cibersegurança vem do termo em inglês secure access service edge. Em tradução livre, a expressão significa Borda de Serviço de Acesso Seguro.
De acordo com o Gartner, o SASE oferece recursos convergentes de rede e segurança como serviço. É uma arquitetura escalável que permite que os funcionários alocados ou remotos se conectem às aplicações que precisam usar no data center ou na nuvem.
Em suma, trabalha com prevenção avançada de ameaças à rede sem sacrificar o desempenho e a qualidade da experiência do usuário final.
O que é SSE?
O termo pode ser traduzido para Borda de Serviços de Segurança (do inglês security service edge) e protege o acesso à web, serviços em nuvem e aplicativos privados. Os recursos incluem controle de acesso, proteção contra ameaças, segurança de dados, monitoramento de segurança e controle de uso aceitável imposto por integração baseada em rede API.
Segundo o Gartner, embora o SSE tenha um componente de conectividade de rede, diferentemente do SASE, suas funcionalidades são mais voltadas ao usuário final do que para a interconexão de filiais com a matriz.
Componentes de Segurança do SASE e do SSE
Uma vez que o SASE e o SSE não são aplicações individuais, mas um conjunto de operações que determinam e funcionam em prol da segurança dos dispositivos, é essencial entender como cada componente atua. Veja mais a seguir.
Firewall as a service (FWaaS)
Um firewall de última geração baseado em nuvem. É uma solução escalável e com reconhecimento de aplicativos, permitindo que as empresas eliminem os desafios de soluções baseadas em dispositivos legados.
Security web gateway (SWG)
Protege o acesso à internet, a aplicativos da web e recursos que aproveitam soluções unificadas de prevenção de ameaças. Entre eles, estão filtragem de URL, antivírus, IPS, antibot e prevenção de ataques de Dia Zero.
Cloud access security broker (CASB)
São pontos de imposição de políticas de segurança, colocados entre os usuários e os aplicativos e serviços em nuvem, como o Microsoft 365 e o Google Workspace. Têm a função de reforçar a política de segurança corporativa.
Zero trust network access (ZTNA)
Cria uma fronteira lógica para acesso a aplicações e serviços. A abordagem usa como base identidade e contexto dos usuários, permitindo um controle rigoroso do que cada usuário pode acessar e fazer. Gera, então, um ambiente de aplicação completamente controlado sob o ponto de vista de segurança.
Complementando a segurança de rede e conectividade
Da mesma forma que as estratégias de segurança tiveram que mudar acompanhando a evolução das redes corporativas, as soluções das redes privadas virtuais (VPNs) precisaram se atualizar.
Nesse sentido, os serviços de VPN com tecnologia MPLS (do inglês multiprotocol label switching) são excelentes para manter as comunicações corporativas seguras dentro do perímetro tradicional. Contudo, já não são a melhor opção quando a corporação utiliza aplicações em Cloud pública ou de software as a service (SaaS).
Ferramentas corporativas como Microsoft 365, Sales Force, Zoom e Dropbox são acessíveis por meio da internet. E quando as filiais usam VPN MPLS para conectividade com matriz ou data center, isso significa que o tráfego precisa ir até essa central para depois acessar os recursos. Em outras palavras, esse não é o caminho mais otimizado e rápido no cotidiano empresarial.
Hoje, por conta das demandas elásticas, uma das principais características que os negócios buscam em soluções digitais é a flexibilidade. E também é esse elemento que soluciona o descrito impasse do tráfego online.
A boa notícia é que já temos uma tecnologia que permite usar diversas conexões para estabelecer uma rede privada virtual. VPN MPLS, Internet Dedicada, Banda Larga, serviços móveis (como LTE ou 5G) e os de conexão via satélite (como vSAT) são alguns exemplos.
Ademais, essa tecnologia permite que as aplicações trafeguem seguramente entre as localidades da corporação, além de adicionar uma gestão centralizada das políticas de segurança e encaminhamento dos dados. Ou seja, permite acessar os recursos através da internet desde a filial, sem a necessidade de passar pelo ponto centralizador da rede corporativa.
Essa é a chamada SD-WAN: um módulo de rede e conectividade que somente o SASE tem.
Figura 1 – SASE, SSE e SD-WAN
Por dentro do SD-WAN: Software-Defined Wide Area Network
Como o nome já entrega, o SD-WAN usa software para controlar conectividade, gerenciamento, serviços entre os data centers e filiais remotas, serviços na internet e baseados em Cloud.
Assim, seus dispositivos desempenham várias funções para gerenciar um uso otimizado dos recursos de conectividade. Entre os principais exemplos, estão:
- Encaminhamento dinâmico de pacotes baseado na qualidade dos uplinks;
- Criptografia dos pacotes transmitidos;
- Priorização de aplicações e fluxos;
- Gestão centralizada;
- Visibilidade completa do que acontece na WAN da empresa.
A tecnologia oferece a separação do plano de dados e do de controle, da mesma forma que o software-defined network (SDN) faz em redes internas em nuvem ou centrais de dados.
Por fim, vale dizer que o dispositivo SD-WAN (CPE Nova Geração) também pode permitir o acesso à internet de forma segura a partir da própria filial. Nesse caso, usa as funcionalidades de proteção — FWaaS, SWG, CASB, ZTNA — juntando a parte de segurança do SSE com a conectividade. Quando combinamos tudo isso, temos o conceito de SASE.
A linha Quantum da Security Gateways Corporativos e SMB, da Check Point Software Technologies, traz as funcionalidades de segurança e de rede que permitem a adoção das abordagens SASE, SSE e SD-WAN. Dessa forma, cria-se uma WAN corporativa segura, de alto desempenho e adequada às novas necessidades das empresas em termos de:
- Flexibilidade;
- Abrangência;
- Gestão;
- Visualização das aplicações e fluxos;
- Proteção contra ataques de Geração V;
- Experiência do usuário.
SASE, SSE e SD-WAN: soluções complementares de cibersegurança
Em resumo, não há dúvidas de que os conceitos de SASE e SSE não têm o propósito de substituir outras formas de proteção e otimização como o SD-WAN. Na realidade, o propósito é complementar a oferta de serviços às corporações para os usuários finais.
É claro que clientes diferentes, com perfis de uso diversos, necessitam de soluções adequadas às particularidades do negócio. Nesse cenário, a Check Point, que é uma das líderes mundiais de cibersegurança, junto à parceira especialista Vivo Empresas, pode auxiliar na adoção das inovações mais relevantes ao modelo de empreendimento.
São diversas as soluções de SASE e SSE integradas a SD-WAN que ajudam a alavancar a empresa de modo seguro. Afinal, para se preparar para os desafios atuais e futuros, não há dúvidas: a cibersegurança deve ser colocada em primeiro lugar! E contar com especialistas para cuidar da proteção dos dados é um diferencial competitivo para qualquer setor.
Até a próxima!
Paulo Henrique Gomes Gonçalves
Security Engineer – Telco LatAm