Em 18 de outubro, fomos convidados para o Cisco Connect 2017. Neste evento, nos reunimos com o especialista em segurança Jamey Heary. Ele é um Engenheiro de Sistemas de Distinção na Cisco Systems, onde lidera a Equipe de Arquitetura de Segurança Global. Jamey é um consultor e arquiteto de segurança confiável para muitos dos maiores clientes da Cisco. Ele também é autor de livros e ex-blogueiro da Network World. Conversamos com ele sobre segurança na empresa moderna, os significativos problemas de segurança que estão afetando empresas e organizações e as vulnerabilidades mais recentes que afetam todas as redes e clientes sem fio (KRACK). Aqui está o que ele tinha a dizer:
Nosso público é composto tanto por usuários finais quanto por usuários corporativos. Para começar e se apresentar um pouco, como você descreveria seu trabalho na Cisco, de maneira não corporativa?
Minha paixão é segurança. O que eu me esforço todos os dias é ensinar meus clientes e usuários finais sobre arquitetura. Por exemplo, falo sobre um produto de segurança e como ele se integra a outros produtos (próprios ou de terceiros). Por isso, lidei com a arquitetura do sistema a partir de uma perspectiva de segurança.
Em sua experiência como especialista em segurança, quais são as ameaças de segurança mais significativas para a empresa moderna?
Os grandes são engenharia social e ransomware. O último causa devastação em tantas empresas, e vai piorar porque há tanto dinheiro nele. É provavelmente a coisa mais lucrativa que os criadores de malware descobriram como fazer.
Vimos que o foco dos "bandidos" está no usuário final. Ele ou ela é o elo mais fraco agora. Nós tentamos como uma indústria treinar pessoas, a mídia tem feito um bom trabalho em divulgar como você poderia se proteger melhor, mas ainda assim, é bastante trivial enviar a alguém um e-mail direcionado e levá-lo a tomar uma ação que você deseja: clique em um link, abra um anexo, o que você quiser.
A outra ameaça é pagamentos on-line. Continuaremos a ver aprimoramentos nas maneiras pelas quais as empresas aceitam pagamentos on-line, mas, até que a indústria implemente formas mais seguras de efetuar pagamentos on-line, essa área será um grande fator de risco.
Quando se trata de segurança, as pessoas são o elo mais fraco e também o foco principal dos ataques. Como poderíamos lidar com esse problema, já que a engenharia social é uma das principais ameaças à segurança?
Há muita tecnologia que podemos aplicar. Há tanta coisa que você pode fazer por uma pessoa, especialmente em uma indústria onde algumas pessoas tendem a ser mais úteis do que outras. Por exemplo, no setor de saúde, as pessoas só querem ajudar os outros. Então você envia um e-mail malicioso, e é mais provável que eles cliquem no que você envia do que em outras indústrias, como um departamento de polícia.
Então, nós temos esse problema, mas podemos usar a tecnologia. Uma das coisas que podemos fazer é a segmentação, que pode reduzir drasticamente a superfície de ataque que está disponível para qualquer usuário final. Chamamos isso de "confiança zero": quando um usuário se conecta à rede da empresa, a rede entende quem é o usuário, qual é o papel dele na organização, quais aplicativos o usuário precisa acessar, ele entenderá a máquina do usuário e qual é a postura de segurança da máquina, a um nível muito detalhado. Por exemplo, pode até dizer coisas como a prevalência de um aplicativo que o usuário possui. A prevalência é algo que achamos eficaz e significa quantas outras pessoas no mundo usam esse aplicativo e quantas em uma determinada organização. Na Cisco, fazemos essa análise por meio do hashing: pegamos um hash de um aplicativo, e temos milhões de end-points, e eles voltarão e dirão: "a prevalência neste aplicativo é de 0, 0001%". A prevalência calcula quanto um aplicativo é usado no mundo e depois na sua organização. Ambas as medidas podem ser muito boas para descobrir se algo é muito suspeito e se merece olhar mais de perto.
Você tem uma interessante série de artigos no Network World sobre os sistemas de Gerenciamento de Dispositivos Móveis (MDM). No entanto, nos últimos anos, este assunto parece ser menos discutido. O interesse da indústria em tais sistemas está diminuindo? O que está acontecendo, da sua perspectiva?
Poucas coisas aconteceram, uma das quais é que os sistemas MDM se tornaram bastante saturados no mercado. Quase todos os meus maiores clientes possuem um desses sistemas. A outra coisa que aconteceu foi que as regulamentações de privacidade e a mentalidade de privacidade dos usuários mudaram de tal forma que muitas pessoas não dão mais seu dispositivo pessoal (smartphone, tablet, etc.) à sua organização e permitem que um software MDM seja instalado. Portanto, temos essa concorrência: a empresa deseja ter acesso total aos dispositivos usados por seus funcionários para que ela possa se proteger e os funcionários se tornem muito resistentes a essa abordagem. Existe essa batalha constante entre os dois lados. Vimos que a prevalência dos sistemas de MDM varia de empresa para empresa, dependendo da cultura e dos valores da empresa e de como cada organização deseja tratar seus funcionários.
Isso afeta a adoção de programas como o BYOD (Bring Your Own Device, Dispositivo Pessoal Próprio) para funcionar?
Sim, isso acontece totalmente. O que está acontecendo, na maior parte, é que as pessoas que estão usando seus próprios dispositivos na rede corporativa usam-nas em uma área muito controlada. Mais uma vez, segmentação entra em jogo. Se eu levar meu próprio dispositivo para a rede corporativa, talvez eu possa acessar a internet, algum servidor interno da Web, mas de maneira alguma, eu poderei acessar os servidores de banco de dados, os aplicativos essenciais da minha empresa ou seus dados críticos, desse dispositivo. Isso é algo que fazemos programaticamente na Cisco para que o usuário chegue aonde precisa na rede da empresa, mas não para onde a empresa não quer que o usuário vá, a partir de um dispositivo pessoal.
A maior questão de segurança no radar de todos é o "KRACK" (Key Reinstallation AttaCK), afetando todos os clientes e equipamentos da rede usando o esquema de criptografia WPA2. O que a Cisco está fazendo para ajudar seus clientes com esse problema?
É uma grande surpresa que uma das coisas em que nos baseamos há anos seja agora crackable. Isso nos lembra dos problemas com SSL, SSH e todas as coisas em que acreditamos fundamentalmente. Todos eles se tornaram "não merecedores" de nossa confiança.
Para esse problema, identificamos dez vulnerabilidades. Desses dez, nove deles são baseados no cliente, então temos que consertar o cliente. Um deles é relacionado à rede. Para isso, a Cisco vai lançar patches. Os problemas são exclusivos do ponto de acesso e não precisamos consertar roteadores e switches.
Fiquei encantado em ver que a Apple conseguiu suas correções no código beta para que seus dispositivos clientes sejam totalmente corrigidos. O Windows já tem um patch pronto, etc. Para a Cisco, a estrada é direta: uma vulnerabilidade em nossos pontos de acesso e vamos liberar patches e correções.
Até que tudo seja consertado, o que você recomendaria que seus clientes fizessem para se proteger?
Em alguns casos, você não precisa fazer nada, porque às vezes a criptografia é usada dentro da criptografia. Por exemplo, se eu for ao site do meu banco, ele usará TLS ou SSL para segurança de comunicações, o que não é afetado por esse problema. Então, mesmo que eu esteja passando por um WiFi bem aberto, como o da Starbucks, não importa muito. Onde esse problema com o WPA2 entra mais em jogo é no lado da privacidade. Por exemplo, se eu for a um site e não quiser que os outros saibam disso, agora eles saberão porque o WPA2 não está mais em vigor.
Uma coisa que você pode fazer para se proteger é configurar conexões VPN. Você pode se conectar a redes sem fio, mas a próxima coisa a fazer é ligar sua VPN. A VPN está bem porque cria um túnel criptografado passando pelo WiFi. Ele funcionará até que a criptografia VPN seja invadida e você precise descobrir uma nova solução. :)
No mercado consumidor, alguns fornecedores de segurança estão agrupando a VPN com seus pacotes antivírus e de segurança total. Eles também estão começando a educar os consumidores de que não é mais suficiente ter um firewall, e um antivírus, você também precisa de uma VPN. Qual é a abordagem da Cisco em relação à segurança para a empresa? Você também promove ativamente a VPN como uma camada de proteção necessária?
A VPN faz parte dos nossos pacotes para a empresa. Em circunstâncias normais, não falamos sobre VPN dentro de um túnel criptografado e o WPA2 é um túnel criptografado. Normalmente, porque é um exagero e há sobrecarga que tem que acontecer no lado do cliente para que tudo funcione bem. Na maior parte, não vale a pena. Se o canal já estiver criptografado, por que criptografar novamente?
Neste caso, quando você é pego com as calças para baixo porque o protocolo de segurança WPA2 está fundamentalmente quebrado, podemos recorrer à VPN, até que os problemas sejam corrigidos com o WPA2.
Mas, tendo dito isso, no setor de inteligência, as organizações de segurança, como o tipo de organização do Departamento de Defesa, vêm fazendo isso há anos. Eles dependem de VPN, além de criptografia sem fio e, muitas vezes, os aplicativos no meio de sua VPN também são criptografados, para que você obtenha uma criptografia de três vias, todos usando tipos diferentes de criptografia. Eles fazem isso porque são "paranóicos" como deveriam ser. :))
Em sua apresentação no Cisco Connect, você mencionou a automação como sendo muito importante na segurança. Qual é a sua abordagem recomendada para automação em segurança?
A automação se tornará um requisito rapidamente porque nós, como seres humanos, não podemos nos mover com rapidez suficiente para interromper brechas e ameaças à segurança. Um cliente tinha 10.000 máquinas criptografadas por ransomware em 10 minutos. Não há como humanamente possível que você possa reagir a isso, então você precisa de automação.
Nossa abordagem hoje não é tão pesada quanto deveria ser, mas, quando vemos algo suspeito, comportamento que parece ser uma violação, nossos sistemas de segurança dizem à rede para colocar aquele dispositivo ou esse usuário em quarentena. Isso não é purgatório; Ainda é possível fazer algumas coisas: você ainda pode acessar a Internet ou obter dados dos servidores de gerenciamento de patches. Você não está totalmente isolado. No futuro, talvez tenhamos que mudar essa filosofia e dizer: quando você está em quarentena, não tem acesso porque é muito perigoso para sua organização.
Como a Cisco está usando a automação em seu portfólio de produtos de segurança?
Em certas áreas, usamos muita automação. Por exemplo, no Cisco Talos, nosso grupo de pesquisa de ameaças, obtemos dados de telemetria de todos os nossos widgets de segurança e uma tonelada de outros dados de outras fontes. O grupo Talos usa aprendizado de máquina e inteligência artificial para classificar milhões de registros a cada dia. Se você olhar para a eficácia ao longo do tempo em todos os nossos produtos de segurança, é incrível, em todos os testes de eficácia de terceiros.
O uso de ataques de DDOS está diminuindo?
Infelizmente, DDOS como um método de ataque está vivo e bem, e está piorando. Descobrimos que os ataques DDOS tendem a ser direcionados para certos tipos de corporações. Tais ataques são usados tanto como um chamariz quanto como a arma primária de ataque. Existem também dois tipos de ataques DDOS: volumétricos e baseados em aplicativos. A volumétrica ficou fora de controle se você observar os números mais recentes de quantos dados eles podem gerar para derrubar alguém. É ridículo.
Um tipo de corporação que é alvo de ataques de DDOS é o varejo, geralmente durante as festas de fim de ano (a Black Friday está chegando!). O outro tipo de empresa que é alvo de ataques DDOS é aquele que trabalha em áreas controversas, como petróleo e gás. Neste caso, estamos lidando com pessoas que têm uma causa ética e moral específica, que decidem pelo DDOS uma organização ou outra porque não concordam com o que estão fazendo. Essas pessoas fazem isso por uma causa, por um propósito, e não pelo dinheiro envolvido.
As pessoas trazem para suas organizações não apenas seus próprios dispositivos, mas também seus próprios sistemas de nuvem (OneDrive, Google Drive, Dropbox, etc.). Isso representa outro risco de segurança para as organizações. Como um sistema como o Cisco Cloudlock lida com esse problema?
O Cloudlock faz duas coisas fundamentais: primeiro, você está fazendo uma auditoria de todos os serviços em nuvem que estão sendo usados. Integramos o Cloudlock com nossos produtos da web para que todos os registros da web possam ser lidos pelo Cloudlock. Isso dirá aonde todos na organização estão indo. Então você sabe que muitas pessoas estão usando seu próprio Dropbox, por exemplo.
A segunda coisa que o Cloudlock faz é que tudo é feito de APIs que se comunicam com serviços em nuvem. Dessa forma, se um usuário publicou um documento da empresa no Box, o Box imediatamente diz ao Cloudlock que um novo documento chegou e deve dar uma olhada nele. Então, vamos olhar para o documento, categorizá-lo, descobrir o perfil de risco do documento, assim como ele foi compartilhado com outros ou não. Com base nos resultados, o sistema interromperá o compartilhamento desse documento por meio da Caixa ou permitirá sua permissão.
Com o Cloudlock você pode definir regras como: "isso nunca deve ser compartilhado com alguém de fora da empresa. Se for, desative o compartilhamento". Você também pode fazer criptografia on demand, com base na criticidade de cada documento. Portanto, se o usuário final não criptografar um documento comercial crítico, ao publicá-lo no Box, o Cloudlock forçará a criptografia desse documento automaticamente.
Gostaríamos de agradecer a Jamey Heary por esta entrevista e suas respostas sinceras. Se você quiser entrar em contato, pode encontrá-lo no Twitter.
No final deste artigo, compartilhe sua opinião sobre os assuntos que discutimos, usando as opções de comentários disponíveis abaixo.