Securing Your Digital Business

Securing Your Digital Business

Uma entrevista com Josh Shaul, VP, Produtos de Segurança na Web

Atualmente, o que os CIOs e outros executivos seniores precisam saber sobre segurança da informação?

Estamos em uma nova era na segurança da informação. O modelo tradicional de "fossos e castelos" na qual as empresas têm confiado há décadas, ao redor do "castelo" de dados empresariais, aplicações e redes com o "fosso" de um perímetro seguro e firewalls, está se tornando cada vez mais irrelevante. As aplicações, os dados e os usuários saíram do firewall e entraram na nuvem, e estão passando pela Internet pública. Eles "pularam o fosso", e os sistemas de segurança tradicionais estão, em grande parte, protegendo um castelo vazio.

O que está impulsionando todo esse movimento para a nuvem?

Hoje, cada empresa é uma empresa digital, e a Internet é uma parte fundamental da infraestrutura de informações. É o principal conector entre cargas de trabalho baseadas em nuvem e dados e aplicações locais. É o conector para os milhões ou até os bilhões de dispositivos conectados que compõem a Internet das Coisas.

As empresas precisam estar na nuvem por vários motivos:
  • Um, para entregar aos clientes experiências digitais rápidas e envolventes. Suas expectativas de velocidade, confiabilidade e personalização de experiências na Web e em dispositivos móveis continuam a aumentar. É por isso que dizemos "ser lento é perder clientes". Nesta economia digital, há sempre uma alternativa, e os clientes impacientes irão rapidamente para outro lugar.
  • Dois, para permitir a produtividade dos funcionários. Os funcionários hoje em dia precisam trabalhar em casa, no trânsito e nos locais de clientes, e podem precisar de acesso a seus sistemas e aplicações em todo o mundo e enquanto estão em trânsito.
  • Três, para coordenar com parceiros de negócios. Trata-se de uma comunidade digital global de fornecedores, parceiros e prestadores de serviços. Todos precisam de acesso seguro, rápido e confiável a partes das aplicações e dos dados de uma empresa.
  • E quatro, para impulsionar a transformação dos negócios digitais. Para digitalizar e acelerar processos de negócios, aprimorar produtos e serviços com tecnologia, lançar novas aplicações digitais para clientes, abrir novos mercados e globalizar suas marcas, as empresas precisam aproveitar os recursos na nuvem.

Quais são as implicações para o risco do negócio?

Atualmente, as empresas digitais esperam e dependem da Internet para fornecer níveis de velocidade, confiabilidade e segurança de missão crítica, algo que nunca foi pensado fazer até mesmo nas melhores condições. Enquanto isso, as consequências dos ataques cibernéticos à receita, às operações comerciais e à reputação da marca podem ser extremamente altas.

A espinha dorsal de uma empresa digital, websites e aplicações baseadas em nuvem, está sob constante ameaça de ataque de agentes mal-intencionados. As APIs que servem como o tecido conjuntivo para aplicações e experiências digitais criam uma porosidade em perímetros de segurança e abrem centenas ou até mesmo milhares de novos endpoints que os invasores podem explorar. VPNs, controles de acesso do usuário, caixas-fortes de credenciais, sistemas de autenticação: todos esses mecanismos de segurança tradicionais realmente fornecem possíveis pontos de ataque e exploração.

E não é apenas a distribuição de infraestrutura e dados na nuvem que cria novos riscos. É o grande processo de criar essas aplicações e experiências digitais por conta própria, devido à rede em constante expansão de pessoas que precisam acessar softwares, redes e sistemas para desenvolver e gerenciar as aplicações que impulsionam a estratégia digital de um negócio.

No entanto, à medida que as empresas adotam a nuvem, ainda têm os mesmos requisitos de segurança, proteção de dados confidenciais e conformidade, como sempre. Não mudam. Mas a superfície de ataque e o perfil de risco agora são exponencialmente maiores, e esses requisitos devem ser atendidos de novas maneiras. O CIO da era digital é desafiado a encontrar uma maneira de garantir a segurança e a conformidade em uma rede cada vez mais distribuída e baseada em nuvem na qual a empresa depende mais a cada dia. As empresas precisam estar na nuvem, e elas precisam estar seguras na nuvem.

Por favor, diga mais sobre como o cenário de ameaças está mudando.

Os invasores atualmente não são mais apenas criminosos cibernéticos que operam com os recursos e ferramentas mais avançados. Os usuários do dia a dia têm a capacidade de criar ataques complexos e altamente distribuídos. Ao aproveitar os conjuntos de ferramentas gratuitamente disponíveis e altamente sofisticados, e os serviços de "ataque por aluguel", criminosos cibernéticos novatos e experientes têm a capacidade de derrubar e explorar websites globais com ataques DDoS por uma fração do custo, esforço e complexidade tradicionais.

Esses ataques não estão apenas se tornando mais fáceis de montar, mas também muito mais sofisticados e perigosos. No passado, o maior risco era o roubo de arquivos confidenciais de produtos ou o comprometimento de senhas de rede. Mas agora as empresas digitais devem encarar centenas de novas explorações que, há apenas alguns anos, pareciam ficção científica. Malware que "rouba" arquivos e os mantém reféns por resgate, scraper-bots que podem capturar dados de cartão de crédito nos microssegundos que estão descriptografados e vulneráveis na memória, ataques coordenados usando exércitos de dispositivos de IoT conectados (termostatos, lâmpadas, roteadores Wi-Fi) que podem derrubar um website. E, em todos os casos, as abordagens de segurança tradicionais simplesmente não conseguem lidar de forma eficaz com esse mundo baseado em nuvem.

Quais novas abordagens são necessárias?

As empresas precisam de novas abordagens não apenas para fornecer segurança, mas também, em primeiro lugar, para projetar suas necessidades de segurança.

No lado do aprovisionamento, precisamos de segurança criada para a maneira como a nuvem funciona, criada para aproveitar as vantagens da forma da Internet. Não tente desafiá-la. A proteção deve ser distribuída onde quer que os ativos comerciais estejam. As abordagens tradicionais centralizadas de segurança simplesmente não conseguem fazer isso, e é impraticável, se não impossível, tentar mover todas as arquiteturas de segurança para a nuvem.

Na Akamai, começamos com duas suposições. Primeiro, a empresa não é mais o perímetro; em vez disso, toda a nuvem é o novo perímetro. Ou, melhor ainda, o perímetro evaporou-se totalmente. E segundo, estamos trabalhando com o que a Forrester chama de "Rede Zero Trust"; todo o tráfego de rede é potencialmente suspeito. Nessas condições, a segurança deve ser difundida e deve ser mapeada para usuários, dados e aplicações onde quer que estejam.

Segurança, política e controles devem se afastar do "castelo" corporativo para a "borda" da nuvem. Isso torna a segurança mais completa e mais portátil. Por exemplo, se a segurança não estiver vinculada a uma configuração de infraestrutura específica, quando um provedor de serviços de Internet ficar inativo, a empresa poderá mover-se de forma simples e contínua entre provedores, com a certeza de que os usuários, as aplicações e os dados permanecerão seguros em qualquer novo ambiente.

E no lado do projeto de segurança?

As organizações normalmente tentam estabelecer níveis de proteção com base no valor e na sensibilidade dos ativos. Por exemplo, dados do cliente recebem proteções adicionais. Mas a abordagem tende a ser rudimentar e não muito granular. É uma proteção adicional, sim ou não. E essa é apenas metade da história. A outra metade é como os ativos podem ser expostos por aplicações e transmissão. A quais riscos específicos a empresa está exposta e como eles podem ser atenuados? Reproduzir os cenários de ataque e de perda de ativos. A combinação de valor de ativo e possível exposição deve determinar as táticas de proteção.

Em um nível mais macro, uma organização pode seguir os procedimentos e as práticas recomendadas definidos por padrões internos, padrões da indústria e conformidade regulatória, e ainda não estar adequadamente protegida contra ataques cibernéticos. Isso porque, como tratamos, o cenário de ameaças e segurança está em constante movimento. O objetivo é ser ágil o suficiente para lidar rapidamente com novas ameaças. Isso exige uma plataforma de tecnologia de segurança flexível, não apenas uma coleção de soluções pontuais atuais. Portanto, crie sua abordagem de segurança em função da flexibilidade futura, bem como da proteção imediata.

Como funciona a segurança mais distribuída?

Na nuvem, maior é definitivamente melhor. Os requisitos de desempenho e segurança de uma plataforma de entrega na nuvem simplesmente não podem ser alcançados com nada menos do que escala e distribuição massivas. Portanto, a Akamai implanta pela Internet mais de 200.000 servidores em 130 países, transportando até 30% do tráfego global da Web em qualquer momento.

Escala e distribuição massivas criam uma visibilidade massiva. Enormes quantidades de informações em tempo real sobre usuários, desempenho de endpoint, desempenho de rede e desempenho da Internet como um todo. Essas informações são a espinha dorsal dos recursos de segurança baseados no perímetro da nuvem. Inclui uma visualização em tempo real inigualável das explorações de segurança da Internet, incluindo todos os ataques contra todas as empresas às quais oferecemos suporte.

Essa inteligência de segurança em tempo real significa que, à medida que as ameaças evoluem, a capacidade de pará-las evolui paralelamente, frustrando ataques DDoS e a aplicações Web diretamente na borda da Internet. Na maioria dos casos, a Akamai pode bloquear um ataque por um salto de rede dos próprios invasores, garantindo que o tráfego malicioso fique o mais longe possível dos centros de dados empresariais.

Não é possível rotear o tráfego mais rápido do que a Internet pode, a menos que você esteja em todos os lugares, medindo e comparando todos os caminhos possíveis. Você não pode ver as ameaças de segurança à medida que elas surgem, a menos que você esteja nas redes em que elas se originam, em qualquer lugar do mundo. E você não pode se defender de forma confiável contra ataques DDoS, a menos que tenha mais capacidade do que o ataque que está sofrendo. Mais uma vez, quanto maior, melhor.

Quais são algumas formas específicas pelas quais as empresas podem aproveitar a segurança baseada em nuvem para reconfigurar e melhorar sua proteção?

O desafio básico está em torno do acesso. Fornecer acesso a aplicações e dados, quer estejam na nuvem ou em um data center tradicional, exige a abertura de métodos de acesso que representam uma enorme superfície de ataque potencial para agentes mal-intencionados. Então, como uma empresa pode fornecer um acesso remoto rápido, simples e seguro que consegue "manter os bandidos longe" sem atrapalhar ou diminuir a velocidade da sua empresa? Consideremos dois exemplos.

Em um modelo de segurança tradicional, baseado em firewall, você normalmente forneceria aos usuários externos acesso VPN à rede corporativa, às vezes até mesmo para que eles enviem um notebook corporativo pré-configurado para acesso. Infelizmente, esse acesso VPN é um enorme vetor de ataque em potencial, e muitas violações de segurança notáveis surgiram exatamente dessa forma. A melhor alternativa é conectar aplicações protegidas por firewall apenas a uma pequena aplicação Web exposta à Internet pública. Como o conector no firewall pode se comunicar apenas com a aplicação desejada e nada mais na rede, você não pode abrir toda a rede para um usuário VPN.

Outro cenário comum é o suporte ao acesso de filiais a aplicações corporativas. A configuração tradicional seria conectar a rede da filial a uma WAN privada e, em seguida, ao data center corporativo, de modo que o tráfego fique dentro do "perímetro corporativo" e protegido pelo firewall tradicional. Mas o que acontece quando um funcionário de uma filial acessa a Internet pública por meio de uma conexão direta? De repente, todas as apostas não valem mais nada. Essa conexão pode ser facilmente explorada por malware, tentativas de phishing e outras ameaças, tudo fora da proteção da segurança corporativa.

A abordagem da Akamai aqui é monitorar as solicitações de serviço de nome de domínio na Internet em tempo real e avaliar de forma inteligente os domínios quanto ao risco de ameaças. Os usuários são automaticamente e imediatamente bloqueados contra acesso acidental ou intencional de domínios e serviços mal-intencionados. Essa validação ocorre em milésimos de segundo, mesmo antes de uma conexão IP ser feita, antecipando-se às ameaças na "cadeia de destruição de segurança" e longe do perímetro da empresa.

Quais são seus pontos de resumo para CIOs e outros executivos de negócios e de tecnologia?

Se a sua empresa ainda não é digital, ela será; e se você ainda não está na nuvem, você estará. Você precisará fornecer as melhores e mais seguras experiências digitais aos seus clientes, funcionários e parceiros de negócios, independentemente de onde eles estão ou dos dispositivos que usam.

Como a empresa digital de hoje vive e trabalha na nuvem, a segurança da informação também precisa viver e trabalhar lá. As chaves para o desempenho e a segurança com base na nuvem são escala, distribuição e visibilidade em massa. É preciso observar o que está acontecendo, onde quer que esteja acontecendo, e responder às ameaças em tempo real.

Os ativos digitais já "pularam o fosso" e pularam para além do controle dos métodos de segurança tradicionais. A segurança baseada em nuvem tornou-se essencial. Ela pode melhorar drasticamente a postura de segurança da empresa e diminuir os riscos comerciais. Ela pode permitir que a empresa conduza e expanda os negócios digitais com confiança e ambição.

Conteúdo relacionado ao CIO