1
0
As organizações não podem mais fornecer serviços em escala e ainda se defender contra as ameaças de segurança cibernética de hoje sem repensar sua abordagem à segurança. Ken Xie, cofundador e CEO da Fortinet, senta-se conosco para discutir como essa abordagem deve ser e quais as principais organizações de capacidades devem se integrar em suas operações para proteger mais efetivamente seus empreendimentos.
CyberScoop: Como você viu o arco da cibersegurança evoluindo na última década para onde as empresas e agências governamentais estão hoje?
Ken Xie: Hoje, dados e aplicativos se movem entre diferentes usuários, dispositivos e redes, dificultando a visibilidade e o controle. A zona confiável desapareceu e o perímetro tradicional se estende através e com dispositivos móveis de usuário final e IoT, mesmo além de toda a infraestrutura. Ao mesmo tempo, a inovação digital está continuamente introduzindo novas bordas e fragmentando ainda mais o perímetro.
É claro que a adoção em nuvem tem um papel fundamental em tudo isso. Mas é importante lembrar que o modelo de computação atual é mais do que apenas uma coisa. Um número crescente de organizações também está construindo data centers de hiperescala e implementando novas computação de borda. Cidades inteligentes, edifícios, carros e infraestruturas estão unindo sistemas tradicionalmente isolados. E a hiperescala e o hiperperformance estão se tornando requisitos básicos.
E nos últimos meses, muitas empresas tiveram que projetar suas redes para apoiar o trabalho em casa, para que a rede possa escalar para centenas ou milhares de usuários remotos. E no meio disso, a rede principal também está passando por transformação para proporcionar melhor qualidade de serviço e experiência do usuário.
A segurança precisa se adaptar a essas mudanças nas demandas e configurações da rede. O desafio é que as soluções tradicionais de segurança em que a maioria das organizações dependem para proteger suas redes nunca foram projetadas para apoiar esses novos ambientes.
A segurança cibernética hoje ainda é dificultada por sistemas siloed onde as ameaças podem permanecer indesperáveis. Quais são as principais capacidades para as quais os líderes de segurança devem estar trabalhando?
A maioria das organizações tem muitos fornecedores e muitos produtos pontuais no local, e não há pessoas suficientes para apoiar tudo isso. O resultado é que as equipes de TI são incapazes de ver em toda a rede, então não podem controlar facilmente políticas, correlacionar dados, coordenar funções ou automatizar a detecção e resposta a ameaças. E isso está se tornando ainda mais complicado à medida que indústrias, países e regiões têm que se adaptar aos novos requisitos de conformidade, incorporando-os em sua estratégia de rede.
As organizações precisam de uma arquitetura de segurança cibernética que possa escalar e expandir para atender a essas novas demandas. Isso requer uma abordagem de plataforma de segurança totalmente integrada. Uma plataforma integrada fornece ampla visibilidade em toda a superfície de ataque digital, desde o ponto final até o ponto de acesso, da WAN ao data center, e até a multi-nuvem. Isso permite que elementos de segurança distribuídos conversem entre si, compartilhem informações sobre ameaças e até trabalhem juntos para fornecer uma resposta coordenada a ameaças.
Igualmente importante é a capacidade de segurança ser automatizada. Isso inclui a integração da segurança e da rede em um único sistema. Se um ponto final estiver comprometido, por exemplo, a plataforma de segurança deve dizer automaticamente ao switch ou ao ponto de acesso para tirá-lo da rede. A segmentação dinâmica permite que novos dispositivos sejam isolados com segurança de outros sistemas. E a inspeção de ordem mais alta pode ocorrer enquanto a infraestrutura de rede se concentra no desempenho e na entrega. Esse próximo nível de automação, onde segurança e rede fazem parte da mesma plataforma, é fundamental para ver e proteger as redes atuais.
Você é um defensor da rede orientada pela segurança. Como isso joga no impulso mais amplo para a confiança zero?
A rede orientada por segurança (SDN) é a convergência de rede e segurança. As redes fazem ajustes constantes para garantir que os aplicativos e serviços estejam funcionando da forma mais eficiente possível. Mas os dispositivos de rede só abordam a velocidade e a conectividade. A camada e a função acima da conectividade — como proteger aplicativos e conteúdo, autenticar usuários e dispositivos e aplicar regras para a região ou país onde uma transação ocorre — todos precisam ser manipulados por um dispositivo de segurança. Quando a segurança tem que esperar para responder a transações ou alterações de rede, como as soluções tradicionais de segurança de sobreposição fazem, ela pode introduzir falhas de segurança e ineficiências.
O SDN garante que sempre que os aplicativos são usados, quando usuários ou dispositivos tentam acessar recursos ou quando a conectividade de rede muda para manter um SLA, a segurança faz parte do processo para fornecer proteção automaticamente. Isso requer roteadores e switches, pontos de acesso, Wi-Fi, recursos privados ou públicos em nuvem e SD-WAN para funcionar perfeitamente com coisas como controles de acesso, segmentação de rede, firewalls de última geração, IPS, inspeção SSL e filtragem de conteúdo.
Com o SDN em vigor, as organizações podem proteger toda a sua rede distribuída usando um único mecanismo de política para permitir a automação. E quando combinada com análises em tempo real e detecção de ameaças, a rede pode ver e responder a novas ameaças assim que elas acontecerem. Chamamos isso de terceira geração de segurança de rede.
O primeiro passo é usar unidades de processamento de segurança personalizadas, ou ASICs, que permitem que a segurança seja executada tão rápido quanto a rede. Em seguida, todas as funções de segurança, incluindo controle de aplicativos, firewall e IPS, precisam ser consolidadas em uma única plataforma de firewall de última geração totalmente integrada sem comprometer a funcionalidade ou o desempenho. Em terceiro lugar, todos os dispositivos de segurança em qualquer ambiente e em qualquer fator de forma precisam trabalhar juntos como um sistema único e integrado que pode ser controlado através de um console de gerenciamento e com um conjunto de políticas. E, finalmente, todos esses elementos de segurança precisam ser fortemente integrados à rede para garantir proteções consistentes e aplicação de políticas, mesmo quando a rede se torna altamente dinâmica.
Essa estratégia é algo que o mercado de segurança vem prometendo há mais de uma década, mas que poucos fornecedores têm sido capazes de entregar. E agora, a recente borda do serviço de acesso seguro, ou SASE, o impulso do mercado valida ainda mais a necessidade de uma abordagem de rede orientada para a segurança.
À medida que as empresas adotam ferramentas de inteligência artificial e automação em sua estratégia de segurança, o que elas devem estar prestando atenção?
Historicamente, a maioria dos gastos com segurança tem sido focada na prevenção que envolve o uso de assinaturas ou correspondência de padrões para evitar que ataques quebrem seu perímetro. Mas muitas organizações querem expandir suas defesas para incluir a detecção. Eles precisam ver essas ameaças que passam por suas tecnologias de prevenção e, em seguida, pará-los antes que eles possam executar seus ataques.
O desafio é que ataques desconhecidos e de zero-day que passam por ferramentas tradicionais de prevenção não podem ser vistos usando ferramentas tradicionais. Detectar esses e outros ataques sofisticados requer que os analistas de segurança processem e correlacionem dados de muitas fontes diferentes para detectar uma violação de rede. Como resultado, muitas violações de rede bem sucedidas podem passar despercebidas por meses. Em contraste, a IA e o aprendizado de máquina podem olhar através de um monte de dados muito rapidamente para detectar ataques sofisticados e até mesmo ameaças de zero-day anteriormente desconhecidas – incluindo aquelas projetadas para escapar da detecção – para que possam ser identificadas e paradas antes que possam ser executadas.
Novos sistemas de detecção e resposta de ponto final (EDR) podem fazer a mesma coisa. As ferramentas EDR podem examinar proativamente a atividade do sistema de ponto final, detectar ameaças ativas e realmente impedir que o malware seja executado. Essas soluções mais novas dependem de aprendizado de máquina e inteligência artificial para detectar, identificar e alertar sobre comportamentos incomuns.
Mas a detecção é apenas parte do desafio. Novos ataques podem acontecer em microsegundos. É por isso que os dispositivos SIEM e os sistemas SOAR também precisam incluir IA e automação para detectar e parar automaticamente essas ameaças. No entanto, para que isso funcione na escala necessária, a inteligência artificial precisa ser aplicada em toda a superfície de ataque digital, incorporando-a em uma ampla gama de soluções, permitindo-lhes detectar, compartilhar, correlacionar e responder a ameaças como um único sistema.
Olhando para o futuro, o que está no horizonte de cibersegurança que você está prestando atenção que os líderes do setor público e privado devem se preparar?
Grande parte da transformação digital que acontece hoje está lançando as bases para o futuro dos sistemas inteligentes — carros inteligentes, edifícios, cidades e infraestruturas que incluem transporte inteligente, energia, manufatura e sistemas financeiros. Dispositivos móveis mais rápidos e inteligentes e novos modelos de edge computing, todos alimentados pelo 5G, acelerarão tudo isso ainda mais e mais rápido. E bilhões de novos dispositivos e ambientes de borda serão adicionados e interconectados em uma rede global de redes públicas e privadas.
Isso requer que a próxima geração de desenvolvimento de segurança se concentre na convergência, desempenho e automação. E isso só será possível para as soluções já projetadas para fazer parte de um sistema de segurança maior e integrado. Essas soluções precisarão ser amplamente implantadas em toda a superfície de ataque em todos os fatores de forma possíveis. Eles precisarão ser integrados juntos para trabalhar como um único tecido de segurança. E eles precisarão ser automatizados para que possam responder a ameaças sem intervenção humana. Isso inclui a necessidade de integrar ML e IA para que os sistemas possam ficar à frente de novas ameaças. Somente o uso de tecnologias avançadas projetadas para trabalhar em conjunto como um sistema único e integrado permitirá que a segurança opere e dimensione na velocidade dos negócios digitais.
Saiba mais sobre como tomar uma abordagem orientada à segurança para a rede para melhorar a experiência do usuário e simplificar as operações na borda WAN com a solução Secure SD-WAN da Fortinet.
FONTE: CYBERSCOOP