Por que os firewalls não são suficientes para a contenção de ransomware
Há pouco tempo, administradores de rede e profissionais de segurança dependiam exclusivamente de firewalls físicos ou virtuais para conter violações de segurança. Mas com a proliferação de redes, a ascensão da nuvem e a explosão de ransomware e outros ataques, as organizações precisam de uma nova abordagem.
O que as empresas precisam hoje é de uma forma econômica e fácil de gerenciar de aplicar microsegmentação. Em outras palavras, eles precisam de um método para isolar máquinas, redes e aplicativos comprometidos para que não possam espalhar ransomware por todo o ambiente de TI da organização.
A segmentação baseada em host aponta o caminho a seguir graças à potencial facilidade de uso, escalabilidade e acessibilidade. Aqui está o porquê.
Três opções para segmentação
A segmentação se divide em três grandes categorias:
- Segmentação via rede
- Segmentação por meio de firewalls
- Segmentação baseada em host
Os administradores de rede costumavam depender da arquitetura de redes para ajudar a proteger os dados. Eles isolaram aplicativos e cargas de trabalho nas redes para impedir que compartilhassem dados. Dessa forma, qualquer máquina comprometida não poderia interferir nas máquinas ou nas cargas de trabalho em redes separadas. As redes virtuais e as LANs virtuais cumpriam essa função, assim como as redes físicas.
Por exemplo, os administradores poderiam colocar os sistemas financeiros em uma rede virtual e os sistemas de RH em uma rede diferente, impedindo que conversassem entre si.
Você pode pensar nessa abordagem como semelhante aos trilhos de trem; os dados só podem ir para onde a rede vai. E é eficaz, mas não confere muita flexibilidade ao seu ambiente, pois dificulta o compartilhamento de dados por cargas de trabalho.
A conexão de redes virtuais é onde o firewall entra. Aqui, as complicações surgem rapidamente, pois os administradores precisam descobrir quais portas precisam permanecer abertas, quais informações precisam ser transmitidas para quais outros ativos e quais regras precisam ser alteradas em resposta a novas ameaças.
Ainda assim, a abordagem de segmentação por firewall persiste como o principal método de segmentação para grandes organizações. Para usá-los, os administradores criam grupos e definem as regras de lista “permitir” e “negar” para controlar a comunicação entre esses grupos. As regras podem ser aplicadas por meio de firewalls de hipervisor físicos, virtuais ou distribuídos.
O firewall funciona como um controle de passaportes. Depois de identificar usuários, máquinas e redes, você os deixa passar ou os bloqueia, dependendo do que eles ou a organização desejam fazer.
A abordagem de firewall ainda é comum porque as organizações geralmente acumulam investimentos significativos em firewall ao longo do tempo que desejam aproveitar em resposta a novos ataques. Suas equipes também sabem como gerenciá-los e não querem adicionar mais produtos e custos aos seus portfólios de TI.
No entanto, a natureza dos ambientes de TI e do cenário de ameaças atuais superou os recursos de segmentação dos firewalls tradicionais. É por isso que as empresas agora precisam da escala, da velocidade e do desempenho da segmentação baseada em host.
Com a segmentação baseada em host, os administradores criam rótulos simples para cada carga de trabalho e desenvolvem regras para comunicação entre combinações de rótulos. Essa abordagem pode ser mais econômica e oferecer melhor segurança do que os firewalls isolados. Isso porque os firewalls vêm com muitas limitações.
O problema com firewalls
Firewalls enfrentam várias limitações críticas:
- Falta de visibilidade
- Velocidade mais lenta
- Incapacidade de implementar o ring-fencing de aplicativos
- Complexidade
- Falta de granularidade
- Custo
- Vulnerabilidade ao ransomware
A lentidão na implementação de um firewall é fundamental em uma era de expansão das cargas de trabalho e ameaças correspondentes.
Um firewall grande pode depender de uma lista de 1.000 ou mais regras. Se você quiser alterar uma delas, certifique-se de que a alteração não afete nenhuma das regras mais abaixo na lista. E você não pode testar essa regra alterada; basta implantá-la e esperar que algo não quebre. Tudo isso leva tempo. Tempo durante o qual as vulnerabilidades podem proliferar e o ransomware se espalhar.
Dada a complexidade e o tempo envolvidos, não é de admirar que um estimativa coloca o número de violações de firewall devido à configuração incorreta do firewall em 99 por cento.
Por outro lado, a segmentação baseada em host pode levar muito menos tempo e remover a complexidade do processo de reescrever as regras. Depende da visibilidade.
Como funciona a segmentação baseada em host
Em vez de ter que se esforçar para reescrever listas de regras durante um ataque de ransomware, a segmentação baseada em carga de trabalho fornece funções proativas e reativas para ajudar as equipes a se manterem a par das ameaças.
A segmentação baseada em host permite que as equipes de segurança e TI vejam todos os fluxos de comunicação e identifiquem riscos.
O Illumio fornece um mapa de dependência de aplicativos de conexões entre redes, máquinas e cargas de trabalho. Os usuários podem simplesmente clicar em um link no mapa para testar e aplicar uma regra imediatamente em todo o ambiente.
A partir daí, as organizações podem bloquear com rapidez e facilidade rotas de acesso desnecessárias e portas de alto risco ou tomar outras medidas proativas para segmentar o tráfego a fim de limitar o movimento lateral de malwares ou invasores.
Quando tudo mais falha, a segmentação funciona como um grande botão vermelho de emergência. Atingir isso pode impedir instantaneamente que o ransomware se espalhe por cargas de trabalho vulneráveis.
Microsegmentação com Illumio
A nuvem apresenta desafios adicionais aos firewalls tradicionais. Mover serviços para a nuvem também move seu gateway de Internet para a nuvem, para que você não seja mais o proprietário dele. E esse firewall que estava fazendo sua segmentação continua, exigindo que você crie uma solução diferente para essa função de qualquer maneira. O Illumio pode ser essa solução.
O Illumio trabalha com firewalls baseados em host existentes para fornecer visibilidade e proteção em tempo real para todo o seu ambiente de TI, seja na nuvem, no local ou em configurações híbridas. Ele também fornece escala; funciona da mesma forma se você tiver dois servidores ou 200.000.
É claro que ambientes complexos podem rapidamente se tornar difíceis de visualizar; é difícil ver o que está acontecendo em algo que parece uma tigela grande de espaguete. É por isso que o Illumio divide a visualização em mapas fáceis de entender. Por exemplo, ele pode mostrar ativos por geografia ou serviço em nuvem.
Quer ver o que está acontecendo com seus dados nos EUA? O que está acontecendo na Europa? Ou na AWS, Azure ou Google? Que tal aquela comunicação suspeita entre um servidor na Austrália e um termostato de aquário na Alemanha?
O Illumio facilita a visualização de tudo porque recupera essas informações do processo real na carga de trabalho. A partir daí, ele permite que você use a carga de trabalho em si para fazer a segmentação, em vez de um firewall externo, oferecendo a velocidade, a flexibilidade e a capacidade de resposta necessárias para enfrentar as ameaças atuais, onde quer que elas apareçam.
Cálculo de custos de firewalls versus segmentação baseada em host
O custo dos firewalls aumenta rapidamente. O preço do firewall depende do tamanho, que depende de fatores como os seguintes.
- Taxa de transferência — ou seja, a soma das interfaces Ethernet a serem endereçadas.
- Núcleos de processador necessários para executar firewalls virtuais — normalmente consumindo cerca de 25% dos recursos de um servidor.
- Número de soquetes — determinando quantas cargas de trabalho o servidor pode suportar.
Quanto maior a taxa de transferência, mais núcleos você precisa, o que significa que você precisa de mais soquetes e de um servidor mais caro. Esses custos podem aumentar rapidamente.
Esses cálculos do custo total de propriedade incluem o custo dos produtos, o número de mudanças normalmente necessárias em uma semana, o custo das pessoas implementando mudanças e outros fatores.
O futuro da segmentação
O Illumio abstrai camadas de complexidade, tornando o mais simples possível para os administradores segmentar ativos de forma proativa ou em resposta direta às ameaças, sem se preocupar com a configuração de suas redes.
É o que os ambientes de TI atuais exigem. Assim como segmentação de rede por si só, dando lugar aos firewalls, a segmentação baseada em carga de trabalho é a próxima etapa tecnológica necessária para desenvolver o que aconteceu antes.
Na era das cargas de trabalho na nuvem e das ameaças em expansão, o que é necessário agora é visibilidade e segmentação com base nas cargas de trabalho. Tudo é para fornecer o Confiança zero abordagem de segurança que é vital para as empresas atuais.
A microssegmentação baseada em cargas de trabalho também libera os profissionais de TI para tarefas mais produtivas do que reescrever laboriosamente as regras de firewall. E isso pode dar às empresas uma vantagem competitiva crucial em um mercado de trabalho restrito, no qual elas precisam passar pela transformação digital em uma velocidade vertiginosa para se manterem atualizadas.
Saiba mais sobre o benefícios da microsegmentação ou fale com nossos especialistas sobre como isso pode ajudar a proteger sua organização contra ransomware e outros ataques cibernéticos.