Por que os desastres cibernéticos ainda estão acontecendo — e como corrigi-los

Historicamente, a segurança cibernética nos setores público e privado seguiu um tema consistente: prevenção e detecção.

O problema? Prevenção e detecção não são suficientes. As violações ainda estão acontecendo.

Depois de décadas tentando prevenir e detectar ataques diretos de adversários — e fracassando — é hora de mudar o foco para a contenção. Quer Einstein tenha realmente dito isso ou não, o truísmo ainda é preciso: a definição de insanidade é fazer a mesma coisa repetidamente e esperar resultados diferentes.

Os métodos tradicionais de segurança não são suficientes para combater os adversários modernos

A maioria dos esforços das equipes de segurança se concentrou em tentar impedir que as ameaças entrem no data center ou na nuvem.

O perímetro norte-sul, a fronteira entre o exterior não confiável e o interior confiável, é onde a maioria das ferramentas de segurança foi colocada. É aqui que firewalls de próxima geração, scanners antivírus, proxies e outras ferramentas de segurança são implantados para inspecionar todo o tráfego de entrada para garantir que nada de ruim passe.

No entanto, todas as grandes violações de segurança dos últimos anos tiveram pelo menos uma dessas ferramentas implantada e a maioria está em conformidade com os requisitos de segurança. No entanto, os adversários entraram com sucesso na rede.

E uma vez dentro da rede, todos os adversários têm uma coisa em comum: gostam de se mover. Eles se espalham lateralmente, de leste a oeste, movendo-se de um host para outro em busca do alvo pretendido para a exfiltração de dados.

Muitas dessas violações foram descobertas muito depois de entrarem na rede, às vezes meses depois. Mesmo com a mudança da prevenção para a detecção, as ferramentas atuais não estão à altura dos adversários modernos, que são muito bons em evitar a detecção até que o dano seja causado.

Uma vez comprometida, a maioria das redes está totalmente aberta à propagação leste-oeste

Uma abordagem tradicional de segurança cibernética define tudo fora do perímetro como não confiável e tudo dentro do perímetro como confiável. O resultado é que geralmente há muito pouco para evitar que os adversários se espalhem lateralmente quando estão dentro do núcleo confiável.

Difundir host a host, aplicativo a aplicativo, em todos os segmentos de rede significa que a maioria das cargas de trabalho são alvos fáceis de enfrentar adversários que se movem rapidamente. E os segmentos de rede geralmente são muito ineficazes para impedir que se espalhem entre os hosts.

Os segmentos de rede são projetados para evitar problemas de rede, como DDoS ou falsificação de ARP. VLANs, sub-redes IP, pontos de peering de roteamento e redes de sobreposição SDN são criadas para controlar esses problemas e permitir a engenharia de tráfego na rede. Mas os adversários atravessam facilmente esses segmentos de rede, pois eles geralmente se propagam entre hosts por meio de portas que parecem tráfego legítimo.

Os dispositivos de rede examinam os cabeçalhos dos pacotes e bloquearão ou permitirão o tráfego com base nas portas encontradas nesses cabeçalhos. Mas descobrir adversários exige uma análise aprofundada da carga útil de dados dos pacotes, e isso exige a implantação de firewalls entre todos os hosts no caminho de todo o tráfego leste-oeste.

Isso rapidamente se torna caro e um potencial gargalo de rede, com cada pacote precisando ser “aberto” e inspecionado, contando com assinaturas, “sandboxes”, IA, aprendizado de máquina ou outros métodos complexos para tentar descobrir adversários sem diminuir a velocidade da rede.

Mesmo quando essa abordagem é testada, ela é rapidamente abandonada ou reduzida — e não oferece ROI sobre os dólares orçamentários conquistados com dificuldade. Isso deixa muito pouco para impedir a propagação leste-oeste e os hospedeiros permanecem abertos.

Quando a violação inevitável ocorre, as pessoas começam a apontar o dedo.

Organizações sem segmentação Zero Trust estão travando uma guerra que não podem vencer

Todos os perímetros são porosos. Até mesmo um limite de segurança perimetral efetivo de 99% acabará sendo violado. Ou uma violação de segurança entrará por dentro, acidental ou intencionalmente.

Aqueles que ainda estão tentando implantar ferramentas de segurança ainda mais caras no perímetro — e que continuam confiando que seus anfitriões não estão propagando nenhum tipo de ameaça de leste a oeste em sua rede — serão noticiados no dia seguinte como a última vítima de um ataque direto.

Qualquer pessoa que ignore a implementação da segurança em toda a sua estrutura leste-oeste estará travando uma batalha perdida.

A microssegmentação é uma parte importante de um Arquitetura Zero Trust em que cada recurso é um limite de confiança, desacoplado dos limites da rede.

A Illumio protege os vetores de ameaças leste-oeste dentro do data center e da nuvem em alta escala.

Cada carga de trabalho é microssegmentada de todas as outras cargas de trabalho, impondo um modelo de acesso com menos privilégios entre elas, com hosts identificados usando um modelo baseado em metadados e não seus endereços de rede. Isso significa que as cargas de trabalho implantadas nos hosts são identificadas por meio de sua função e não de sua localização, permitindo a visualização clara do comportamento da rede entre os hosts.

Saiba mais sobre microssegmentação aqui.

Obtenha visibilidade de como os aplicativos estão falando em sua rede

A visibilidade do tráfego de rede entre aplicativos, de uma perspectiva centrada em aplicativos, é um desafio usando dispositivos de rede, sejam dispositivos físicos em um data center ou dispositivos virtuais em uma nuvem pública.

Isso ocorre porque visualizar o comportamento e as dependências dos aplicativos a partir de switches, roteadores, firewalls ou ferramentas de monitoramento geralmente exige traduzir o comportamento da rede em comportamento do aplicativo e descobrir “quem está fazendo o quê com quem” entre aplicativos e hosts. Muitas vezes, isso rapidamente se torna mais confuso do que revelador.

Visualizar como os aplicativos se comunicam entre si em uma rede exige uma solução implantada diretamente nos hosts em que esses aplicativos residem.

O Illumio permite uma visão muito clara e precisa mapa de dependências entre todos os aplicativos em seu data center e na nuvem. Os hosts são agrupados com base em metadados, como função ou propriedade, e os fluxos de tráfego entre todos eles são exibidos com clareza.

Isso permite descobertas muito rápidas de violações de conformidade e de como os anfitriões estão se comunicando uns com os outros sem precisar tocar na rede ou na nuvem.

A Illumio revela quem está fazendo o quê e com quem em alta escala em todo o seu ambiente para ajudar você a quantificar o risco entre os anfitriões e mostrar quais portos de risco estão expostos a possíveis comprometimentos.

Implemente a segmentação Illumio Zero Trust para impedir o movimento leste-oeste dos adversários

O modelo de segurança de prevenção está desatualizado e o modelo de segurança de detecção nunca é rápido o suficiente para impedir a propagação lateral.

O modelo de segurança moderno precisa presumir que uma violação ocorrerá ou já ocorreu. Essa mentalidade não se concentra em tentar preservar a saúde de um hospedeiro comprometido, mas isola rapidamente os adversários e evita que eles se espalhem, tudo sem precisar entender exatamente quem é o adversário.

Os vetores de ameaças leste-oeste podem ser aplicados e visualizados usando a solução da Illumio para segurança centrada em aplicativos do ponto de vista do aplicativo.

Quer a violação venha de um adversário patrocinado pelo estado ou de uma gangue criminosa, essa ameaça é isolada e impedida de se espalhar.

A insanidade deve — e pode — ser interrompida.

Quer saber mais sobre a segmentação Illumio Zero Trust? Entre em contato conosco hoje.