Jamey Heary da Cisco: Organizações que trabalham com informações confidenciais, usam WiFi criptografado, VPN e aplicativos criptografados

Em 18 de outubro(October 18th) , fomos convidados para o Cisco Connect 2017 . Neste evento, nos encontramos com o especialista em segurança (security expert) Jamey Heary . Ele é um Distinguished Systems Engineer na Cisco Systems , onde lidera a Equipe de Arquitetura de Segurança Global(Global Security Architecture Team) . Jamey é um (Jamey)consultor e arquiteto de segurança(security advisor and architect) confiável para muitos dos maiores clientes da Cisco . Ele também é autor de livros(book author) e ex -blogueiro da Network World(Network World blogger). Conversamos com ele sobre segurança na empresa moderna, os problemas de segurança significativos que estão afetando empresas e organizações e as vulnerabilidades mais recentes que afetam todas as redes e clientes sem fio ( KRACK ). Aqui está o que ele tinha a dizer:

Nosso público é composto por usuários finais e usuários de negócios. Para começar e se apresentar um pouco, como você descreveria seu trabalho na Cisco , de forma não corporativa?

Minha paixão é a segurança. O que eu me esforço para fazer todos os dias é ensinar meus clientes e usuários finais sobre arquitetura. Por exemplo, falo sobre um produto de segurança(security product) e como ele se integra a outros produtos (próprios ou de terceiros). Portanto, eu lido com a arquitetura(system architecture) do sistema de uma perspectiva de segurança(security perspective) .

Jamey Heary, Cisco

Em sua experiência como especialista em segurança(security expert) , quais são as ameaças de segurança mais significativas para a empresa moderna?

Os grandes são a engenharia social e o ransomware(engineering and ransomware) . Este último causa devastação em muitas empresas, e vai piorar porque há muito dinheiro nele. É provavelmente a coisa mais lucrativa que os criadores de malware descobriram como fazer.

Vimos que o foco dos "bandidos" está no usuário final. Ele ou ela é o elo mais fraco agora. Nós tentamos como indústria treinar pessoas, a mídia fez um bom trabalho em divulgar como você pode se proteger melhor, mas ainda assim, é bastante trivial enviar a alguém um e-mail direcionado e fazê-lo aceitar uma ação que você deseja: clique em um link, abra um anexo, o que você quiser.

A outra ameaça são os pagamentos online. Continuaremos a ver melhorias nas formas como as empresas aceitam pagamentos online, mas, até que a indústria implemente formas mais seguras de receber pagamentos online, essa área será um grande fator de risco(risk factor) .

Quando se trata de segurança, as pessoas são o elo mais fraco e também o foco principal dos ataques. Como poderíamos lidar com esse problema, já que a engenharia social é uma das principais ameaças à segurança?

Há muita tecnologia que podemos aplicar. Há muito que você pode fazer por uma pessoa, especialmente em uma indústria onde algumas pessoas tendem a ser mais úteis do que outras. Por exemplo, no setor de saúde(healthcare industry) , as pessoas só querem ajudar os outros. Então você envia a eles um e-mail malicioso, e eles são mais propensos a clicar no que você envia do que pessoas em outros setores, como um departamento de polícia(police department) .

Então temos esse problema, mas podemos usar a tecnologia. Uma das coisas que podemos fazer é a segmentação, que pode reduzir drasticamente a superfície de ataque(attack surface) disponível para qualquer usuário final. Chamamos isso de " confiança zero(zero trust) ": quando um usuário se conecta à rede da empresa(company network) , a rede entende quem é o usuário, qual é o seu papel na organização, quais aplicativos o usuário precisa acessar, entenderá a máquina do usuário e qual é a postura de segurança(security posture) da máquina, em um nível muito detalhado. Por exemplo, pode até dizer coisas como a prevalência de um aplicativo que o usuário possui. A prevalência(Prevalence) é algo que consideramos eficaz e significa quantas outras pessoas no mundo usam(world use)esta aplicação, e quantos em uma determinada organização. Na Cisco , fazemos essa análise por meio de hash: pegamos um hash de um aplicativo e temos milhões de endpoints, e eles voltam e dizem: "a prevalência neste aplicativo é de 0,0001%". A prevalência(Prevalence) calcula quanto um aplicativo é usado no mundo e depois em sua organização. Ambas as medidas podem ser muito boas para descobrir se algo é muito suspeito e se merece uma análise mais detalhada.

Você tem uma série interessante de artigos no Network World sobre sistemas de gerenciamento de dispositivos móveis(Mobile Device Management) ( MDM ). No entanto, nos últimos anos, este assunto parece ser menos discutido. O interesse da indústria em tais sistemas está diminuindo? O que está acontecendo, na sua perspectiva?

Poucas coisas aconteceram, uma das quais é que os sistemas MDM ficaram bastante saturados no mercado. Quase(Almost) todos os meus clientes maiores têm um desses sistemas. A outra coisa que aconteceu é que os regulamentos de privacidade e a mentalidade(privacy mindset) de privacidade dos usuários mudaram de tal forma que muitas pessoas não fornecem mais seus dispositivos pessoais (smartphone, tablet, etc.) para sua organização e permitem que um software MDM(MDM software) seja instalado. Então temos essa competição: a empresa quer ter acesso total aos dispositivos que são usados ​​por seus funcionários para que possa se proteger e os funcionários se tornaram muito resistentes a essa abordagem. Há essa batalha constante entre os dois lados. Vimos que a prevalência deOs sistemas de MDM(MDM) variam de empresa para empresa, dependendo da cultura e valores(company culture and values) da empresa e de como cada organização deseja tratar seus funcionários.

Isso afeta a adoção de programas como Bring Your Own Device ( BYOD ) para funcionar?

Sim, faz totalmente. O que está acontecendo, em grande parte, é que as pessoas que estão usando seus próprios dispositivos na rede corporativa, os utilizam em uma área muito controlada. Novamente(Again) , a segmentação entra em jogo. Se eu levar meu próprio dispositivo para a rede corporativa, talvez eu possa acessar a internet, algum servidor web(web server) corporativo interno , mas de forma alguma poderei acessar os servidores de banco de dados, os aplicativos críticos da minha empresa ou seus dados críticos desse dispositivo. Isso é algo que fazemos programaticamente na Cisco para que o usuário vá para onde precisa na rede da empresa,(company network) mas não para onde a empresa não quer que o usuário vá, a partir de um dispositivo pessoal.

O problema de segurança(security issue) mais importante no radar de todos é o " KRACK " ( Key Reinstallation AttaCK ), afetando todos os clientes e equipamentos da rede que usam o esquema de criptografia WPA2 . (WPA2 encryption)O que a Cisco está fazendo para ajudar seus clientes com esse problema?

É uma grande surpresa que uma das coisas em que confiamos por anos agora seja quebrável. Isso nos lembra dos problemas com SSL , SSH e todas as coisas em que acreditamos fundamentalmente. Todos eles se tornaram "não dignos" de nossa confiança.

Para este problema, identificamos dez vulnerabilidades. Desses dez, nove deles são baseados no cliente, então temos que consertar o cliente. Um deles está relacionado à rede. Para esse, a Cisco vai lançar patches. Os problemas são exclusivos do ponto de acesso(access point) e não precisamos consertar roteadores e switches.

Fiquei encantado ao ver que a Apple conseguiu suas correções no código beta(beta code) para que seus dispositivos clientes em breve sejam totalmente corrigidos. O Windows(Windows) já tem um patch pronto(patch ready) , etc. Para a Cisco , o caminho é simples: uma vulnerabilidade em nossos pontos de acesso e vamos lançar patches e correções.

Até que tudo seja consertado, o que você recomendaria que seus clientes fizessem para se proteger?

Em alguns casos, você não precisa fazer nada, porque às vezes a criptografia é usada dentro da criptografia. Por exemplo, se eu for ao site do meu banco, ele usará TLS ou SSL(TLS or SSL) para segurança das comunicações, que não é afetado por esse problema. Então, mesmo se eu estiver passando por um WiFi aberto , como o da Starbucks , isso não importa tanto. Onde esse problema com o WPA2 entra em jogo é no lado da privacidade(privacy side) . Por exemplo, se eu for a um site e não quiser que os outros saibam disso, agora eles saberão porque o WPA2 não é mais eficaz.

Uma coisa que você pode fazer para se proteger é configurar conexões VPN . Você pode se conectar à rede sem fio, mas a próxima coisa que você precisa fazer é ativar sua VPN . A VPN funciona bem porque cria um túnel criptografado passando pelo WiFi . Ele funcionará até que a criptografia da VPN(VPN encryption) também seja hackeada e você precise descobrir uma nova solução. 🙂

No mercado consumidor(consumer market) , alguns fornecedores de segurança estão agregando VPN com seus antivírus e suítes de segurança total. Eles também estão começando a conscientizar os consumidores de que não basta mais ter um firewall e um antivírus, você também precisa de uma VPN . Qual é a abordagem da Cisco em relação à segurança para a empresa? Você também promove ativamente a VPN como uma camada de proteção(protection layer) necessária ?

A VPN(VPN) faz parte dos nossos pacotes para empresas. Em circunstâncias normais, não falamos sobre VPN dentro de um túnel criptografado e WPA2(tunnel and WPA2) é um túnel criptografado. Normalmente, porque é um exagero e há uma sobrecarga que precisa acontecer no lado do cliente(client side) para que tudo funcione bem. Na maioria das vezes, não vale a pena. Se o canal já está criptografado, por que criptografá-lo novamente?

Nesse caso, quando você for pego com as calças na mão porque o protocolo de segurança WPA2(WPA2 security) está fundamentalmente quebrado, podemos recorrer à VPN , até que os problemas sejam corrigidos com o WPA2 .

Mas tendo dito que, no espaço de inteligência(intelligence space) , as organizações de segurança como um tipo de organização do Departamento(Department) de Defesa(Defense type) , eles vêm fazendo isso há anos. Eles contam com VPN , além de criptografia sem fio e, muitas vezes, os aplicativos no meio de sua VPN também são criptografados, então você obtém uma criptografia de três vias, todas usando diferentes tipos de criptografia. Eles fazem isso porque são "paranóicos" como deveriam ser. :))

Em sua apresentação no Cisco Connect , você mencionou a automação como sendo muito importante na segurança. Qual é a sua abordagem recomendada para automação em segurança?

A automação se tornará um requisito rapidamente porque nós, como seres humanos, não podemos nos mover rápido o suficiente para impedir brechas de segurança e ameaças. Um cliente teve 10.000 máquinas criptografadas por ransomware em 10 minutos. Não há nenhuma maneira humanamente possível de você reagir a isso, então você precisa de automação.

Nossa abordagem hoje(approach today) não é tão pesada quanto deveria ser, mas, quando vemos algo suspeito, um comportamento que parece uma violação, nossos sistemas de segurança dizem à rede para colocar esse dispositivo ou usuário em quarentena. Isso não é purgatório; você ainda pode fazer algumas coisas: você ainda pode acessar a Internet ou obter dados dos servidores de gerenciamento de patches . (patch management)Você não está totalmente isolado. No futuro, talvez tenhamos que mudar essa filosofia e dizer: uma vez em quarentena, você não terá acesso porque é muito perigoso para sua organização.

Como a Cisco está usando a automação em seu portfólio de produtos de segurança?

Em certas áreas, usamos muita automação. Por exemplo, no Cisco Talos , nosso grupo de pesquisa de ameaças(threat research group) , obtemos dados de telemetria de todos os nossos widgets de segurança e muitos outros dados de outras fontes. O grupo Talos(Talos group) usa aprendizado de máquina(machine learning) e inteligência artificial para classificar milhões de registros todos os dias. Se você observar a eficácia ao longo do tempo em todos os nossos produtos de segurança, é incrível, em todos os testes de eficácia de terceiros.

O uso de ataques DDOS está diminuindo?

Infelizmente, o DDOS como método de ataque(attack method) está vivo e bem, e está piorando. Descobrimos que os ataques DDOS tendem a ser direcionados a certos tipos de corporações. Tais ataques são usados ​​tanto como isca quanto como arma de ataque(attack weapon) primária . Existem também dois tipos de ataques DDOS : volumétricos e(volumetric and app) baseados em aplicativos. A volumétrica ficou fora de controle se você observar os números mais recentes de quantos dados eles podem gerar para derrubar alguém. É ridículo.

Um tipo de corporação que é alvo de ataques DDOS são as do varejo, geralmente durante as festas de fim de ano(holiday season) ( a Black Friday está chegando!). O outro tipo de empresa que é alvo de ataques DDOS são aquelas que trabalham em áreas controversas, como petróleo e gás(oil and gas) . Neste caso, estamos lidando com pessoas que têm uma causa ética e moral particular, que decidem DDOS uma organização ou outra porque não concordam com o que estão fazendo. Essas pessoas fazem isso por uma causa, por um propósito, e não pelo dinheiro envolvido.

As pessoas trazem para suas organizações não apenas seus próprios dispositivos, mas também seus próprios sistemas em nuvem ( OneDrive , Google Drive , Dropbox etc.). Isso representa outro risco de segurança(security risk) para as organizações. Como um sistema como o Cisco Cloudlock está(Cisco Cloudlock) lidando com esse problema?

O Cloudlock(Cloudlock) faz duas coisas fundamentais: primeiro, está dando a você uma auditoria de todos os serviços de nuvem que estão sendo usados. Integramos o Cloudlock com nossos produtos da web para que todos os logs da web possam ser lidos pelo Cloudlock . Isso lhe dirá para onde todos na organização estão indo. Então você sabe que muitas pessoas estão usando seu próprio Dropbox , por exemplo.

A segunda coisa que o Cloudlock faz é que ele é todo feito de API 's que se comunicam com serviços em nuvem. Dessa forma, se um usuário publicou um documento da empresa(company document) no Box , o Box imediatamente informa ao Cloudlock que um novo documento chegou e ele deve dar uma olhada nele. Então, vamos olhar para o documento, categorizá-lo, descobrir o perfil de risco(risk profile) do documento, bem como ele foi compartilhado com outras pessoas ou não. Com base nos resultados, o sistema interromperá o compartilhamento desse documento por meio do Box ou permitirá.

Com Cloudlock você pode definir regras como: "isso nunca deve ser compartilhado com ninguém fora da empresa. Se for, desligue o compartilhamento." Você também pode fazer criptografia sob demanda, com base na criticidade de cada documento. Portanto, se o usuário final(end user) não criptografar um documento comercial(business document) crítico , ao publicá-lo no Box , o Cloudlock forçará a criptografia desse documento automaticamente.

 

Gostaríamos de agradecer a Jamey Heary por esta entrevista e suas respostas sinceras. Se você quiser entrar em contato, você pode encontrá-lo no Twitter(on Twitter) .

Ao final deste artigo, compartilhe sua opinião sobre os assuntos que discutimos, usando as opções de comentários disponíveis abaixo.



Ariadna das Dores

About the author

Sou engenheiro de software com mais de 10 anos de experiência na indústria Xbox. Sou especialista em desenvolvimento de jogos e testes de segurança. Também sou um revisor experiente e tenho trabalhado em projetos para alguns dos maiores nomes dos jogos, incluindo Ubisoft, Microsoft e Sony. No meu tempo livre, gosto de jogar videogame e assistir a programas de TV.


Related posts