No último ano, a estratégia de microssegmentação tornou-se conhecida e ganhou força no mercado de segurança cibernética. Também pudera, ela é um dos elementos-chave na adoção do paradigma de “Defesa em Profundidade”. Mas é mais do que isso. Além de aumentar a segurança, é fácil de implementar e representa uma oportunidade concreta de reduzir custos. Vejamos mais sobre tudo isso.
Recapitulando, a Defesa em Profundidade é o conceito no qual diferentes camadas de segurança são implementadas. O objetivo é manter-se protegido mesmo que um criminoso seja capaz de contornar uma dessas camadas, pois sua ação mal-intencionada é detida pela segurança oferecida pela próxima.
Assim, exemplificando, um firewall e um antivírus complementam-se na Defesa em Profundidade: se um criminoso envia um vírus anexado a um e-mail a seus usuários, esse pode passar pelo firewall (como um e-mail “normal”) e vir a ser bloqueado apenas na estação de trabalho do usuário, pelo antivírus.
Ou não. Aliás, pelo insistente e crescente volume de ataques bem-sucedidos realizados por e-mail, nota-se que antivírus e outras soluções de segurança para estações de trabalho já não são suficientes, ainda que essenciais.
Ataques como phishing (aquele no qual o criminoso envia um e-mail falso fazendo-se passar por entidades de boa reputação, induzindo o usuário ao erro de clicar em links maliciosos) são a grande fonte de renda de criminosos no mundo. E o Brasil é um dos campeões no tema. Vide manchetes recentes sobre o
Grupo Poseidon.
Uma vez ultrapassada a camada mais externa (firewall e outros elementos de segurança perimetral), com técnicas como o phishing ou quaisquer outras, o criminoso passa a mover-se lateralmente na rede invadida, para explorar alvos de alto valor.
Não é brincadeira. Há dois anos uma grande varejista norte-americana sofreu o roubo de dados de mais de 100 milhões de clientes, a partir de uma pequena brecha no sistema eletrônico de ar condicionado. O caso foi tão sério que o presidente da empresa (CEO) perdeu o emprego.
É preciso que exista uma camada de segurança que contenha a ação do criminoso no caso das outras falharem, para restringir seu raio de ação. Por isso a microssegmentação cresce.
Ao ser implementada em uma rede corporativa ou data center, isola sistemas com diferentes requisitos de segurança em pequenas redes locais virtuais (microssegmentos). A segurança dessas pequenas redes se dá por meio de tecnologia criptográfica que as cobre com um manto de invisibilidade seletiva, isto é, elas são visíveis apenas pelos usuários autorizados. Para quem não tem direito de acesso, aqueles microssegmentos simplesmente não existem.
Os equipamentos neles contidos tornam-se invisíveis a atacantes e, portanto, imunes às técnicas de varreduras de endereços e portas. Restringe-se a movimentação lateral e, consequentemente, a extensão dos danos. O ataque à varejista mencionado se restringiria ao ar condicionado e o CEO manteria seu emprego.
Mas a microssegmentação não é apenas interessante por aumentar a segurança. Sua implementação, diferente de outros controles, é bastante transparente. Pode ser realizada sem alterações na infraestrutura, de forma independente das camadas de hardware e software existentes, preservando o investimento já realizado.
Mesmo que a rede seja heterogênea, com elementos de fabricantes diferentes. Isso é possível pois soluções avançadas usam o conceito de Microssegmentação por Software. Essa característica permite um ganho significativo no nível de segurança, em poucos dias. E uma implementação sem riscos de impacto nos serviços de TI.
Finalmente, mas não menos importante, é a oportunidade que a microssegmentação traz de redução de custos – tanto despesas de capital (Capex) como operacionais (Opex). Redução de custos nas áreas de segurança, infraestrutura e rede.
Isso é possível pois os microssegmentos podem simplificar substancialmente as complexas arquiteturas de sub-redes (LANs ou VLANs). Atualmente, grandes empresas têm alto custo decorrente da administração de dezenas ou centenas de sub-redes e seus diferentes endereços IP, máscaras, VLANs, portas de switch etc. Além disso, essa complexa arquitetura de rede impacta na de segurança, que se obriga a adotar listas de controles de acesso ou firewalls para segregar diferentes LANs e VLANs internas.
Atualmente, há empresas com milhões de regras de firewalls. E há empresas as que reduziram em mais de 90%, uma vez implementada a microssegmentação. Essas simplificações evidentemente reduzem o custo de administrar o ambiente, mas também melhoram a segurança uma vez que minimizam a possibilidade de erros.
Enfim, em um cenário de ameaças cibernéticas crescentes e orçamentos restritos, a microssegmentação apresenta-se como uma alternativa inteligente ao atender satisfatoriamente aos dois temas. E mais, dada sua característica de rápida implementação, pode gerar benefícios técnicos e econômicos já no curto prazo. Por tudo isso, vem recebendo tratamento prioritário. Merecidamente.
* Leonardo Carissimi lidera a Prática de Segurança da Unisys na América Latina
