O firewall nosso de cada dia
Quando o aumento da complexidade limita ou atrasa seu processo de tomada de decisão, é sempre útil “focar no fundamental” como forma de abordar a situação existente de maneira mais eficiente. Com esse entendimento, devemos nos lembrar das três funções fundamentais que o firewall foi projetado para executar:
1) Operar como o núcleo da sua infraestrutura de segurança de rede.
2) Agir como ponto de controle de acesso para todo o tráfego - permitindo ou negando tráfego na rede com base em políticas.
3) Eliminar o risco do “desconhecido” usando um modelo de controle positivo determinante - que permite aquilo que você quer e nega implicitamente todo o resto.
Com o passar do tempo, as funções fundamentais executadas pelo seu firewall foram anuladas pelo mesmo tráfego que deveriam controlar. Os aplicativos evoluíram de forma que o firewall tem dificuldade para exercer os níveis de controle necessários para proteger seus ativos digitais.
Pular portas, usar portas não padrão e criptografia são algumas das formas utilizadas pelos aplicativos para se tornarem mais acessíveis. As mesmas técnicas também são usadas por cibercriminosos, ocultando ameaças no tráfego de aplicativos. Para complicar ainda mais os desafios introduzidos por esses aplicativos modernos, existe o fato de que seus funcionários, provavelmente, usam esses mesmos aplicativos como forma de auxílio à realização de seus trabalhos. Alguns exemplos de aplicativos e ameaças encontrados na sua rede incluem:
- Aplicativos comuns de usuário final: Estes aplicativos incluem mídia social, compartilhamento de arquivos, vídeo, mensagem instantânea e e-mail. Coletivamente, representam aproximadamente 25% dos aplicativos da sua rede e 20% da largura de banda. Utilizados para fins corporativos ou pessoais, são geralmente altamente extensíveis e incluem recursos que podem introduzir riscos indesejados. Dessa forma, o desafio é saber como atingir um equilíbrio apropriado para bloquear alguns e permitir outros com segurança.
- Principais aplicativos empresariais: São esses que conduzem seus negócios; eles abrangem seus ativos mais valiosos (ex: bancos de dados, serviços de arquivo e impressão, diretórios). Este grupo de aplicativos é grande alvo de ataques cibernéticos através de ataques multi-facetados e seu desafio é descobrir como isolá-lo e protegê-lo da melhor maneira possível de ataques furtivos que facilmente transpassam o seu firewall e IPS usando técnicas comuns de evasão.
- Infraestrutura e aplicativos personalizados: Este grupo de aplicativos representa os principais aplicativos da infraestrutura, como SSL, SSH e DNS, bem como aqueles desenvolvidos internamente, personalizados e desconhecidos. Eles são comumente usados para mascarar comandos e tráfegos gerados por botnets e outros tipos de malware. Curiosamente, vários destes aplicativos usam uma ampla gama de portas não padrão. Oitenta e cinco dos 356 aplicativos que usam SSL nunca usam a porta 443, nem as portas SSL definidas (37 pulam portas, 28 usam tcp/80, 20 usam portas diferentes de tcp/443).
Para tentar abordar estes desafios os fornecedores de firewall de rede estão repensando a forma como identificam e controlam o tráfego com base no próprio aplicativo, em vez de apenas na porta e no protocolo. Coletivamente, os firewalls capazes de exercer uma abordagem centralizada nos aplicativos para controlá-los são agora descritos como “próxima geração”.
Existem dois motivos óbvios para este foco renovado nos fundamentos. Em primeiro lugar, os aplicativos e as ameaças associadas podem facilmente escapar de firewalls baseados em portas, bem como de elementos adicionais de prevenção contra ameaças. Em segundo lugar, o firewall é o único local que vê todo o tráfego que flui pela sua rede e, ainda assim, é o local mais lógico para aplicar políticas de controle de acesso. O valor deste foco renovado é óbvio: sua postura de segurança deve melhorar, enquanto o esforço administrativo associado ao gerenciamento de firewall e resposta à incidentes deve diminuir ou, no mínimo, manter-se constante.
Fonte: Palo Alto Networks - 10 coisas que seu próximo Firewall deve fazer