Sua empresa mais resiliente, quando o Dia D chegar

*Leonardo Carissimi

Quando as tropas aliadas desembarcaram nas praias da Normandia, no Dia D, enfrentaram uma brutal barreira. Elas bateram de frente com uma linha de defesa muito bem estabelecida e formada por fortalezas, inúmeras tropas inimigas e armamento pesado, construída para defender a todo custo o perímetro do território europeu ocupado. Foi uma batalha épica, já retratada em diversos livros, filmes e séries.

Uma vez vencida essa forte barreira, as tropas aliadas avançaram no território ocupado até Berlim. Houve muita resistência no caminho. Mas não tiveram que cruzar outra barreira como aquela. Os generais nazistas fortaleceram as linhas de defesa que protegiam o perímetro do território para que não fosse invadido. Mas dentro dele, não havia barreiras daquela dimensão isolando diferentes regiões em segmentos menores. Não havia recursos para implementar tal estratégia, mas se houvesse, teria levado a vários “Dias D” e a história poderia ter acabado diferente.

Setenta anos depois, toda empresa luta uma ciber guerra e tem a uma linha de frente no mundo digital para proteger-se de invasões que têm objetivos menos nobres do que aquela do passado. A Segurança de Perímetro digital começou com Listas de Acesso em roteadores, depois vieram os Firewalls, os Sistemas de Detecção de Intrusos (IDS), os Filtros de Conteúdo Web e E-mail, os Firewalls de Aplicações, e outros controles como gestão, monitoração e correlação dos eventos gerados por todos anteriores. A lista de controles disponíveis e aplicados pelas grandes empresas segue evoluindo pari passu com a evolução da tecnologia e das ameaças.

Mas, independentemente do tamanho das barreiras e do investimento feito para construí-las, gerenciá-las e monitorá-las, a história recente nos conta que o risco de que elas sejam rompidas por criminosos continua alto.

Recentemente, uma grande varejista norte-americana teve dados de cartão de crédito de 40 milhões de clientes roubados. A investigação subsequente apontou que os malfeitores invadiram os sistemas por meio de uma brecha no sistema de manutenção do ar-condicionado, sob responsabilidade de um terceiro. Outro caso recente é o de uma empresa petrolífera que foi invadida quando criminosos se infiltraram nos sistemas de um restaurante chinês muito apreciado pelos seus funcionários, infectando o cardápio online com software malicioso.

Em ambos os casos trata-se de empresas que faziam grandes investimentos em segurança (como possivelmente é o caso da sua), mas não adiantou. Isso é um indicativo de que uma nova estratégia de segurança precisa ser adotada, uma que assuma que você pode dificultar mas não impedir que um dia eles entrarão. Mas que torne sua empresa mais resiliente, controlando a extensão dos danos, quando o Dia D chegar.

Há soluções de alta tecnologia no mercado que podem limitar a ação dos criminosos, uma vez que consigam vencer a segurança do perímetro externo. A micro segmentação, por exemplo, cria pequenos Centros de Dados virtuais dentro do seu Centro de Dados. Assim, se o malfeitor tem acesso a sua rede por uma brecha no sistema de ar-condicionado, ele ficará limitado a isso. Se a falha for no cardápio do restaurante preferido dos seus funcionários, estará isolada e distante dos seus sistemas críticos. E assim por diante. A técnica permite isolar (micro segmentar) sistemas no Centro de Dados, criando diversos perímetros de segurança dentro do seu “território”.

Não nos referimos aqui à segmentação implementada com sub-redes em roteadores, firewalls ou switches (em redes locais virtuais – VLANs). Estas técnicas são custosas e complexas, baseadas em endereços de rede, requerem investimentos altos em hardware e software para sua implementação e resultam em ambientes complexos, de custo operacional alto e muito sujeitos a erros. Esta é uma estratégia tão custosa para implementar e manter quanto para espalhar muralhas pela Europa ocupada.

Nos referimos aqui a soluções tecnologicamente avançadas, de Rede Segura Definida por Software, que têm custo de implementação baixo e podem aproveitar o investimento já realizado em outro hardware e software. Têm custo operacional baixo pois micro segmentam sistemas e seus grupos de usuários por software, sendo simples e ágil reconfigurá-los. Usuários são autorizados por meio de sua identidade, em função do mínimo que precisam saber, limitando a quem de direito o acesso de modo seguro e onde quer que eles estejam, sem lidar com endereçamentos. E cobrem os micro segmentos com um manto criptográfico que os torna invisíveis aos usuários não autorizados. Ou seja, para quem não tem direito de acesso, aqueles micro segmentos simplesmente não existem, tornando-os imunes às técnicas de descoberta e varreduras usadas pelos criminosos para reconhecimento de ambientes. E alguém conseguiria invadir um sistema que não vê e que não sabe que existe?

Portanto, estratégias de segurança bem sucedidas devem aumentar a resiliência das empresas, ao incluir soluções de micro segmentação para isolar os sistemas e seus usuários em comunidades virtuais seguras, com custo baixo de implementação e administração.

Note que os piores danos não ocorrem quando os malfeitores atravessam o perímetro externo. Eles ocorrem quando eles se aproveitam da vantagem de terem entrado para se deslocar livremente dentro do Centro de Dados, fazendo varreduras e buscando seus sistemas e dados mais valiosos. No mundo digital, há alternativas econômicas para segmentar o “território” implementando barreiras virtuais ainda mais seguras que o primeiro perímetro. Conte com elas como aliadas para o sucesso do seu negócio neste mundo cada vez mais digital.

* Leonardo Carissimi lidera a Prática de Segurança da Unisys na América Latina