Na era do trabalho híbrido, os utilizadores remotos que não estiverem suficientemente protegidos podem deparar-se com muitos problemas – URLs e transferências maliciosas e ataques de rede, para citar apenas os mais comuns – que antigamente seriam resolvidos por máquinas que protegiam a “fortaleza” que é uma empresa.
Por Chester Wisniewski, Field CTO Applied Research, Sophos
Vivo no centro de uma cidade e a hora de almoço já não é como antigamente: embora algumas pessoas tenham voltado a trabalhar num escritório, a maioria não o fez. Olhando para trás, a pandemia foi um ponto de viragem para muitas coisas, e o ritmo de vida pautado pelo trabalho no escritório é algo que nunca mais voltará a ser como antes.
Com esta maior flexibilidade, os colaboradores não trabalham apenas a partir de casa, com os seus routers de Wi-Fi; agora podem passar parte do dia no parque ou no café, ou talvez até passar umas “férias a trabalhar”. Esta realidade significa que os responsáveis pela proteção dos ativos das empresas têm de assumir que os seus endpoints estão sempre em “território hostil”.
Mesmo antes da pandemia, as organizações que trabalhavam no sentido de melhorar a sua maturidade de segurança estavam frequentemente a tentar fazer algo a que chamamos “push left”. Este conceito tem origem no desenvolvimento de software, em que as fases do processo são conceptualizadas da esquerda para a direita, sendo a esquerda o início. Na área da segurança também utilizamos o termo “push left”, mas para nos referirmos à cadeia de ataque, que se move desde o reconhecimento, à esquerda, até à ação (roubo de dados ou outro objetivo do atacante), à direita.
Durante muitos anos, as estratégias de segurança mais abrangentes envolviam a defesa em profundidade. Contudo, agora a ideia que prevalece é que nem todas as tecnologias são adequadas para detetar um determinado tipo de ameaça, pelo que é melhor implementar várias, em camadas. Se conseguirmos detetar algo nos limites da rede através da firewall, do email ou dos filtros web, vamos conter a ameaça antes de esta ter qualquer impacto nas operações.
Assim, o ideal é detetar e bloquear um atacante o mais “à esquerda” possível, ou seja, o mais cedo possível. Deteções mais precoces também alertam os analistas de segurança para o facto de uma intrusão poder estar em curso, permitindo iniciar uma busca de ameaças (threat hunting) mais focada para antecipar as lacunas nas defesas que o atacante pode estar a tentar explorar.
Para os colaboradores no escritório, é possível centralizar o controlo destas defesas e oferecer uma proteção ótima. A questão é: somos capazes de oferecer o mesmo aos colaboradores remotos, independentemente da sua localização? Conseguimos monitorizar e responder às ameaças detetadas nos ativos quando estão fora do escritório? Para muitas empresas, isto não funcionou tão bem quanto desejado quando entrámos em confinamento – até porque muitas não tinham um plano.
Embora ainda existam muitas vantagens em monitorizar a rede quando se tem controlo sobre ela, incluindo a redução da sobrecarga dos endpoints e a capacidade de manter as ameaças afastadas dos ativos sensíveis, tendo em conta o panorama atual também temos de garantir que podemos levar o máximo possível desta proteção connosco quando estamos fora do escritório ou até de casa.
Por outro lado, temos de garantir não apenas que a proteção é otimizada, mas também que não perdemos a nossa capacidade de monitorizar, detetar e dar resposta a ataques dirigidos aos ativos remotos. A maioria das organizações passou a utilizar soluções EDR/XDR (ou planeia fazê-lo num futuro muito próximo), o que é um excelente começo – mas nem todas as soluções são abrangentes.
Na era do trabalho híbrido, os utilizadores remotos que não estiverem suficientemente protegidos podem deparar-se com muitos problemas – URLs e transferências maliciosas e ataques de rede, para citar apenas os mais comuns – que antigamente seriam resolvidos por máquinas que protegiam a “fortaleza” que é uma empresa. Os principais componentes em falta quando os utilizadores estão fora dessa “fortaleza” são os filtros HTTPS e a inspeção de conteúdos web que é normalmente implementada nas firewalls da próxima geração. Quando se juntam estas tecnologias à proteção de pré-execução, à deteção comportamental, aos modelos de machine learning, às firewalls de cliente, ao DLP, ao controlo de aplicações e ao XDR, começamos a ver um conjunto abrangente de defesas que os atacantes têm de ultrapassar, mesmo que os próprios endpoints estejam agora em várias localizações.
Por outro lado, para que iniciativas como o acesso à rede de confiança zero (ZTNA, na sua sigla em inglês) sejam eficazes, devemos não apenas integrar as aplicações com as quais interagimos, mas também os endpoints que se ligam a elas. Verificações simples, como ver se o sistema operativo está atualizado e se tem software de segurança instalado, podem ser um bom começo, mas nem todos os tipos de proteção são igualmente eficazes.
Estando a maioria dos dispositivos ligados à internet sempre que estão a ser utilizados, podemos tirar partido do poder da Cloud para ajudar a oferecer proteção e monitorização omnipresentes. Assim, as soluções de segurança modernas devem partir do princípio de que os endpoints ou quaisquer outros dispositivos, como telemóveis, estão sempre num ambiente hostil. A velha ideia de “dentro” e “fora” da rede não só está desatualizada, como é absolutamente perigosa.