Trabalhando (ou estudando) em casa com segurança
O trabalho em casa é uma das grandes contradições dos nossos tempos. A primeira referência foi a longínquos 40 anos, feita por Alvim Toffler em seu best-seller “A Terceira Onda”, o livro que profetizou a era da informação. Mais ou menos vinte anos depois, Bill Gates fez suas também famosas previsões sobre o futuro em as pessoas teriam flexibilidade para trabalhar em qualquer lugar. O futuro chegou, porém mais ou menos. Hoje temos a tecnologia, até superior ao que foi imaginada, estamos à beira de uma revolução com a chegada do 5G e do WiFi-6, e a maioria dos colaboradores de empresas continuam trabalhando integralmente nos seus escritórios corporativos. Há, é claro, um fator cultural importantíssimo, ainda mais em nosso país. Somos seres sociais, e gostamos do contato e do papo de corredor. Apenas um fato extremo poderia quebrar isso, e foi o que aconteceu com a chegada do coronavirus. O futuro chegou, mas não exatamente da maneira que se imaginou.
Enviar todos os funcionários possíveis para trabalhar em casa não é algo trivial, apesar do que se possa parecer à primeira vista, e apesar das tecnologias estarem mais do que maduras. Os desafios são muitos, de diferentes tipos e graus, mas aqui gostaria de me ater somente aos de segurança da informação, até porque empresas simplesmente deixaram segurança para depois. Precisaram implementar a toque de caixa e um ou outro detalhe foi deixado de lado, as vezes porque não deu mesmo para fazer. Situações extremas requerem medidas extremas, diz o ditado, mas não é por isso que não se deva corrigir o mais rápido possível as vulnerabilidades, ainda mais se levarmos em conta que nossos adversários não estão tendo o mesmo problema, sempre “trabalharam” de casa.
O primeiro passo é entender onde estão todos os sistemas e aplicações que se necessita para trabalhar, e em seguida as tecnologias e recursos que temos à nossa disposição para acessá-los de qualquer lugar. Sistemas e aplicações podem ser divididos em dois tipos: o que está instalado na rede da empresa e o que está em nuvem. A realidade de praticamente todas as empresas é combinar ambos. O segundo é mais simples como deveria ser, então vamos começar pelo que está on-premisses.
Os sistemas tradicionais, de produção e escritório, foram desenhados e criados para o acesso a partir da mesma rede, mesmo aqueles otimizados de diferentes maneiras para o acesso remoto em grandes empresas distribuídas. A solução encontrada para permitir que uma pessoa acessasse tais sistemas remotamente foi a VPN, tecnologia publicada na virada do século e conhecida por dez entre dez profissionais de TI. Apesar disso há vários desafios, desde desempenho de sistemas legado que nunca foram pensados para esse uso, até os de segurança, que podem ser resumidos em uma só frase: a VPN é a melhor porta de entrada para um hacker invadir uma rede.
Ao se instalar uma VPN o perímetro da rede é estendido até o computador remoto, que passar a ser o novo perímetro. Se esse computador for invadido, e houver uma conexão VPN com a rede da empresa, o invasor poderá usufruir dela tal qual o funcionário, e com o mesmo benefício de uma conexão criptografada que talvez não vá ser analisada por um sistema de detecção de intrusos. Notem que não se está falando de “quebrar” a segurança da VPN, o que é um leigo normalmente pensa. O que é quebrado, ou invadido, é o computador do funcionário, e daí apenas se usa as conexões existentes. Logo, o ponto fundamental da segurança é o computador do usuário. Mas aqui há outro entendimento errado, o de pensar que basta ser um laptop da empresa que o risco é eliminado. Nem sempre.
A proteção desse computador se inicia com a proteção para o sistema operacional em geral (o que inclui os navegadores e programas correlatos), e aqui temos que ir além dos mecanismos embutidos e do antivírus tradicional, e se defender do malware avançado. O Cisco AMP for Endpoint, aliado ao Threat Grid – o sandbox da Cisco, preenche esse papel ao detectar malware a partir de diferentes técnicas, incluindo comportamento. Um dos grandes diferenciais do AMP é sua interface de gestão e investigação, que irei abordar em um artigo futuro.
A segunda linha de proteção é a autenticação em duas camadas, e nesse ponto devemos ir além do simples aperfeiçoamento do login da VPN. Como já comentei, o invasor não precisa quebrar o login da VPN para fazer seu intento. Até pode, mas não é um requerimento. Então é necessário proteger tanto o login da VPN – para que somente pessoas autorizadas obtenham acesso, como dos sistemas internos, para que um invasor não use indevidamente o acesso de um usuário autorizado. E a solução para isso está no Cisco DUO, sistema de múltiplo fator de autenticação, compatível tanto com sistemas em rede tradicional como em nuvem.
Mas há ainda uma terceira linha, estendida, baseada na tecnologia de DNS. Ela é útil mesmo quando um computador tem o Cisco AMP instalado, pois irá já bloquear acessos a páginas propagadoras de malware na origem, ou seja, no momento que a pesquisa DNS é feita. Adicionalmente irá bloquear conteúdo que a empresa julgue não apropriado, no caso de o computador pertencer à empresa. Mas ele será muito importante se este pertencer ao funcionário. Pode ser o computador familiar, o até o computador usado por seu filho para jogar Minecraft, o Cisco Umbrella irá criar uma barreira eficaz sem implicar na instalação de software pesado. Como atua através das pesquisas DNS, basta redirecionar o tráfego DNS via um aplicativo pequeno para análise, com a vantagem de proteger também a rede doméstica do funcionário.
O segundo tipo de aplicações são as residentes em nuvem. Como eu comentei, é mais simples, o que está longe de significar mais seguro. Há várias modalidades de contratação de serviços em nuvem, com diferentes implicações, obrigações e SLAs de segurança, porém alguns alertas são necessários. O primeiro deles é para as empresas que migraram seus sistemas e arquivos as pressas para redes publicas. Eles podem estar completamente expostos, não por vulnerabilidade do provedor e sim por erro de configuração. Torna-se necessário uma avaliação criteriosa da segurança. Mas há recomendações também para quem o fez com cuidado, ou já tinha seus sistemas ou arquivos em nuvem.
A primeira recomendação é com respeito à autenticação em múltiplos fatores, também com o Cisco DUO. Tanto aplicações como repositórios de arquivos devem ser protegidos, e aqui temos a vantagem de uma gestão unificada para todos os sistemas e tipos de acesso. Já arquivos deveriam ter uma camada extra, via um sistema CASB, como o Cisco Cloudlock. Finalmente, o fato da aplicação ou arquivo estar em nuvem não significa que o computador do usuário não precise ser protegido, e aqui entram também o Cisco AMP e o Cisco Umbrella. Todas essas medidas devem ser vistas não como uma camada extra do trabalho residencial, mas como um componente essencial para que ele não se torne uma dor de cabeça para a empresa.
Para experimentar as soluções da Cisco, como Umbrella, Duo, AnyConnect e AMP clique aqui e garanta a sua proteção e de seu negócio.
Tags:1 Comentários
Ótimo post Blog Cisco Brasil! Quer trabalhar em casa e se tornar um Empreendedor Digital de Sucesso? Acesse o link http://mon.net.br/pgftz