Panorama de Negócios
03 de fevereiro de 2015.
ARTIGO DE KURT ROEMER
Um movimento de grandes proporções jáestá alterando como as companhias administram suas informações. As organizações
querem gerenciar tudo: aplicativos, dados, redes de trabalho, armazenamento e
servidores. Mas a tecnologia móvel e de nuvem, impulsionada por
tendências como “traga seu próprio dispositivo” (BYOD na sigla em
inglês) e software como serviço (SaaS), ampliou muito o acesso às informações
corporativas.
Relatos de ataques cibernéticos
realizados por hackers externos geram manchetes, mas ao focar apenas nesse
aspecto do problema, corremos o risco de ignorar riscos ainda maiores, como o
erro humano e atividades maliciosas que ocorrem dentro das companhias. Os
usuários querem acessar suas informações de qualquer lugar, a partir de
qualquer dispositivo e a qualquer momento. Essa expectativa criou problemas
adicionais de segurança.
realizados por hackers externos geram manchetes, mas ao focar apenas nesse
aspecto do problema, corremos o risco de ignorar riscos ainda maiores, como o
erro humano e atividades maliciosas que ocorrem dentro das companhias. Os
usuários querem acessar suas informações de qualquer lugar, a partir de
qualquer dispositivo e a qualquer momento. Essa expectativa criou problemas
adicionais de segurança.
Ao iniciar sessões com credenciais
válidas, o modelo de acesso tradicional praticamente abria “a porta do
cofre”, criando um passe livre para acessar qualquer informação
corporativa. O resultado era uma série de vazamentos de dados e ataques
de alta repercussão.
válidas, o modelo de acesso tradicional praticamente abria “a porta do
cofre”, criando um passe livre para acessar qualquer informação
corporativa. O resultado era uma série de vazamentos de dados e ataques
de alta repercussão.
O relatório sobre vazamentos publicado
pela Verizon em 2014 revelou que o índice de detecção de fraudes está caindo e
muitos ataques foram descobertos pelas autoridades ou terceiros e não pelas
próprias empresas. Em 2014, foram necessárias várias semanas para descobrir a
grande maioria (88%) dos ataques cibernéticos. O extravio de informações,
seja em função de erro humano ou atividade maliciosa, pode ocorrer em poucos
minutos. Obviamente, é necessário um novo modelo.
pela Verizon em 2014 revelou que o índice de detecção de fraudes está caindo e
muitos ataques foram descobertos pelas autoridades ou terceiros e não pelas
próprias empresas. Em 2014, foram necessárias várias semanas para descobrir a
grande maioria (88%) dos ataques cibernéticos. O extravio de informações,
seja em função de erro humano ou atividade maliciosa, pode ocorrer em poucos
minutos. Obviamente, é necessário um novo modelo.
Recriando o acesso
Para enfrentar esses desafios de segurança
com sucesso, é preciso um modelo simplificado que pode ser aplicado a qualquer
pedido de acesso ou decisão de realizar uma transação. As cinco perguntas a
seguir são fundamentais para a construção desse novo modelo:
com sucesso, é preciso um modelo simplificado que pode ser aplicado a qualquer
pedido de acesso ou decisão de realizar uma transação. As cinco perguntas a
seguir são fundamentais para a construção desse novo modelo:
- Quem
está pedindo acesso? - O
que essa pessoa está acessando? - Em
que momento o acesso está acontecendo? - Em
que lugar do mundo essa pessoa se encontra? - Por
que essa pessoa precisa de acesso?
Vamos avaliar esses elementos para
ver como a análise contextual e a modelagem de comportamento podem promover a
detecção mais eficaz de fraudes e autorizar acesso de maneira específica e
apropriada.
ver como a análise contextual e a modelagem de comportamento podem promover a
detecção mais eficaz de fraudes e autorizar acesso de maneira específica e
apropriada.
Estabelecendo identidades e critérios
de acesso
de acesso
O conceito de identidade está
evoluindo rapidamente. Isso não é apenas uma questão de informações do
usuário, ID e senha, ou autenticação de dois fatores. A única solução para
estabelecer o contexto e avaliar a necessidade de medidas de seguranças
adicionais é de analisar quem é a pessoa e o que pretende fazer.
evoluindo rapidamente. Isso não é apenas uma questão de informações do
usuário, ID e senha, ou autenticação de dois fatores. A única solução para
estabelecer o contexto e avaliar a necessidade de medidas de seguranças
adicionais é de analisar quem é a pessoa e o que pretende fazer.
É possível iniciar uma sessão e
acessar informações públicas usando uma conta do Gmail ou Facebook. Queremos
que o acesso a esse tipo de informação seja simples e conveniente, por que o
risco é baixo e esse sistema é mais prático para pessoas que precisam dessas
informações para seu trabalho. Mas, ao pedir acesso a dados mais sensíveis,
precisamos de um mecanismo de defesa que exige uma autenticação mais rigorosa
de sua identidade.
acessar informações públicas usando uma conta do Gmail ou Facebook. Queremos
que o acesso a esse tipo de informação seja simples e conveniente, por que o
risco é baixo e esse sistema é mais prático para pessoas que precisam dessas
informações para seu trabalho. Mas, ao pedir acesso a dados mais sensíveis,
precisamos de um mecanismo de defesa que exige uma autenticação mais rigorosa
de sua identidade.
A modelagem de comportamento pode ser
usada para ativar uma bandeira vermelha quando o usuário se comporta de maneira
incomum. Por que o usuário está iniciando uma sessão às 3h30 da madrugada? Está
usando um dispositivo que não foi registrado junto ao departamento de TI? Está
iniciando uma sessão dentro do país? Está tentando acessar um projeto em que
não esteja diretamente envolvido?
usada para ativar uma bandeira vermelha quando o usuário se comporta de maneira
incomum. Por que o usuário está iniciando uma sessão às 3h30 da madrugada? Está
usando um dispositivo que não foi registrado junto ao departamento de TI? Está
iniciando uma sessão dentro do país? Está tentando acessar um projeto em que
não esteja diretamente envolvido?
Tudo que foge do habitual é uma
anomalia e requer uma explicação e maior atenção.
anomalia e requer uma explicação e maior atenção.
Círculos concêntricos de segurança
O grau de dificuldade de acesso deve
refletir a sensibilidade da informação requisitada. Quando o risco é maior, as
etapas de identificação devem ser mais frequentes e a validação mais rigorosa.
refletir a sensibilidade da informação requisitada. Quando o risco é maior, as
etapas de identificação devem ser mais frequentes e a validação mais rigorosa.
Os modelos de confiança devem ser
revisados e verificados constantemente. É necessário decidir se isso
seria possível analisando a identidade de um funcionário usando dados
biométricos ou reconhecimento facial com uma webcam. É possível limitar a
realização de algumas transações a máquinas e redes de trabalho
confiáveis. É preciso usar a encriptação e um sistema de proteção
transacional para verificar, registrar e realizar auditorias de maneira
defensiva.
revisados e verificados constantemente. É necessário decidir se isso
seria possível analisando a identidade de um funcionário usando dados
biométricos ou reconhecimento facial com uma webcam. É possível limitar a
realização de algumas transações a máquinas e redes de trabalho
confiáveis. É preciso usar a encriptação e um sistema de proteção
transacional para verificar, registrar e realizar auditorias de maneira
defensiva.
O fator mais importante é a
proporcionalidade: não queremos exigir múltiplos fatores de autenticação de
funcionários de menor escalão toda vez que tentam acessar informações públicas.
proporcionalidade: não queremos exigir múltiplos fatores de autenticação de
funcionários de menor escalão toda vez que tentam acessar informações públicas.
Automatizando o sistema
A maioria das organizações já está
compilando um conjunto sofisticado de informações sobre seus
funcionários. Mas, elas não estão analisando essas informações. Para ser
eficiente, qualquer sistema deve ser automatizado e capaz de usar essas
informações para criar um modelo detalhado, cruzando essas informações em tempo
real com o comportamento atual do funcionário e seu histórico de acesso.
compilando um conjunto sofisticado de informações sobre seus
funcionários. Mas, elas não estão analisando essas informações. Para ser
eficiente, qualquer sistema deve ser automatizado e capaz de usar essas
informações para criar um modelo detalhado, cruzando essas informações em tempo
real com o comportamento atual do funcionário e seu histórico de acesso.
Além disso, o sistema deve ser
preditivo e capaz de extrapolar alterações necessárias das políticas de acesso,
atualizar dispositivos de acordo com os eventos registrados no calendário do
funcionário ou autorizar acesso a partir de uma localização específica baseado
em confirmações de passagens aéreas. Ao comparar e interpretar essas
informações, seria possível agir antes que seja tarde demais. É a diferença
entre fechar a porta para evitar o roubo de informações e realizar uma análise
minuciosa quando já é tarde demais.
preditivo e capaz de extrapolar alterações necessárias das políticas de acesso,
atualizar dispositivos de acordo com os eventos registrados no calendário do
funcionário ou autorizar acesso a partir de uma localização específica baseado
em confirmações de passagens aéreas. Ao comparar e interpretar essas
informações, seria possível agir antes que seja tarde demais. É a diferença
entre fechar a porta para evitar o roubo de informações e realizar uma análise
minuciosa quando já é tarde demais.
A Citrix (NASDAQ: CTXS) lidera a
transição para espaços de trabalho definidos por software, reunindo
virtualização, gestão de mobilidade, redes e soluções SaaS para melhorar a
forma de trabalhar das empresas e pessoas. As soluções da Citrix criam uma
plataforma para a mobilidade empresarial com espaços de trabalho seguros e
móveis, oferecendo acesso instantâneo a aplicativos, desktops, dados e
comunicações através de qualquer dispositivo ou rede e a nuvem. Com
receitas anuais de US$ 3,14 bilhões em 2014, as soluções da Citrix são usadas
em mais de 330 mil organizações e por mais de 100 milhões de usuários globais.
transição para espaços de trabalho definidos por software, reunindo
virtualização, gestão de mobilidade, redes e soluções SaaS para melhorar a
forma de trabalhar das empresas e pessoas. As soluções da Citrix criam uma
plataforma para a mobilidade empresarial com espaços de trabalho seguros e
móveis, oferecendo acesso instantâneo a aplicativos, desktops, dados e
comunicações através de qualquer dispositivo ou rede e a nuvem. Com
receitas anuais de US$ 3,14 bilhões em 2014, as soluções da Citrix são usadas
em mais de 330 mil organizações e por mais de 100 milhões de usuários globais.
Kurt Roemer é Chefe de Segurança Estratégica da Citrix
