Conversando sobre segurança com a Cisco – tendências e tecnologias

Author Photo
2:39 pm - 01 de fevereiro de 2016
Em passado recente pude conversar sobre segurança com a Cisco, conhecida comogigante no segmento de redes e conectividade. Mas como o assunto é muitodinâmico voltei a debater o assunto com Paulo Breitenvieser (Diretor deSegurança da Cisco do Brasil)    e GhassanDreibi ( Gerente de Desenvolvimento de Negócios de Segurança da Cisco paraAmérica Latina ) no final de 2015 e quero compartilhar com os leitores essaconversa informal que passou por diversos aspectos do complexo cenário dasegurança, mas de uma forma muito leve e agradável.

Cisco Security Ghassan%2Be%2BPaulo2
figura 01 – Ghassan Dreibi e PauloBreitenvieser

Foi uma conversa longa e muito rica! Percorremos muitostópicos. Eu o convido a ler a entrevista toda, mas para facilitar para o leitoreu dividi o texto em diferentes tópicos. Assim quem tiver menos tempo poderáler apenas o tópico (ou tópicos) que mais lhes interessam. Como se cada tópicofosse uma “mini-entrevista”!

  • Novas tendências e necessidades em segurança
  • Anatomia de algumas invasões conhecidas – o caso da Target 
  • Como implementar segurança em todo lugar
  • Como lidar com a segurança no uso de Nuvem
  • Entendendo o pxGrid – conectando sistemas de segurança
  • Cisco AMP (Advanced Malware Protection) e Threatgrid
  • A ameaça real e crescente do Ransomware
  • Visão de segurança integrada da Cisco, WebSecurity, escalabilidade e mercado
  • Cisco adquire OpenDNS


Novas tendências e necessidades em segurança

Flavio Xandó

: a Cisco anunciou recentemente novos produtos em seu portfóliode segurança. Aliás isso tem acontecido em um ritmo bastante intenso. Você podefalar um pouco mais sobre isso?

Cisco(Gassan)

: estes nossos anúncios fazemparte de um conjunto de ações que vêm acontecendo já há um bom tempo, inclusiveo que divulgamos poucos meses atrás. Estamos introduzindo para as empresas umamudança no panorama de segurança. Fala-se muito em Cybersecurity, mas há maispor trás disso. Existe a necessidade de resposta a incidentes de forma ágil.Nós endereçamos este problema de uma forma diferente aproveitando um pontoforte que temos que é a rede. É algo amplo. Existe uma frase que gosto delembrar, dita pelo secretário de defesa americano, que tem tudo a ver este novopanorama:

“Existem coisas que nós sabemos e porisso nos preparamos para elas, tomamos as medidas defensivas; existem coisasque nós sabemos que não sabemos e que quando acontecerem teremos que enfrentare depois nos prevenir; mas ainda existem as situações que nós nem sabemos queexistem”.

Na empresa isso se reflete em, nem saber que porta devem ser fechadas e nemque ameaças vamos enfrentar. Chegou um momento que as empresas nem sabem paraque lado ir para se defender ao mesmo tempo que estas empresas dependem cadavez mais da tecnologia em seus negócios. Não como sendo do segmento de TI, masa empresa de alimentação, indústria, banco, etc. acabam sendo de tecnologiapela dinâmica e necessidades do negócio.

Flavio Xandó

: mas as empresasvêm ano a ano apertando suas medidas de segurança, como isso se reflete nestemomento atual?

Cisco(Ghassan)

: são muito mais dispositivos,mais tráfego… e isso não implica somente apenas em mais storages, maiordatacenter, mais estrutura e sim em termos de segurança. Há mais coisas a seremvistas, processar mais, etc. Cloud é outro aspecto, imagine uma implementaçãode Office 365, sai da mão do gestor de TI todo o controle, acessos, anexosWord, Excel, Powerpoint e tudo está na nuvem. Neste exemplo, a Microsoft ésuper segura, tem um tremendo datacenter. Mas até chegar lá… quem temautorização para isso? Junte a tudo isso os recentes fenômenos de IoE e Iot(Internet das coisas).

Flavio Xandó

: temos quepensar que IoT está começando, apenas engatinhando… Tem muito por acontecer!

Cisco(Ghassan)

: essa palavra é perfeita, estáengatinhando! Os clientes estão investindo em IoT. Mas podem estar deixando asegurança um pouco de lado porque não sabem exatamente o que fazer. Nestecontexto tem muito a ver com criptografia dos dados que transitam entredispositivos, autenticação do dispositivo, sensor… Eu não acredito que haverásensor inteligente, com sistema operacional. Ele tem que ser simples, não dápara colocar nada dentro dele, não tem processamento, senão inviabiliza o custo.

Cisco Security IoT
Figura 02 – Cisco IoT

Anatomia de algumas invasões conhecidas – o caso da Target

Flavio Xandó: como a Ciscopode ajudar nisso e em outros aspectos da segurança?

Cisco(Ghassan):  nós estamos preparados para lidar com estenovo grau de dependência de TI. Não se trata mais de se preocupar com umhacker. Existem organizações criminosas que se antes roubavam bancos, agoraroubam informações, dados financeiros, desviam recursos. Se antes usavam armas,hoje fazem por meio da captura dessas informações. Nós inclusive percebemos quealguns ataques são usados como ferramenta de distração, visando tirar a atençãoda equipe de segurança. Por exemplo, um ataque de DDoS (ataque distribuído paranegação de serviço). É algo que não “mata ninguém”, dá dor de cabeça. Imagine oCIO do banco que apenas orienta, “resolvam, pois, o Internet banking caiu”.Nessa hora todos olham para esta cena de DDoS enquanto na mesma hora pode estaracontecendo um ataque pela rede interna, um port scan ou algo do tipo. Podepassar batido.

Flavio Xandó: mas e asmedidas tradicionais de segurança, não auxiliam de alguma forma?

Cisco(Ghassan):  hoje em dia todos têm suas defesas, as redesestão protegidas, mas no fundo o que eles querem é ganhar acesso, não querembypassar o firewall, o IPS, eles sabem que não podem quebrar este código.Querem é achar outra forma de ganhar acesso. Tentam por e-mail, tentam por Web,por outras formas de acesso inserir um código malicioso para abrir umapassagem. Invadir diretamente uma organização é quase impossível hoje em diaporque ela está blindada. Mas se um código malicioso for introduzido via umparceiro de negócio, por um terceiro…

Flavio Xandó: dê um exemplocom isso aconteceria?

Cisco (Ghassan):  imagine que sejadado acesso WiFi, por um access point inseguro, que permita que a rede sejaacessada. Foi mais ou menos o que aconteceu com a gigante do ramo desupermercados nos EUA, a Target. A máquina de um prestador de serviços, quecuidava do sistema de ar condicionado foi infectada por um código malicioso ecomeçou aí. A Target tem fortes defesas em sua estrutura e é auditada em termosde segurança por um processo rigoroso, os invasores sabiam disso. Por meio deuma busca no Google eles descobriram quem prestava serviço para a Target,mandaram uma diversidade de phishings com o código malicioso que visava aTarget. Esse código malicioso não fazia absolutamente NADA na máquina doterceiro. Ficou ali sem ser percebido, pois não estava onde ele queria.Antivírus não foi capaz de perceber essa ameaça.

Flavio Xandó: entendi, mesmoferramentas mais sofisticadas que analisam comportamento nocivo, não tinhamcomo pegar…

Cisco(Ghassan):  isso, porque não estava fazendo nada. Masquando ele estava dentro da rede da Target o código malicioso “acordou”. Eraalgo muito simples, apenas fazia um PING para saber se um certo servidor queele sabia existir estava na rede. Saber o endereço IP do servidor de algumlugar é relativamente simples! E aí começou a tentativa já na rede interna paraprosseguir quebrando a segurança até conseguir roubar os dados.

Flavio Xandó: mas precisa terinformações internas…

Cisco(Ghassan): estes tipos de ataqueschamados de persistentes (APT) geralmente partem de algumas informaçõesinternas. Às vezes, o simples ato de gravar um arquivo Word em um DROPBOX, oarquivo pode carregar informações sobre a rede original, nome de servidor, IP,etc. No caso da Target, ele visava acesso a base de dados. Mas sabendo que nãoconseguiria chegar lá diretamente, o código malicioso se instalou nos terminaisde POS (terminal de vendas). A cada transação o POS tinha que se comunicar como servidor para autenticar cliente e cartão de crédito e nessa hora ele teveacesso. Estes códigos quando entram, não demoram mais que uma hora para pegartudo que eles querem!! O estrago está feito. Alguns ataques persistentesdemoram muito para serem detectados, dias, semanas e até meses!

Flavio Xandó: existe algumoutro exemplo assim?

Cisco(Ghassan):  em 2010 falou-se muito do Stuxnet. Depois se descobriu que ele tinha sido instalado em 2008. Ele passou2 anos capturando dados da indústria enviando para alguém, sem ser percebido.

Cisco Security Invas%25C3%25A3o
figura 03– guerra cibernética

Flavio Xandó: o Stuxnet não éaquele que foi achado em usinas de geração de energia?

Cisco(Ghassan):  exatamente!! Há muitas suspeitas de quem teriacriado, porque fez… Guerra cibernética é realidade, já existe. Este é ogrande problema, nós não sabermos para que lado vão exatamente estas coisas.Por isso não basta eu me preocupar apenas comigo mesmo. Tenho que me preocuparcom os terceiros e mesmo com usuários remotos, aquele que trabalham a partir decasa. Será que há real segurança nestes acessos? Via VPN, ele usa sua senhapara se conectar, no computador que ele quiser. Pode não ter controle algumsobre este dispositivo. A ameaça pode entrar por aí. Tem que haver um olharmais abrangente. O que se deseja sempre é obter acesso. A ameaça pode vir porum e-mail de phishing, pendrive, uma rede social ou por uma VPN. Descobrimos emnossos estudos que de 500 empresas pesquisadas, uma boa parte delas usavam VPNsnão corporativas – que vinham não de funcionários, algo que apenas depende deusuário e senha, um simples acesso IPSEC padrão de mercado.

Flavio Xandó: mas tem que terum certificado de segurança na máquina para acessar uma VPN, não é?

Cisco (Ghassan):  nãoobrigatoriamente. Aqui na CISCO não apenas as máquinas que vão acessar VPNprecisam ter um certificado de segurança instalado como temos token paravalidar o acesso, cuja senha muda a cada minuto. Isso não é uma realidade detodas as empresas, algumas podem ter. Mas terceiros, parceiros, têm? Por issonossa estratégia de segurança é ter segurança em todos os lugares, em toda aparte.

Como implementar segurança em todo lugar

Flavio Xandó: mas como eufaço isso? Como ter segurança no IoT? Com ter segurança no carro  (que hoje é conectado) e tantos outroslugares?

Cisco(Ghassan): há outros pontos. Como eucoloco segurança na rede que tem na cidade para medir o consumo de energiaelétrica das casas e indústrias? Algumas vezes pode ser instalado umdispositivo, às vezes não. Às vezes eu posso ter acesso aos dados, às vezesnão! Temos que ter outras formas de segurança. O que nós temos feito é mudaressa forma de sensor, essa forma de controle. O que nós tínhamos no passado eraa busca por uma “bala de prata”, uma ferramenta que resolve tudo. Isso gerou nomercado de segurança atual a percepção de que seria necessário e suficientecomprar vários produtos. Vemos isso nos clientes, soluções são muitofragmentadas, distribuídas e complexas. No caso da Target eles tinham sistemasbons, mas alguém viu a ameaça e não deu importância para ela.

Cisco (Paulo): é que pontualmente aquelasituação não era necessariamente uma grande ameaça (o POS). Trazia algumperigo, aqui, ali, acolá. Assim passa a ser algo com que se deve preocupar.Será que alguém está todos os dias analisando logs de eventos? Poderiam serdezenas de consoles de logs para avaliar. Isso é um fato, temos discutido issocom as empresas. Em média, mais de 80% das pessoas que trabalham em segurança,o foco delas é nessa operação. É muito manual, dependente do fator humano. Oque nós pretendemos é automatizar mais estes processos. Você livra mais o tempodessas pessoas para que possam pensar na segurança com o foco mais estratégico(poucas empresas no Brasil enxergam segurança de forma mais estratégica). Éisso que estamos buscando trazer para os nossos clientes. Isso é importanteporque a percepção de segurança do executivo é fragmentada.

Cisco (Ghassan): por isso temos queestender nossa presença a todo o processo de uma ameaça para me defender. Eusei o que eu sei.  Faço isso partindo doque eu sei, tem coisas básicas. Tem empresas e mesmo datacenters que nãosegmentam suas redes. É o que chamamos de “rede flat” (mesmo endereçamento).Investe-se milhões em prédios bonitos, sofisticados, sistemas de refrigeração,etc. e todos os servidores e clientes estão na mesma rede.
        

Cisco Security Everywhere2
figura 04– Security Everywhere

Flavio Xandó: uma rede classeB, por exemplo…  (NOTA: rede classe B é um tipo de rede que permiteter 65536 computadores que potencialmente podem acessar uns aos outros de formadireta)

Cisco(Ghassan): se apenas uma máquina virtualdessa rede for comprometida, toda a rede pode cair ou ficar inacessível, as 65mil máquinas. Isso é só um exemplo, há muitas outras medidas de controle.Sabemos que ameaças virão por e-mail, pela Web, phishing, etc. Precisamos deferramentas que olhem tudo conforme vão chegando. Olha aquilo que parecesuspeito. De imediato não há certeza. Precisa ser analisado. Como? De váriasformas. Pode ser submetido a um SANDBOX (NOTA: ambiente controlado parapesquisar o comportamento de um arquivo, programa, etc.), se ele fizer algum mal ou executar atitude suspeita, não deixaentrar. Mas coisas assim precisam estar em TODAS as formas de acesso e nãoapenas em uma parte. Se não estiver em tudo, a parte desprotegida serádescoberta e por lá a ameaça entrará.

Cisco (Paulo): muito do que estamosfalando tem a ver com processos e equipamentos, mas tem um lado que é anteriora todo este. É o lado da cultura. Nós temos visto em grandes clientes algo queseria mais natural para empresas menores que podem não ter tanta instrução,dificuldades de assimilação de uma cultura de segurança mais robusta.Instalamos em uma dessas empresas grandes uma de nossas soluções que deuvisibilidade para ele de que ele estava sendo alvo de muitos ataques. Ele nãogostou nada daquilo, pois acabou por expor essa situação delicada.

Flavio Xandó: mas com certezapegar a evidência do ataque, colocar em uma gaveta não vai resolver oproblema!!

Cisco(Paulo): mas nós temos muito dessacultura aqui. Essa empresa está até considerando não nos deixar participar daconcorrência para prover o sistema de segurança, só porque mostramos arealidade para ele.

Flavio Xandó: isso pareceaquele paciente que vai ao médico e ao ouvir um diagnóstico que não o agradaele resolve que a solução é trocar de médico!!

Cisco(Paulo): ou a pessoa que não estáenxergando direito e ao dar óculos para ela, percebe ao olhar no espelho queestá gordo. A culpa não é dos óculos!!


Cisco (Ghassan): existem variantesdeste comportamento. Um executivo, normalmente de pequena empresa, ao perceberque algo não está bem ele toma a decisão “compre uma caixa que vai de uma vezsó resolver todos os nossos problemas”.

Cisco (Paulo): também é uma questãode regulamentações. Nos EUA, se alguma coisa acontece, ele tem que ir aomercado e se expor, contar que foi invadido… ele para e começa a pensar deuma forma mais estruturada!!

Flavio Xandó: por isso que,por exemplo, o caso da Target teve tanta repercussão.

Cisco(Ghassan): isso, Target, SONY, etc.tiveram que se retratar e divulgar para seus acionistas e para o mercado o queaconteceu com eles. Se há uma suspeita que seja, de que dados da empresa, dosclientes tenha sido exposto ou comprometido ela tem que vir a público edivulgar.

Flavio Xandó: teve o caso daSony Pictures que roubaram filme que ia ser lançado e o caso da PlayStationNetwork que teriam vazado dados de cartão de crédito de clientes.

Cisco(Ghassan): da primeira vez foi menoscrítico porque era apenas uma suspeita de que os dados de cartão podiam tervazado. Mas a despeito disso, teve que ser divulgado e alertaram os clientespara se prevenirem e trocarem seus cartões de crédito. Da segunda vez foi umataque mesmo, confirmado e mesmas atitudes de defesa foram recomendadas.

Como lidar com a segurança no uso de Nuvem

Flavio Xandó: algo que mechamou a atenção no anúncio feito pela Cisco foi a informação de que asempresas têm uma visão muito menor que a realidade sobre o uso real de nuvemdentro de seus ambientes. Entendi que existe uma ferramenta da Cisco paraajudar as empresas a enxergar isso melhor. Como é essa ferramenta, que tipo deserviço ela presta e o que ela faz de fato?

Cisco(Ghassan): os usuários estão usando cadavez mais aplicações na nuvem. Antes eram coisas mais estanques como Dropbox,Evernote, SalesForce, etc.  Mas agora,por conta de, por exemplo, Office 365 uma quantidade maior de dados comoarquivos de Word, Excel, Powerpoint, etc. estão na nuvem. O que quer dizerisso? Todos os usuários da rede interna têm que sair de alguma forma da redeinterna e chegar até a nuvem. Há dois tipos de informação.  Nossas ferramentas vão monitorar o tráfego nonível da aplicação (não apenas monitorar pacotes de dados) e registrar em logseste tipo de uso. Determinado usuário, usando a máquina X, em certo horário,acessou o Office 365. Trata-se de uma informação de auditoria. Além disso elatem uma integração com as aplicações de nuvem (por meio de uma API). Nossosprodutos falam com o Office 365, falamos com o Dropbox, falamos com o Webex,com o Evernote… temos um controle físico no datacenter no qual este conteúdopode ser inspecionado em relação a códigos maliciosos e ameaças. Posso fazerbloqueios de forma seletiva. O uso de cloud é mesmo muito maior do que asempresas imaginam.

Cisco Security Nuvems
figura 05– Cisco Cloud Security

Flavio Xandó: eu sei que umadas preocupações com uso de ferramentas de cloud é a “fuga de dados”,informações sensíveis que não deveriam deixar o perímetro da empresa (DLP –data loss protection). Você citou Dropbox, Google Drive, Microsoft OneDrive,mas existe mais uma infinidade de ferramentas similares que um usuário podeusar mal intencionadamente (ou não). Como controlar isso?

Cisco(Ghassan): os usuários são monitorados.Quando eles tentam acessar um sistema de nuvem, conseguimos monitorar oprotocolo, o tráfego e até mesmo algumas aplicações. Também dá para interceptarsites específicos, seja file sharing, instant messaging não autorizado, o quefor. A lista de aplicações vai sendo alimentada manualmente em nossos sistemasque por sua vez replica esta lista para os dispositivos dos clientes.

Flavio Xandó: deixe-me fazeruma analogia. Voltemos 20 anos atrás. O antivírus detectou um programa comcomportamento anômalo, submeteu este programa ao seu criador que se confirmar amalignidade identifica uma “assinatura” para este arquivo, anexa-a ao conjuntode assinaturas de ameaças conhecidas e por fim os clientes recebem uma listacom as novas ameaças. Vale a comparação?

Cisco(Ghassan): é mais ou menos isso. Comantivírus não dá para fazer nada além disso que você descreveu, que é criar avacina. Neste caso eu consigo fazer o contrário. De início já tenho uma grandelista de programas ou sites conhecidos, mas também posso dar o controle para ousuário de nossa solução para liberar aquele que ele autoriza, seja FileSharing ou Instant Messaging na nuvem.

Cisco (Paulo): outro dia um dosnossos desenvolvedores acessou um arquivo da rede interna e depois tentoucolocar no sistema BOX, que é a solução de file sharing na nuvem que usamos.Ele não conseguiu e obteve uma mensagem de erro dizendo que este arquivo nãopoderia ser compartilhado por ser marcado como confidencial e ainda recebeu ume-mail com instruções sobre como lidar com este tipo de arquivo.

Flavio Xandó: mas quem fazisso? Um appliance na empresa ou um serviço na própria nuvem?

Cisco(Ghassan): esta abordagem é local.Sistemas de DLP rodam na própria rede. Mas a discussão é interessante. Nósusamos o BOX e temos uma rede privada. Conseguimos liberar o arquivo paraapenas uma determinada nuvem (no caso nossa rede privada) e não pode Dropbox,Google Drive, etc. Normalmente as empresas não têm essa nuvem privada para isso.O usuário pode até tentar procurar um sistema na nuvem que ele consiga usar. Masnossa solução vai monitorar o tráfego de saída, com ele sempre faz e assimlimitar o acesso.

Flavio Xandó: há algumassemanas eu vi uma outra solução de segurança que tem uma abordagem um pouquinhodiferente. Ele também restringe a algumas aplicações que têm permissão. Mas aoperceber que um arquivo está sendo enviado para fora, questiona o usuário sobreo motivo dessa ação, cria um registro de log e documenta isso. Mesmo que eleesteja mandando para um sistema autorizado, este registro inibe que isso sejausado para qualquer finalidade imprópria!

Cisco(Ghassan): é isso que fazemos eregistramos também no log de saída. O grande tema aqui é “quem pode chegar nacloud?”. Alguns sistemas apenas se restringem à autenticação do usuário, que ébom, mas nem sempre é suficiente. Pode haver se desejado restrição ao devicesendo usado para este tipo de operação. E tem outro lado. Imagine que o arquivodo Office tenha algum tipo de infecção ou comando malicioso. Uma vez que eleestá na nuvem, poderá ser distribuído a partir daí. Por isso temos que agir comvárias ferramentas: auditoria, investigação, web security e antivírus, nacloud. Chamamos esta ferramenta de “Security Broker”. Ela é um meio termo entreo acesso da aplicação e o acesso do usuário local, ficando no meio do caminhoolhando isso tudo dizendo “isso você pode fazer” ou “isso você não pode fazer”.

Flavio Xandó: isso é umappliance físico ou virtual rodando na rede local?

Cisco(Ghassan): não, é um serviço na nuvemque usa APIs para entender as aplicações conhecidas. O diferencial é podermospermitir ou bloquear aquele que não queremos. Até conseguimos detectar coisasnovas, aplicações novas. Isso é notificado ao administrador que toma a decisãose ele quer impedir o acesso ou liberar.

Flavio Xandó: então se ousuário criar uma conta no (hipotético) serviço “File Master Plus” e tentarusar ele vai bloquear?

Cisco(Ghassan): depende da configuração,usualmente se bloqueia o que não se conhece. O sistema vai registar o nome daaplicação, o tipo de serviço que ela oferece para que o administrador libere ounão. Isso acontece com frequência com aplicações do tipo Instant Messaging, nocomeço conhecia o antigo MSN, depois veio Skype, e assim sucessivamente. A cadaum deles avaliava-se se devia ser liberado ou não.


Entendendo o pxGrid – conectando sistemas de segurança

Flavio Xandó: eu li nestesrecentes anúncios algo sobre uma tecnologia chamada pxGrid, mas não estou 100%de que entendi o conceito…

Cisco(Ghassan): o pxGrid é uma parceria comum conjunto de fornecedores que inclui até concorrentes, como por exemplo aCheckpoint. A origem de tudo foi o grande movimento para a cloud, motivada entreoutros fatores como a adoção muito grande e acelerada de Office 365.

Cisco (Paulo): Aliás, muitasempresas acham que apenas porque migraram para a nuvem questões como spam,phishing, segurança, etc, são resolvidas na origem, mas isso não é bem assim. Incialmentenão contam no projeto que precisarão complementar com uma solução de segurançae depois que percebem precisam ir atrás e resolver estes pontos.


figura 06 – pxGrid


Cisco (Ghassan): o pxGrid é umpadrão de comunicação, um protocolo (não é só um produto), um acordo entreempresas no qual abrimos APIs (Application Program Interface), o código paraoutros fabricantes para que outros produtos se integrem ao meu e o meu aosdeles. Não dá para ser qualquer um porque eles precisam ter APIs preparadas.Assim os “produtos se falam”. Foi o que nós fizemos com estes casos do Broker,são algumas empresas com as quais temos parcerias. Estas soluções são vendidascomo cloud para o usuário (como serviço). São vendidas como OEM da Cisco,integradas aos nossos produtos. Algumas vezes a Cisco acaba por comprar estasempresas depois. Não é o caso neste momento da Checkpoint, que tem boassoluções e uma base de clientes bem grande. Mas tanto ela como outrosfabricantes de firewall, têm uma deficiência. Eles são isolados da rede. São produtosfragmentados. A Cisco tem uma solução que agrega às soluções deles asinformações de quem entra na rede interna. Trata-se do
ISE (Identity Sevices Engine) que na rede interna questionaa cada usuário que entra na rede sua identificação e começa a ler o tráfego edescobrir:  “você é um iPad 1 com iOS 7 e você não vem de um usuário que eu conheço,você é um convidado na rede”… Assim ele não é apenas um log de acesso,pois ele agrega o contexto. 

Flavio Xandó: mas como ocorrea integração?

Cisco (Ghassan): existe o conceitode assinatura de perfil de tráfego. Assim eu consigo saber pelo perfil detráfego que aquela “coisa” plugada na rede é, por exemplo, uma câmera IP daSamsung, ou da Dlink, ou uma impressora Epson, ou outro dispositivo. O sistemaquestiona “quem é você (como usuário)?”, pede uma autenticação. Vêm as repostas“eu sou o Ghassan, senha xyzwk” e o sistema me reconhece como usuário da Cisco.Tendo todos estes dados na mão eu forneço essa identidade para o produto daCheckpoint, para que eles possam ser capazes de criar no firewall regras deaplicação que sejam sensíveis ao usuário. As empresas que vendem soluções desegurança não tinham como obter esta informação de usuário, que é algopertinente à rede. Assim conseguimos por meio deste protocolo (pxGrid) e dasparcerias, estender estes benefícios a outros fabricantes.


Cisco Security Paulo Hassan Xand%25C3%25B3 01
figura 07- pxGrid – modelo conceitual

Flavio Xandó: no caso deestações de trabalho na rede, isso é fácil, pois de alguma forma oadministrador da rede pode fazer uma instalação remota e silenciosa de umclient nas estações para isso. Mas no caso de um convidado, um smartphone, oumesmo as milhares de “coisas” conectadas (IoT) que podem surgir?

Cisco(Ghassan): no contexto do IoT, temosmuitas coisas conectadas, todo o tempo. Mesmo o “convidado” da rede (computadorou smartphone). A empresa não controla quando o funcionário compra ou troca oseu smartphone. Se muito ela controla a estação de trabalho do empregado. Porisso tem que ser simples esta “inclusão” no contexto da rede para poder seradministrada pela nossa solução de segurança. Por isso o ISE (Identity Sevices Engine), que entregam a identidade, éna minha opinião o diferencial, tanto para IoT como Cloud, pois será ele queentregará para a Cloud quem é aquele dispositivo, qual o usuário e suaspermissões. Por exemplo, este usuário não pode falar com o servidor de vendas,na nuvem, Assim se produz marcações no tráfego que acompanham este usuário edevice por toda a rede até o datacenter (local ou na nuvem) !! O que nósfizemos com o pxGrid foi integrar nossa ferramenta de ISE com nossa ferramentade WiFi que entre outras coisas, provê a informação de localização dentro doespaço físico da empresa ou mesmo em locais públicos como, por exemplo, aeroportos.Posso saber que o usuário se conectou na rede WiFi, foi no balcão de checkin,depois foi para a sala VIP e em seguida foi comer um pão de queijo. Isso geraum conjunto grande de dados para análises, fruto da informação sobre qual AccessPoint ele esteve conectado a cada momento, uma vez que por triangulação desinais a localização, mesmo interna, pode ser obtida com boa precisão.

Cisco (Paulo): este é o exemplo doaeroporto, mas no varejo isso também pode ser usado. Em um supermercado , certagôndola recebe mais visitas que a outra, ou determinado corredor tem maispassagem. Isso pode ser demonstrado, pois os dados estão à mão.

Cisco (Ghassan): nós somamos estaferramenta de “Location” (de Analytics) ao ISE, pois antes os sistemas atésabiam da existência de um dispositivo, mas não sabiam quem ele era. Com o ISEnós sabemos o que é o dispositivo pelo seu perfil de tráfego. No exemplo dovarejo, parte disso poderia ser feito com ferramentas de RFID, mas agora o WiFipode ser usado também como “location” real de dispositivos conectados.

Flavio Xandó: no material daCisco tem um exemplo de hospital. Isso faz bastante sentido, uma vez que, porexemplo, uma maca que precisa ser rastreada ou uma empresa que pelo WiFilocaliza o dispositivo e usuário e em determinada região, liberando ou proibindoo acesso a recursos (isso pode, aquilo não pode).

Cisco(Ghassan): isso mesmo. Temos estasolução como eu havia comentado. E a segurança pode ser vista por outro lado.Imagine de novo o exemplo do hospital. O desfibrilador só funciona em certopavimento e não em outros. Ele não pode ser conectado em outra rede em outrosandares. Se não for plugado em uma rede não autorizada, ele não funciona.

Cisco (Paulo): outro exemplo nessamesma área. Um tapete ou o piso pode estar conectado e ter sensores de contatoe peso. Assim pode se determinar pelas características lidas pelos sensores do chãose alguém sofreu uma queda, e coisas deste tipo.

Flavio Xandó: voltando aoponto da preocupação com as ameaças, como se protege isso tudo? Como evitar maluso?

Cisco(Ghassan): o exemplo dos sensores dopiso é um caso meio extremo. Não tem como instalar módulos de segurança. Masveja, por exemplo estas várias estações de tele presença que temos aqui naCisco, solução que muitos clientes nossos usam, incluindo o “Time Brasil” ecomitê olímpico brasileiro (NOTA : contei mais sobre isso no texto “A Cisco além das redes, nos jogos olímpicos – transformaçõesna cidade”). Estas estações usam sistemaAndroid. Sendo assim há possibilidade de baixar aplicações. Se não existir umsistema de segurança que direcione e limite os acessos, esta estação poderia setornar um ponto de vulnerabilidade para a rede. Mesmo o tapete com sensores nocaso do exemplo do hospital, mesmo que não possa receber um módulo de segurançaespecífico, ele teria endereço IP na rede e pode ser isolado para efeito desegurança.

Cisco AMP(Advanced Malware Protection) e  Threatgrid

Flavio Xandó: o tal tapetecom sensores não é um elemento que tenha capacidade de fazer algo maligno narede, mas ele pode ser uma porta de entrada. É isso? Ou falando de uma outraforma, qualquer “coisa” das “coisas” (da Internet das coisas – IoT) precisa sermuito bem avaliada e acompanhada…

Cisco(Paulo): isso mesmo. E temos lidado comisso por meio de duas ações. Uma delas é entender o perfil de tráfego, isolar edar para o dispositivo/usuário apenas o acesso que ele tem direito e nada mais.Outra ação é o AMP (AdvancedMalware Protection) que temos usado de umaforma inteligente, como um conector para o mundo da segurança). O AMP é ummódulo tão otimizado, tão leve que pode ser disponibilizado para uma estação detrabalho (computador), para um smartphone e também meio que para qualquercoisa, independentemente do poder computacional da “coisa”. E com isso temosainda mais visibilidade sobre a rede, tráfego, etc.

Cisco Security AMP
figura 08 – Cisco AMP

Flavio Xandó: mas o AMP é umEndpoint, não é?

Cisco(Paulo): também! Essa é uma boa perguntaporque muitos dos nossos clientes nos questionam sobre isso. Eles associam “AMPcom Endpoint Security”. Temos versões para muitos tipos de dispositivos. Maseventualmente um certo dispositivo, um smartphone da China, não tem AMP paraele. Por isso temos também o AMP para redes. É um appliance que usa o tráfegode rede para analisar o que transita, arquivos, mensagens, códigos maliciosos.Obviamente quanto mais próximo ao device, mais informações nós temos. Mas nósincorporamos o AMP às ferramentas de firewall, Web Security via cloud quemonitora a navegação Web, ao e-mail, clientes VPN, ferramentas de UTM (Unified ThreatManagement) de menor porte (que são para empresas menores). O importante é quequanto mais informação eu tiver, mais rapidamente eu vou chegar à solução em ummomento de necessidade.

Flavio Xandó: mas qual é arelação do AMP com o ThreatGrid, assunto sobre o qual eu li, mas não sei ficou100% claro?

Cisco(Ghassan): o ThreatGrid complementa o AMP. Trata-se de uma aquisição que a Ciscofez para, por exemplo, fazer SandBox na nuvem, ter mais informações externassobre as ameaças. Na verdade, o AMP é hoje também uma plataforma. Ele estápresente como cliente em várias coisas e nós executamos funções do AMP emvários devices, por exemplo, Sandbox. Mas precisamos estar constantementeatualizados em relação às novas ameaças.  O ThreatGrid é uma ferramenta de nuvem queconstantemente recebe novas ameaças de vários lados, em todo o mundo, econsegue executar parte de seu processamento na nuvem. O ThreatGrid é um grandeconcentrador de informações sobre ameaças e códigos maliciosos.

Cisco (Paulo): uma central deinteligência!

   

Cisco Security Threatgrid
figura 09 – CiscoThreatGrid

Flavio Xandó: algunsfornecedores usam a figura do “honeypot” (um ponto desprotegido propositalmentepara ser explorado por ameaças e pode estudá-las). O ThreaGrid também tem estafuncionalidade?

Cisco(Ghassan): várias coisas podem assumir opapel de “honeypot”, que consiste em investigar alguma coisa. Mas a funçãodo ThreadGrid é mesmo uma ferramenta para tirar processamento de outros locais, outras formas de Threat Analysis na redelocal e passar para a Cloud.

A ameaça reale crescente do Ransomware

Flavio Xandó: isso me pareceser importante na medida que algumas ameaças são sofisticadas a ponto deperceberem que estão sendo executadas (e analisadas) dentro de um sandbox edessa forma disfarçar seu comportamento, sua malignindade…

Cisco(Ghassan): ameaças atuais não só sãocapazes de saber que estão sendo testadas em um sandbox, como sabem que foramdetectadas. Algumas vezes ao perceberem que foram detectadas, a reação éencriptar a máquina!! E infelizmente uma das ameaças que mais crescematualmente, segundo nossas constantes pesquisas, é o Ransomware.

Flavio Xandó: ahhhh,sequestro dos dados!!

Cisco(Ghassan): isso! O malware estava lápossivelmente fazendo outra coisa, cumprindo outra “missão”, mas quando ele édetectado ele encripta os dados e o usuário fica refém do pagamento de resgatepara ter seus dados de volta.

Flavio Xandó: já que ele foidescoberto e não pode mais ser usado para aquilo, sua ação final é essa. E issotem crescido muito, não?

Cisco(Ghassan): sim, porque as pessoas pagam.Como o custo é baixo, o que eles fizeram foi criar esta nova forma pararentabilizar os ataques interrompidos.

Flavio Xandó: eu conheço umaempresa, de pequeno porte, que passou por isso. Tiveram as pastas do servidorencriptadas. O HD externo de backup, com estava conectado na hora, também foiencriptado. Cobraram algo como US$ 2000!

Cisco(Paulo): eles pagaram?

Flavio Xandó: eles se recusaram apagar!  Tiveram que conviver com um outrobackup bem mais desatualizado. Tiveram que pescar em vários lugares arquivoscomo anexos de e-mails, refazer trabalhos, etc. Suaram sangue para recuperar oque foi necessário. Eu no papel de consultor de TI fiz um primeiro atendimentoa esta empresa. Depois um profissional especializado em segurança foi chamado.O que me chama a atenção é que Ransomware não é algo que está longe! Eu vi, commeus próprios olhos. É mesmo uma ameaça presente e real.

Cisco(Ghassan): muitos pagam e isso acaba porestimular este nefasto mercado.

Flavio Xandó: eu estava 100%de acordo com a posição da empresa para não pagar! Negociar com bandido étotalmente inseguro. Quem garante que eles liberariam a senha para desencriptaras pastas, mas quando chegassem em determinadas pastas ou arquivos, a tal senhanão funcionasse e eles cobrassem de novo para liberar o acesso a esteconteúdo!!? Seria como enxugar gelo, algo sem fim! Extorsão sem fim!

Cisco(Paulo): o brasileiro é meio destemido.Eu vejo pessoas aceitando coisas no celular… não se importando se oaplicativo ao ser instalado diz que vai controlar o microfone, câmera,mensagens… a pessoa só vai clicando OK, OK, OK…

Cisco Security Ramsonware
figura 10 – Ransomware –tela com exemplo da extorsão (clique para ampliar)

Flavio Xandó: um tempo atrás,a título de pesquisa, um certo software incluiu no meio do seu termo de uso(que NINGUÉM lê), uma cláusula absurda, do tipo “no ato de sua morte sua almapassará a ser de propriedade do desenvolvedor deste software…”. E milhares depessoas nem questionaram o termo absurdo!

Cisco(Paulo): o brasileiro não é mesmocuidadoso com estas coisas. Quando eu estava assinando o casamento com a minhaesposa, perguntei para a pessoa do cartório, se eu devia ler aquilo tudo e eleme respondeu “não precisa, é igual software, só concorde no final e assine”.

Cisco (Ghassan): mas é bem issomesmo!! A resposta é ter várias ferramentas para detecção de Ransomware, como oAMP, por exemplo, mas existem outras formas, outros sensores. A Cisco tem umportfólio grande de produtos, mas nós não queremos mais ficar nomeando comofirewall, IPS, etc. e apenas os chamamos de sensores. Precisamos ver mais,saber mais o que acontece em vários pontos. Às vezes eu posso precisar de umsensor que é tão complexo como um firewall, mas outras vezes não.

Visão desegurança integrada da Cisco, WebSecurity, escalabilidade e mercado

Flavio Xandó: esta abordagemde parar de falar em “um monte de caixas” com soluções, cada uma para resolverum problema, pelo que entendi, isso ficou obsoleto. Mas o que vocês estãoquerendo me dizer é que a Cisco tem uma abordagem mais geral e que tudo issoestá em baixo de um “guarda-chuvas” único, que tira da visão todas aquelas“caixas” do passado, mas existe uma única “capa de proteção” que está tudo lápresente e integrado. É isso?

Cisco(Ghassan): é isso, mas o mais importanteaqui é haver inteligência e automação. O conceito de produtos, não seráabandonado. Não é isso.  Queremos aabordagem mais inteligente. O primeiro passo e ganhar visibilidade de tudo queingressa na rede. Coleto estas informações. Vejo mais! Aplicações,dispositivos, usuários, padrões de tráfego de rede, tudo. Isso é fundamental,pois antes de pensar em um produto específico, a empresa precisa conhecer afundo seu cenário, o comportamento e a partir disso saber sua necessidade.Muitos interpretam visibilidade como apenas “log”. Log é dado, apenas isso. O queprecisa ser agregado é contexto. Este dado tem “nome e sobrenome”, de onde eleé, quem ele é, para onde vai, qual permissão, pertence ao AD ou não, é umconvidado, é um sensor, é uma impressora, uma câmera IP… O próximo passo é aautomação, o máximo possível. Tenho algumas ferramentas que vão automatizardecisões.

Cisco (Ghassan): com esta grandecoleta de dados, eles podem ser agregados, comportamentos são compreendidos eisso tudo vai compor um “dashboard”. O tráfego de rede para, por exemplo, 100usuários é “X’. Estão autenticados e passam por máquinas Windows. Apareceu UMusuário com máquina Apple. Tudo bem, é um dispositivo conhecido. Mas ele estágerando um tipo de tráfego que ele nunca fez! Um acesso fora do padrão, umdownload não previsto, etc.

Cisco (Paulo): a automação, além devários outros benefícios obriga a empresa a ter processos. Não basta descobrirque existe algo não usual se não estiver bem definido como proceder. Já vimosisso em situações de ataque. A empresa descobre que está sob um ataque,descobre até a origem e se pergunta : Podemos bloquear este endereço? Comofazemos? Para quem eu pergunto? Quem autoriza o procedimento? A questão deprocessos em segurança, por tudo isso é fundamental!
 

Cisco Security Model
figura 11 – modelo desegurança Cisco

Flavio Xandó: alguns destesprocessos podem exigir intervenção humana, mas alguns deles podem serautomatizados, certo? Que me parece ser o valor de uma solução mais ampla.

Cisco(Paulo): tudo que é possível de serautomatizado tem que ter um processo. O que é manual, vai exigir que se crie umprocesso na hora (que já fica valendo para situação similar no futuro).

Flavio Xandó: existe umexemplo que acho interessante. Já faz um bom tempo que o Windows Server dispõede um recurso que se uma estação de trabalho não estiver 100% de acordo com umconjunto de pré-requisitos, e se não estiver com todas as atualizações desegurança em dia, o servidor não pode ser acessado. Imagino que exista algosemelhante no contexto amplo de uma solução de segurança…

Cisco(Ghassan): existe, sim, algo bemparecido, mas não estamos presos a sistema operacional (não apenas Windows).Somos o mais agnóstico quanto possível. Isso porque da mesma forma que usamos arede como sensor, também usamos a rede como “enforcer”, ou seja, obrigando-otambém estar em conformidade com padrões e se algo indevido for detectado elepode ser movido automaticamente para uma sub-rede restrita, como se fosse umtipo de “quarentena”. Ele até pode, por exemplo, acessar Internet, mas não osservidores da empresa. No limite, isolar completamente aquele usuário da redese isso for o procedimento determinado para um certo conjunto de eventos desegurança. Não apenas usuários ou estações de trabalho. Um Access Point podeser excluído da rede, um switch, o que for necessário. E quando falo de “rede”,não é apenas uma rede Cisco, é uma rede qualquer. Conseguimos trabalhar em umambiente no qual a rede é de outro fornecedor. Nesse contexto vale a penalembrar da solução “Lancope”, uma empresa adquirida pela Cisco que por meio datecnologia StealthWatch permite este tipo de monitoração que se baseiafortemente em análise fluxo de tráfego e contexto. Imagine um caso extremo. Édetectado um fluxo de tráfego intenso da impressora para a Web. A impressoranão faz este tipo de acesso e assim posso tomar uma ação em relação a estefato.

Flavio Xandó: esta capa desegurança tem ficado cada vez mais complexa, para lidar com as ameaças de todosos tipos que têm evoluído, a grande dúvida que tenho é, quanto escalável é esta“capa de segurança”? Ou de outra forma, as empresas pequenas médias e grandestêm a mesma solução, mas com diferentes tamanhos, ou a empresa pequena pode terapenas um pedaço da solução mais ampla?

Cisco(Ghassan): importante sua perguntaporque está em nosso recente anúncio de crescimento de nosso portfólio desoluções. Nós saímos do modelo de venda de ter “appliance” para o modelo devenda de software. Vendemos hardware para segmento SOHO (small office e homeoffice) e para grandes corporações com as mesmas características e capacidadese vendemos as subscrições, os serviços de segurança com base no que ele querusar e no seu tamanho. Por exemplo, sandbox eu posso colocar na empresa bempequena ou na grande corporação. Mas na empresa pequena eu posso não conseguirprocessar tudo ali porque é pequeno. Por isso começamos a oferecer opções comoserviço. Web Security, por exemplo, nós podemos executar na nuvem, não temhardware nenhum na casa do cliente e ele paga por usuário e o tráfego Web passapor uma nuvem Cisco, onde tenho uma cloud de segurança que controla a navegaçãodele. Assim como também temos uma cloud de e-mail security.

Flavio Xandó: isso não querdizer que o tráfego dele vai da empresa até sua nuvem e volta?  Ou ele usa como um gateway, passando apenaspor lá?

Cisco(Ghassan): isso mesmo. Ele usa como umgateway, qualquer navegação de qualquer dispositivo passa pela minha nuvem paraser filtrada. Mas só podem usar a minha cloud os usuários autenticados queestão pagando pelo serviço.
 

Cisco Security WebSecurity
figura 12 – modelo doWebSecurity

Flavio Xandó: isso nãoacrescenta uma latência sensível na navegação?

Cisco(Ghassan): introduz latência. Mas comonós temos 22 datacenters no mundo, será usado aquele mais próximo do cliente.Existe datacenter no Brasil, que minimiza a latência, pois temos conexõesinternacionais com as operadoras, que são tão ou mais rápidas e assim alatência fica imperceptível. Em todos os testes que temos feito, o incrementode latência para usar este serviço no Brasil não é grave. Por isso que estamossempre investindo em mais datacenters locais.

Flavio Xandó: pela minhaexperiência, ao acessar sites locais, existe uma latência de PING de cerca de10 ms e para acesso ao DNS do Google, o conhecido 8.8.8.8, cerca de 50 a 60 ms.Se usar o serviço de WebSecurity da Cisco acrescentar mais 10 ms apenas, pensoque tudo bem. Seria um problema se acrescentasse mais 200 ou 300 milissegundos.

Cisco(Ghassan): hoje em dia essa conexão étão rápida, que não se percebe demora adicional. A latência adicional pode sermedida, mas ele é de fato imperceptível. Nós da Cisco Brasil e muitos outrosescritórios remotos, com acesso VPN, ou mesmo em outros países, não háWebSecurity local. Todos usam o serviço da empresa na nuvem, navegamos viaEstados Unidos e não temos do que reclamar!! Só tem um efeito colateral. Porexemplo, se eu entrar no site da TAM aparece site em inglês (eles pensam que estamosnos EUA), mas basta mudar o idioma uma vez que ele carregará em português nasoutras vezes.

Flavio Xandó: você disse que oserviço WebSecurity é pago por usuário. Mas para isso ser viável para umaempresa pequena e média, está está vinculada ao tráfego que ela gera ou não?

Cisco(Ghassan): não, a política de cobrança éapenas por usuário. Nossos canais que fazem a comercialização deste serviço noBrasil e também operadoras que vendem seus serviços de conexão com Internetpodem oferecer aos seus clientes nossa opção de WebSecurity e E-mail Security,configurado nos roteadores deles, e cotam o preço por usuário.

Flavio Xandó: mas issoacontece quando ela vende acesso para empresas e não quando a operadora vendeInternet para usuários de smartphone, pessoas físicas…

Cisco(Ghassan): existe esta discussão também.Hoje o serviço não é oferecido para quem é usuário de celular. Hoje é paraempresas, mas estamos conversando com as operadoras a respeito. No caso daVIVO, por exemplo, eles têm uma rede IP que tem saídas para a Internet. Nóssugerimos para eles que em vez de se conectarem a estas portas de saída para aInternet, que eles se conectem com a nossa Cloud, que tem o Web Security.

Ciscoadquire OpenDNS

Flavio Xandó: eu li nosanúncios e falamos brevemente antes sobre o serviço OpenDNS.Pelo que entendi agora é um serviço Cisco. Eu uso OpenDNS há mais de 10 anos.Predominantemente o serviço de DNS gratuito, os famosos endereços208.67.222.222 e 208.67.220.220 que são super confiáveis e muito robustos! Mascheguei a usar uma época um outro serviço, que era gratuito até um certovolume, de filtro de navegação. Já que o DNS usado era o deles, eu usava umpainel de controle para escolher as categorias para restrição de acesso, tantona minha casa como em pequenas empresas. Fiquei curioso com essa aquisição daCisco, pois tenho interesse em saber como este serviço se integrará às soluçõesda Cisco e vice-versa?

Cisco(Ghassan): um dos grandes interesses daCisco é exatamente esta informação de tráfego, o que passa por lá, o que éruim, o que é filtrado, o que é bom. Mas temos interesse também na ferramentade Web Security que eles têm. É um tipo de recurso que está mais afinado com omercado SMB. A solução, por exemplo, que oferecemos para a TELEFONICA/VIVO é a ScanSafe, que foi concebida para Enterprises. Assim a soluçãoOpenDNS vai nos permitir oferecer este serviço para outros segmentos deempresa, por custos mais competitivos ainda.

Cisco Security OpenDNS
figura 13 – Cisco e OpenDNS
Flavio Xandó: permanecerá o brand OpenDns com um adendo “by Cisco”,terá um novo nome? Vai sumir a marca?

Cisco(Ghassan): ainda não temos estainformação, passamos para você assim que soubermos. Algumas empresas quecompramos tempos atrás a marca original sumiu e virou somente Cisco.

Flavio Xandó: mas o Webex quefoi adquirido por vocês manteve a marca.

Cisco(Ghassan): a empresa avalia caso a caso.Possivelmente o OpenDNS vai entrar embaixo deste guarda-chuva “Cisco ThreatDefense”. Aliás nós compramos toda a estrutura, pois eles tinham váriosdatacenters e uma imensa massa de dados que nos será muito útil, pois agrega muitaonosso “Threat Inteligence”

Flavio Xandó: o OpenDNStambém dá para ter um “Web Log”, ou seja, saber quais sites determinado usuárioacessou… se não me engano este serviço é pago. Só fazer a filtragem básica eusar o DNS é gratuito.

Cisco(Ghassan): o nosso produto ScanSafe éextremamente eficaz e produtivo para isso, bastante minucioso e repleto deinformações. Por isso que cada uma dessas soluções é mais indicada para umsegmento. O OpenDNS soma ao nosso portfólio de serviços, que é bastante grande,faz parte de um conjunto que chamamos de “Threat Awareness” que reúne muitasinformações sobre ameaças e o risco que os clientes podem correr, ações de DNSsuspeitas, etc. Por meio de um portal que é oferecido ao cliente ele podemonitorar características do seu tráfego, com base em seu perfil de acessos enavegação sem que haja um sensor dentro da sua casa. Dessa forma ele terá muitomais visibilidade de sua rede e de seu ambiente.

Flavio Xandó: nos anúnciosrecentes também havia menção ao AnyConnectque é uma ferramenta de acesso a VPN. O que há de novo em relação a isso?

Cisco (Ghassan): o AnyConnect é umaferramenta bastante específica e técnica e é usado por milhares e milhares deusuários que precisam usar a rede das empresas remotamente. Mas a partir deagora ele também passa a desempenhar a função de sensor de tráfego e fluxo pelarede que auxilia a complementar a visibilidade da rede. Antes, somente quemestava dentro da rede física que poderia prover estas informações, mas agora oAnyConnect tem essa capacidade de enriquecer a informação sobre a rede tambémnos pontos remotos.

Flavio Xandó: ele continuacom a possibilidade de permitir conexões apenas com usuário e senha, ouexigência de certificado digital, mais uso de token físico, como opções paraconexão remota?

Cisco(Ghassan): sim, ele tem tudo isso eainda é um cliente VPN IPsec e SSL . Por exemplo, os clients VPN embutidos nosprodutos da Apple são padrão AnyConnect. Existe parceria deles com a Cisco.Além disso, no caso de uso de certificados digitais, nós adaptamos para opadrão brasileiro, que é diferente de outros lugares do mundo. Também a empresapode exigir (se configurar o client dessa forma) que 100% uso externo dodispositivo, por exemplo um notebook corporativo, seja feito com a VPNestabelecida. Assim sempre o tráfego será controlado, o acesso à Internet passapelos sistema de segurança da empresa, etc.

Flavio Xandó: por quantascoisas nós passamos!!

Cisco(Ghassan): falamos de muitas coisa paraque você entendesse que não só você soubesse dos lançamentos recentes, mastambém nossa política de “Security Everywhere”, em todos os pontos, inclusiveoferendo serviços gerenciados presentes em todas as formas de acesso. Todasestas soluções estão disponíveis para os diversos clientes, pequeno, médio egrande, cada um tem o canal certo de comercialização. Podemos vender máquinasfísicas ou o software na forma de máquinas virtuais ou como serviço na nuvem.Ele nem precisa ter o appliance físico ou virtual para se conectar ao nossosistema de nuvem.  Por meio de nossosroteadores ou switches ele se conecta nos serviços de nuvem ou mesmo apenasusando o AnyConnect, não como client VPN e sim com o recurso de conector aonosso sistema, provendo a autenticação no nosso serviço.

Flavio Xandó: então umaempresa pequena, que veio de outro planeta, Plutão por exemplo, que nunca ouviufalar no nome da Cisco, pode por meio do AnyConnect ligar sua rede ao serviçode nuvem da Cisco e usufruir de um grande conjunto de soluções de segurança,estes sobre os quais conversamos?

Cisco(Ghassan): isso mesmo. Antes nósestávamos limitados a Web e E-mail security, mas com nossas conversas com asoperadoras, também o firewall pode ser usado como ser usado como serviçorodando na operadora com a nossa tecnologia.

Flavio Xandó: isso demandauma infraestrutura compatível na operadora, mas o valor mensal pago por cadacliente deve ser capaz de financiar o aumento de infraestrutura necessária.

Flavio Xandó: eu agradeço muito aoportunidade. Foi uma longa conversa e me parece que nós percorremos todos ospontos dos anúncios recentes vocês conseguiram amarrar com muitos outros pontosda tecnologia de segurança da Cisco. Muito obrigado!

Cisco Security Paulo Hassan Xand%25C3%25B3
figura 14 – Paulo Breitenvieser,Flavio Xandó e Ghassan Dreibi

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.