20 de julho de 2022
Por Tony Frum - Especialista em produtos, Skyhigh Security
Na realidade atual de grande utilização da nuvem, tanto para fins pessoais como empresariais, a segurança na Web tornou-se uma preocupação fundamental, mas extremamente complicada. Arquitecturas de rede diversificadas, utilizadores remotos, uma infinidade de plataformas de clientes, trazer o seu próprio dispositivo (BYOD), a diminuição do perímetro de rede tradicional e inúmeras outras considerações técnicas desafiam os profissionais de segurança que tentam proteger o tráfego Web da sua organização.
A segurança do DNS surgiu como uma alternativa a uma solução secure web gateway (SWG) completa, prometendo simplicidade e rapidez de implementação. Essencialmente, a segurança DNS liga-se à resolução de nomes de domínio para impedir o acesso a domínios de risco. Isto permite que as organizações simplifiquem a segurança na Web, tratando os domínios como "bairros". Impede o acesso a domínios mais arriscados e orienta os utilizadores para áreas mais seguras. Embora esta abordagem simplifique bastante o problema da segurança Web, tem algumas limitações. Vejamos de perto o que torna a segurança do DNS tão atractiva e analisemos se é realmente a solução milagrosa que muitas organizações procuram.
A segurança do DNS é suficiente?
As vantagens da segurança do DNS são evidentes. A sua caraterística mais apelativa é o facto de não haver necessidade de rearquitectar a rede. O envolvimento da equipa de rede é normalmente mínimo. A segurança do DNS também permite que as organizações alarguem a proteção à rede sem esforço para proteger um número cada vez maior de utilizadores externos. Como bónus adicional, a segurança do DNS vai além das capacidades do SWG, fornecendo cobertura para todas as portas e protocolos. A aplicação de políticas é simples. Pode bloquear domínios de alto risco e categorias Web potencialmente maliciosas. Tendo em conta todas estas vantagens, a segurança do DNS parece ser uma escolha lógica.
Mas toda esta bondade tem um custo. Numa palavra, visibilidade. Quando relega a sua segurança Web para a análise dos pedidos de DNS, perde contexto e acuidade importantes. Uma solução de segurança DNS sabe que um domínio foi resolvido por um cliente. Mas as informações relevantes sobre o tráfego enviado para o domínio após a resolução do DNS são desconhecidas. A sua solução de segurança DNS não pode responder a estas perguntas: "Quanto tráfego foi enviado ou recebido deste domínio? Que protocolos foram utilizados e em que portas? Que ficheiros foram transmitidos e se eram maliciosos? Foram carregados dados sensíveis para contas pessoais na nuvem?" Estas perguntas sem resposta sublinham a falta de visibilidade e contexto e expõem lacunas de segurança gritantes na segurança do DNS.
Vamos considerar o pior cenário possível. E se a sua organização fosse alvo de ameaças baseadas na Web? Quão difícil seria para um atacante contornar totalmente a sua segurança de DNS? Uma opção seria colocar conteúdo malicioso num domínio "bom conhecido". Isto poderia ser tão trivial como uma ligação partilhada a um ficheiro numa conta pessoal Dropbox ou OneDrive. Um atacante também pode simplesmente evitar a utilização de nomes de domínio. A utilização de um URL com um endereço IP num e-mail de phishing tem provavelmente a mesma probabilidade de enganar um utilizador crédulo do que uma ligação com um nome de anfitrião. Mesmo que o atacante precisasse de utilizar IPs dinamicamente, existem outras formas de obter um IP para uma máquina vítima, como publicar numa conta de rede social, colocá-lo num bucket Amazon S3 ou inúmeras outras opções. Não pode simplesmente assumir que as consultas DNS farão parte de todos os ataques ao seu ambiente.
Para além da visibilidade, o controlo também é sacrificado em nome da simplicidade e da rápida implementação. Quando o seu ponto de controlo se limita a um pedido de DNS, as suas opções de resposta também são limitadas. Muitas vezes, só lhe resta a opção de permitir ou bloquear, e esta decisão tem de ser tomada sem mais contexto do que um nome de domínio. Isto resulta numa política demasiado branda e arriscada ou numa alternativa mais severa que fará com que os utilizadores vejam a equipa de segurança de uma forma negativa. Não existe a opção de implementar uma política mais prática como, por exemplo, "O Facebook é permitido, mas não pode conversar" ou "As contas pessoais do Dropbox são permitidas, mas os carregamentos de dados sensíveis são verificados".
Porque é que a SWG é uma alternativa melhor e mais abrangente
Com isso em mente, é evidente que o SWG traz vários benefícios para a mesa. É uma tecnologia altamente madura, criada especificamente para decifrar e examinar o único protocolo que provavelmente representa mais de 90% do tráfego gerado pelos seus terminais: HTTP/S. O SWG oferece visibilidade e contexto que não estão disponíveis com a segurança do DNS. Os nomes de domínio são mostrados como URLs completos. Pode examinar o conteúdo de cada pedido, incluindo o tráfego enviado e recebido pelos pontos finais.
Esta maior visibilidade traduz-se diretamente numa maior segurança. As soluções SWG não só garantem que os utilizadores estão a visitar domínios apropriados e de confiança, como também efectuam análises de malware a todo o conteúdo descarregado, incluindo uma ligação a um ficheiro de uma conta pessoal do Dropbox. Quando o conteúdo é carregado, pode ser analisado em busca de dados sensíveis para garantir que não são violados regulamentos ou perdida propriedade intelectual.
Uma adição mais recente ao conjunto de ferramentas SWG inclui a capacidade de impor restrições de inquilino. As restrições de locatário são uma forma crítica de garantir a proteção de dados, permitindo apenas que os utilizadores acedam a serviços sancionados com um locatário sancionado (ou uma instância) dentro desses serviços. Juntamente com os controlos cloud access security broker (CASB), a imposição de restrições de inquilino permite que os dados migrem em segurança "para fora da porta" através da solução de segurança Web, mantendo-se no controlo da organização. Uma vez que os controlos CASB baseados em API apenas podem ser aplicados a inquilinos pertencentes à organização, é fundamental proibir os utilizadores de utilizarem inquilinos "sombra".
A inspeção profunda de todo o tráfego Web também permite que as organizações apliquem respostas mais tácticas a determinados comportamentos dos utilizadores. Isto não é possível com a segurança do DNS. Por exemplo, com o SWG, os controlos de atividade são uma capacidade comum que permite às equipas de segurança permitir domínios relacionados com algumas aplicações na nuvem, mas impedir determinadas actividades dentro dessas aplicações. Os utilizadores querem aceder às suas contas pessoais do Dropbox ou do Evernote, mas as equipas de segurança estão preocupadas com a segurança dos dados. Utilizando controlos de atividade, pode permitir estas aplicações mas impedir carregamentos.
Outro exemplo é a formação de utilizadores. Digamos que um domínio permitido foi comprometido. Em vez de reagir bloqueando o domínio, a organização pode decidir notificar os utilizadores e pedir-lhes que alterem imediatamente as suas credenciais.
Outro avanço bastante recente permite que conteúdos com risco desconhecido ou apenas ligeiramente suspeito sejam visualizados através de um browser isolado. Remote browser isolation O navegador isolado (RBI) permite que os utilizadores acedam a conteúdo que não se sabe se é seguro, ao mesmo tempo que isola os pontos finais do risco. O conteúdo solicitado é carregado num browser temporário que está isolado no centro de dados do fornecedor de segurança Web. O utilizador pode ver e interagir com esse browser remoto sem carregar qualquer conteúdo do site localmente. Isto permite o acesso ao conteúdo enquanto evita qualquer risco de malware no ponto final.
Quão fácil é implementar o SWG?
O objetivo final é a utilização de uma implementação nativa na nuvem em vez de soluções locais. Mas, como mencionado anteriormente, em muitos casos, o caminho para lá chegar pode ser acidentado pela abordagem de rasgar e substituir, ou pode ser facilitado pela eliminação progressiva do equipamento local com uma solução sinérgica optimizada para permitir a transformação, minimizando as perturbações.
Embora as organizações tenham muito mais a considerar quando implementam soluções SWG do que a segurança do DNS, a indústria percorreu um longo caminho no sentido de simplificar a abordagem desta tecnologia. Os dias de empilhamento de servidores em centros de dados em todo o mundo acabaram, uma vez que muitos fornecedores de SWG fazem o trabalho braçal por si. As soluções SWG são fornecidas utilizando infra-estruturas nativas da nuvem que oferecem uma pegada global, com desempenho e fiabilidade que rivalizam com o que até as maiores organizações provavelmente conseguiriam. As equipas de rede e de segurança já não têm de encontrar formas de transferir o tráfego de locais mais pequenos para uma localização central para filtragem, uma vez que as capacidades de VPN site a site permitem a utilização direta da infraestrutura do fornecedor de SWG. Do mesmo modo, os utilizadores remotos não têm de depender da VPN para a sua proteção - agentes inteligentes garantem que o seu tráfego é protegido utilizando activos no local ou na nuvem, quando apropriado.
A tecnologia SWG também simplificou drasticamente a política de segurança da Web. Longe vão os dias em que se definiam listas de URLs ou intervalos de IP que precisavam de ser permitidos ou bloqueados. A política Web é aplicada ao nível da aplicação na nuvem, em vez do domínio, e ao nível da atividade, em vez do URL. As políticas prontas a utilizar permitem às equipas de segurança alcançar todos os resultados desejados em minutos, sem terem de se contentar com um controlo rudimentar ou recorrer a configurações complicadas.
O melhor dos dois mundos
Apesar da perceção comum, as tecnologias de segurança SWG e DNS não são tecnologias concorrentes, mas sim soluções complementares. Se olhar para as duas ofertas de um ponto de vista de visibilidade, verá que a sobreposição é bastante mínima.
A segurança do DNS pode ser descrita como tendo uma milha de largura e uma polegada de profundidade. A amplitude da visibilidade é clara, uma vez que todas as portas e protocolos são abrangidos, mas há pouca profundidade, uma vez que a segurança do DNS funciona apenas com um nome de domínio.
O SWG, por outro lado, tem uma milha de profundidade e uma polegada de largura. Geralmente, é suportado um pequeno conjunto de protocolos críticos, mas a inspeção vai até aos níveis mais profundos do tráfego Web.
Um CISO de uma organização de média dimensão que esteja a começar a lidar com o problema da segurança pode começar com a segurança do DNS como uma "vitória rápida" e depois avançar para uma solução SWG para conseguir uma segurança Web verdadeiramente abrangente.
Colmatar as lacunas de segurança na Web com SWG
A segurança do DNS, por si só, não constitui uma verdadeira segurança na Web. Existem simplesmente demasiadas lacunas na visibilidade, o que torna a segurança e os relatórios insuficientes. Não existe uma verificação de malware do conteúdo descarregado ou segurança de dados para o conteúdo carregado. Há um contexto mínimo para responder a perguntas sobre o que realmente aconteceu entre este domínio e os seus terminais.
A tecnologia SWG, por outro lado, tem avançado ao longo das décadas para atingir os objectivos de segurança das maiores organizações do mundo, apesar da complexidade de um mundo que dá prioridade à nuvem. A SWG fornece uma inspeção profunda de todo o tráfego da Web, juntamente com poderosas tecnologias anti-malware e de segurança de dados para garantir que as informações e os activos dos terminais estão protegidos contra uma variedade de ameaças. Os relatórios e a visibilidade oferecem detalhes e contexto ricos em todas as interacções com aplicações baseadas na cloud. E, o melhor de tudo, a segurança DNS e o SWG juntam-se para oferecer uma abordagem do melhor de ambos os mundos para proteger qualquer organização contra as ameaças actuais.
Saiba mais sobre Skyhigh Security Secure Web Gateway clicando aqui.
Inscreva-se para uma demonstração ao vivo aqui.
Voltar aos blogues