“Não há nenhuma tecnologia que você possa empregar sem pensar em segurança”. A frase dita pelo Diretor de Pré-Vendas de Produtos e Soluções Digitais da Embratel, Paulo Venâncio, durante a abertura do Security Day, promovido pela empresa no último dia 10 de novembro, no Bourlevard JK, exemplifica o que a Embratel classifica como um contexto dentro de Soluções Digitais.
Segundo Venâncio, a empresa acredita em um mercado colaborativo de soluções, num ecossistema trabalhando em conjunto e agregando valor. “Em segurança, isso é mais importante ainda. Vamos falar sobre uma engrenagem que precisa funcionar de forma colaborativa”, disse.
Para tanto, a Embratel está mudando a forma de apresentar o portfólio de cibersegurança, agora chamado de Cyber Defense, que traz o conceito de segurança em camadas, pensando em pessoas e processos e que começa com um trabalho de entendimento de como o cliente está em termos de práticas e políticas de segurança. “Se vocês observarem dentro dessas camadas, vão encontrar desde serviços mais avançados até serviços que passam por uma situação tradicional de uma operadora. Vamos desde o entendimento da situação de cada cliente para criar uma estratégia de segurança que pode contar com os serviços mais básicos até os mais sofisticados”, disse.
Palestras do Security Day 2022
O ciclo de palestras contou com moderação do Gerente de Pré-Vendas de Soluções Digitais da Embratel, José Luiz Marques. Ele destacou a importância de ter a comunidade de segurança reunida para falar sobre zero trust, ressaltando que os consumidores estão ávidos por viver novas experiências.
Diante disso, o primeiro palestrante do evento, Fábio Peake, gerente de Canais de Segurança para a América Latina da Cisco, mostrou como a empresa vem trabalhando essa necessidade do consumidor e abrindo a discussão que seguiu depois com outros parceiros como a Fortinet, a Aruba e a IBM.
Cuidados no acesso
Segundo Peake, o zero trust é um conceito que abrange tudo “que a gente faz, ou possui no nosso ambiente, e aí, o peso entre a usabilidade e a proteção vai estar sempre sendo um desafio para todos”. O especialista ressaltou que é muito importante pensar no acesso correto aos dados, cada vez mais em “nuvem”, com uso de variados dispositivos. “Precisamos repensar os valores implementados pela tecnologia para que isso vá ao encontro do que é importante para os dados e para as aplicações. Logo, temos de saber quem precisa ter acesso à informação e se ele está atuando da maneira correta e sendo monitorado e avaliado de forma igualmente correta.”
Para entender os ataques é preciso conhecer o perfil do atacante e como isso acontece. Enquanto os ataques estão mais direcionados, os usuários estão cada vez mais em ambientes pouco controlados. “Quando a pessoa estava no escritório, em um dispositivo e ambiente controlado, era muito mais fácil ter visibilidade. Então, proporcionar essa visibilidade, receber um retorno vivendo em um ambiente heterogêneo, com um “certo nível” de segurança é o que nos move, é um pouco do que nos desafia nos dias de hoje”.
Quanto à experiência do usuário, Fábio Peake disse que é preciso criar algo fácil e intuitivo para ele, que é o ponto mais fraco, repensando a experiência do controle de acesso, uma vez que o princípio zero trust nunca vai assumir que uma pessoa/dispositivo é confiável, e que o usuário estará constantemente monitorando seus acessos na web.
Com a mudança constante do ambiente, o processo precisa ser contínuo, sem gerar uma dor de cabeça ou má experiência ao usuário, acrescentou o especialista. A ideia é considerar que, no primeiro momento em que ele faz a autenticação, está em um ambiente confiável. Ao longo do dia, de acordo com o comportamento do usuário, esse nível pode cair, o que exigirá estabelecer um patamar mínimo de confiança para continuar entregando um bom serviço.
Pensando nos níveis de segurança para cada perfil de usuário, para cada tipo de aplicação, ou dado, é possível customizar a política de segurança de acordo com a empresa ou mesmo com o departamento. Peake lembra que essa filosofia vai ser necessária em todos os pontos: desde o tráfego de redes, da comunicação e da aplicação, até a experiência do usuário e de como ele é autenticado.
Uma cultura organizacional/corporativa que não contemple a segurança cibernética destrói qualquer boa iniciativa, afirmou Fábio Peake. “Construam um caso sólido de quais são as aplicações que vocês vão proteger, quais os usuários, perfil de uso, as aplicações ao longo do desenvolvimento dos projetos. Construa sua pilha de perigos em função de proteger seus arquivos, para depois partir para usuários e dispositivos individuais e aí fechar com capacidades”, disse. “Quando falamos em ‘capacidades’ no zero trust, incluímos qualquer tamanho de empresa. Uma vez implementada uma boa arquitetura de zero trust, você consegue responder a um ataque em pouquíssimos minutos”, completou
Caminho de segurança da Aruba
O Security Day continuou com Riane Vilela, especialista da Aruba. O mediador da Embratel, José Luiz Marques, lembrou a transformação da empresa que atuava com redes e passou a trabalhar com segurança e zero trust.
Vilela contou um pouco dessa transformação, de uma empresa focada em massificar o Wi-Fi como acesso primário às redes até os dias de hoje, após a aquisição por parte da Hewlett Packard Enterprise, em 2015, tornando-se referência no segmento de segurança.
O portfólio amplo está estruturado em uma arquitetura chamada EDGE Services Platform, que reúne conectividade, integrações de 5G e IOT. “Chamamos de infraestrutura unificada, proteção, análise e ação, podendo ser ofertada no modelo as a service”, disse Vilela.
O Aruba Central é o painel único de gestão, ativamente desenvolvido para a nuvem e que concentra toda a gestão dessa arquitetura. Quando o foco é zero trust, Vilela explicou que se trata de segurança fim a fim. O framework endereça desde a visibilidade, passando pela autenticação/autorização, microssegmentação, dinâmica do ambiente e monitoramento contínuo, permitindo integração com plataformas de segurança em nuvem no modelo SASE. “Não é preciso fazer a troca, vou integrar com outras plataformas. A parte de SASE tem um papel importante visto a questão do perímetro que acabou se dissolvendo. Então, a segurança voltada para a nuvem se faz ainda mais importante e por isso integramos nossas soluções, principalmente no que se refere à parte de zero trust”, explicou o especialista.
Para a Aruba, quando o enfoque trata de zero trust, até que se prove o contrário, conceitualmente, nada é confiável. “É tratar o acesso com o menor privilégio possível no ingresso, ou seja, determinar o acesso com o privilégio adequado aos recursos que este dispositivo deve realmente acessar”, definiu Vilela.
O controle de tudo isso se dá em alguns passos, começando pela visibilidade, pois não é possível proteger aquilo que não se conhece. Outro aspecto é não permitir que qualquer conexão seja tratada de maneira invisível, ou seja, a hole firewall deve ser atribuída ao dispositivo a partir do acesso e ter a segmentação do que vai ser permitido para esse cliente acessar na rede a partir dessa hole, inclusive com monitoramento contínuo através das integrações da telemetria e a aplicação e resposta.
O principal diferencial da empresa, afirmou Vilela, é comercializar uma solução multivendas. O ClearPass consegue integrar diferentes parceiros tecnológicos e fornecedores, como a Cisco, a IBM e a Fortinet. “Isso tudo pode ser integrado àquelas camadas que o Paulo Venâncio (da Embratel) trouxe. Hoje, são mais de 150 integrações disponíveis em uma única licença.”
O especialista da Aruba mencionou ainda o trabalho feito com o Pentágono, nos Estados Unidos, onde foi realizada uma atualização de toda a infraestrutura de acesso das redes confidenciais e também administrativas, controlando o acesso e a postura de tudo que é conectado às redes através do CleanPass e também do Aruba Central. “Vale lembrar que a plataforma recebeu a designação formal de “autorizado” pela FedRAMP (Federal Risk and Authorization Management Program), o que permite que ela possa ser usada por todo o governo dos Estados Unidos”, concluiu.
