A afirmação do vice-presidente da Symantec ecoa até hoje: “O antivírus morreu”. Na cola dessa afirmação, e frente às constantes evoluções tanto das ameaças quanto dos sistemas defensivos, algumas pessoas começaram a se perguntar: Por quê precisamos de detecção, prevenção e resposta de endpoint se já temos uma segmentação de rede tão boa?

Parte desse raciocínio surgiu após um artigo que ganhou repercussão na Computerworld, que descreveu um vazamento ocorrido devido a um erro básico de segmentação de rede. A lógica que se formou foi que, a partir de uma boa segmentação de rede, outras medidas de segurança seriam desnecessárias ou obsoletas.

Por muitos anos, a tônica do mercado foi cada fabricante argumentando possuir a solução que forneceria proteção contra todas as ameaças. A realidade é que muitas dessas tecnologias e práticas – desde detecção, prevenção e resposta de endpoint até segmentação de rede, firewalls, IPS e o antivírus tradicional – são partes valiosas no papel de uma segurança de verdade para a sua empresa. Se implementados de forma correta, muitas dessas medidas poderiam ter evitado os ataques específicos utilizados no vazamento descrito no artigo da Computerworld.

Esse é o posicionamento que sempre defendemos na Real Protect. A segurança deve ser abordada de forma holística. Não se pode confiar que apenas uma única solução, por mais de ponta e desenvolvida que seja, tenha a capacidade de garantir a segurança contra a miríade de ataques a favor dos criminosos. Além disso, é vital investir em pessoas e processos. Em pessoas porque nenhuma ferramenta, por melhor que seja, opera de forma autônoma, sem os comandos de um analista treinado e especializado. Em processos porque somente por meio de processos maduros e estruturados é possível mitigar de forma real os riscos. Uma segurança orientada por demandas será pouco eficiente e estará sempre apagando incêndios.

De volta à questão: Por quê precisamos de proteção, detecção e resposta endpoint se já possuímos uma excelente segmentação de rede?

Essa não é uma questão tão difícil de responder. Existe mais de uma forma pela qual o malware ganha acesso a uma máquina: USB, compartilhamento na nuvem e outros. Uma vez dentro da rede, mesmo que segmentada, o ambiente sem a solução de endpoint pode ser infectado com muito pouco esforço.

Você se sente seguro, tendo malwares nos seus endpoints se eles não possuem mecanismos para vazarem as informações roubadas? A resposta com certeza é não! Mas, em todo caso, existem técnicas avançadas que criam toda uma nova rede, sem monitoramento e sem defesas! É difícil guardar o perímetro quando você nem sabe que ele existe.

O fato é que defesa em camadas não é apenas uma ideia bonita. Um atacante inteligente e persistente sempre vai achar um meio de entrar. O comprometimento da rede é inevitável, mas o vazamento de dados não precisa ser. Para atingir esse objetivo é fundamental contar com uma equipe preparada e treinada para responder a incidentes de segurança. Isso está diretamente relacionado com as pessoas e processos comentados anteriormente. Somente assim uma estratégia de segurança pode ser bem sucedida.

9.01.2014