O uso do termo “next-generation” (próxima
geração) em segurança de TI é uma
constante há vários anos. Em especial o Gartner Group o adora, já que volta e
meia publica alguma análise sobre alguma nova geração de um produto. Pois em
outubro de 2011 o instituto de pesquisa publicou estudo de seis páginas com o
título “Defining Next-Generation Network Intrusion Prevention”, descrevendo as funcionalidades que devem
compor os dispositivos de prevenção de intrusos que as empresas precisariam no
futuro próximo.
Eu pessoalmente não gosto desse termo.
Primeiro porque não diz muita coisa. Os fabricantes estão sempre trabalhando em
inovações para seus produtos que serão a sua próxima geração. Um bom exemplo é
o firewall. Há quase dez anos atrás o Gartner publicou um estudo para o “next-generation
firewall”, que naquela época era um firewall que incluía detecção de intrusos,
ou deep packet inspection na terminologia da época. Hoje para o Gartner o next-generation
firewall deve incluir várias outras funcionalidades e certamente
daqui a cinco anos haverá outra geração de firewall e IPS, com as
funcionalidades necessárias ao ambiente naquela época.
O segundo motivo é que causa confusão. Os
relatórios do Gartner são pagos. Esse sobre IPS, especificamente, custa 95
dólares americanos, e muita gente decide não comprá-lo. Mas mesmo quem não tem
acesso total ao relatório quer comprar seu IPS de próxima geração e exige isso
de seus provedores. Já os fabricantes,
que precisam responder aos seus clientes e prospectos, passam a chamar seu
produto de next generation IPS e a
realçar as funcionalidades de “próxima geração” presentes em seu produto.
Porém mesmo para estes a aderência ao critério difere, pois o Gartner não
especifica funcionalidades de produtos. Não é de se estranhar portanto que o
next-generation IPS do fabricante A seja bem diferente do next-generation IPS
do fabricante B.
A única solução a meu ver é o usuário
conhecer o que está sendo proposto pelo Gartner , analisar se faz sentido para
sua empresa e especificar as funções ao invés de apenas pedir genericamente um “IPS
de próxima geração”. Mas importante ainda é entender qual o problema e contexto
da proposição de um novo tipo de IPS. O
motivador do estudo é a percepção pelo Gartner que os sistemas atuais de
prevenção de intrusos, de “primeira geração”, não estão sendo capazes de deter
os novos tipos de ataques, mais sofisticados e direcionados, e portanto é
necessário que a tecnologia embarcada nos produtos evolua. Mas como os analistas do Gartner chegaram a
essa conclusão? Esse e os demais estudos são análises de mercado. Como exposto
no documento as fontes foram os clientes do Gartner afetados por tais ataques –
grandes empresas normalmente - e os fabricantes listados nos relatórios “Magic
Quadrant” do próprio instituto. O resultado final é a opinião dos analistas do
que precisa ser mudado para fazer frente ao problema.
De acordo com eles a tecnologia atualmente
adotada é a da detecção e bloqueio de tentativas de explorar vulnerabilidades
não corrigidas em servidores ou erros de
configuração. Ataques mais sofisticados
com malware especialmente desenvolvido para um alvo, malware instalado
involuntariamente e botnets fogem da definição inicial da tecnologia de IPS e
não são eficientemente detectados ou bloqueados. Dessa forma os produtos deveriam
incorporar outras funcionalidades, sem deixar de lado as originais, obviamente.
São elas:
Conhecimento
das aplicações e visibilidade de toda a pilha de protocolos – capacidade de identificar aplicações e detectar ataques no seu
contexto, independente da porta e protocolos de transporte utilizados. Em comparação, a tecnologia mais elementar de
IPS está baseada em portas, protocolos e serviços elementares de rede.
Considero essa capacidade extremamente
importante, tanto para o firewall como para o IPS, já que a Internet se move
cada vez mais para cima, ou seja, para aplicações baseadas em navegadores e nos
novos recursos disponíveis para colaboração
e interconexão de sistemas. O
estudo fala também em detectar aplicações hostis. O que é necessário então
verificar com seus fornecedores? Primeiro, quantas aplicações são hoje
reconhecidas e o roadmap para essa parte. Depois, Como a área de pesquisa está
estruturada para adicionar novas aplicações, já que todas foram estruturadas
para pesquisar ameaças e vulnerabilidades. Verificar qual a penalização em
desempenho quando a funcionalidade está em uso é também essencial. Se o seu
fornecedor disser que não há, é importante perguntar como.
Reconhecimento
de contexto – capacidade do produto agir em função
do contexto do evento detectado, a partir de bases de informação externas. O
ponto principal é que essa funcionalidade é genérica e envolve na verdade
diferentes funções. Uma delas é o uso de listas de reputação de endereço.
Outras são a identificação dos usuários, posição geográfica da origem do
tráfego, correlação com o estado de vulnerabilidade e aplicação de correções
nos destinos do tráfego suspeito. Dessa forma se o seu fornecedor disser que
seu produto reconhece contexto é importante perguntar quais as fontes usadas e
qual o tipo de ação que o produto toma a partir delas. Nunca peça simplesmente em uma RFP que o
produto “reconheça contexto” porque você irá receber coisas diferentes de cada
fabricante. Um bom exercício é consultar diferentes fabricantes e ver como eles
o estão implementando.
Reconhecimento
de conteúdo – inspecionar e classificar de executáveis
e outros arquivos como PDF e Word. A
minha impressão é que nesse ponto o Gartner não quer dizer que um IPS faço o
papel de antivírus, mas que deve identificar o envio de arquivos de tipos
específicos e utilizar isso como mais um elemento na decisão de liberar ou
bloquear o tráfego associado.
Motor
expansível – é a minha tradução livre para “agile
engine”, ou a capacidade do motor do sistema de receber facilmente expansões
para detectar novas modalidades de ataque ou conectar-se a novas fontes de apoio
a decisão. Trata-se de um requerimento
louvável mas bem genérico e difícil de ser verificado na vida real.
Nenhum comentário:
Postar um comentário