Em meu primeiro texto sobre IPS abordei o conceito de next-generation IPS na visão do Gartner Group. É sempre importante olhar o que o instituto está dizendo pois possui um enorme poder de influência sobre o mercado, e mesmo quando erra em suas conclusões e previsões seus analistas acabam por induzir fabricantes, integradores e clientes em suas decisões por um longo período. De acordo com o último estudo sobre prevenção de intrusos, os equipamentos de próxima geração deveriam possuir as seguintes características além da já tradicional capacidade de identificar ataques de rede: conhecimento das aplicações e visibilidade de toda a pilha de protocolos, reconhecimento de contexto, reconhecimento de conteúdo e motor expansível. No mesmo artigo eu concluí que tal produto ainda não existe, apesar de dez em dez fabricantes anunciarem que atendem aos requisitos do Gartner.
Após encerrar o artigo fiquei pensando sobre os administradores de prevenção de intrusos: estariam eles preparados? As empresas precisarão também de “administradores e operadores de próxima geração”? Ainda não completei meu estudo mas gostaria de compartilhar alguns pensamentos e conclusões, mesmo que provisórias. Muitas delas valem também para o next-generation firewall, outro conceito criado pelo Gartner.
Nos anos iniciais da tecnologia o administrador/operador de IDS (detecção de intrusos) foi educado em meio ao caos de muitos milhares de alertas para analisar e deles extrair o que poderia ser um ataque real. Tiveram que se acostumar com termos estranhos como “falso positivo” e “falso negativo” e com a dura realidade de no final apenas analisar o passado. A geração seguinte da tecnologia permitiu que os sensores saíssem da posição passiva para ficar no meio da rede, ativos e capazes de bloquear os ataques. Os falso positivos assim tomaram outra dimensão: o produto seria capaz de equivocadamente bloquear tráfego legítimo afetando os negócios da empresa. Assim o ajuste fino – tuning – tornou-se algo essencial em todo e qualquer projeto. No entanto o ajuste fino em um política de IPS é algo muitíssimo mais complexo que o ajuste de configurações de desempenho, por exemplo. O advento do IPS dessa forma dificultou ainda mais a administração, pois os milhares de eventos continuavam e era necessário um trabalho extenso e complicadíssimo de ajuste finos das políticas de detecção.
A situação fez com que os principais fabricantes investissem milhões de dólares no aperfeiçoamento da detecção, surgindo assim as assinaturas baseadas em protocolos e vulnerabilidades, e na redução dos falso positivos onde o produto seria capaz de sozinho separar o joio do trigo e apenas alarmar eventos reais de invasão. De tão importante essas funcionalidades tomaram a frente do discurso de marketing. Vejo esse período como a terceira fase da tecnologia: a busca de um produto mais eficiente e mais fácil de administrar. A questão tecnológica de um produto mais eficiente já se completou mas a administrativa ainda não. As ferramentas existem mas os usuários ainda não as usam amplamente ou com proficiência. Dispositivos de IPS ainda são produtos difíceis de administrar, tanto que esse continua a ser um dos argumentos dos provedores de serviços de gerenciamento de segurança (MSS).
Minha primeira conclusão é que os administradores ainda não estão prontos para passar para uma nova fase dos produtos que gerenciam, já que ainda nem complementaram a fase atual. É verdade que umas das funcionalidades solicitadas pelo Gartner, reconhecimento de contexto, reduziria ainda mais a quantidade de eventos relevantes; porém as outras podem aumentar a complexidade da administração ao gerar mais eventos e requerer outros tipos de ajuste fino. Também não vejo os provedores de MSS anunciando o gerenciamento desses novos IPS, mesmo estes sendo largamente anunciados por fabricantes. Eu gosto muito mais do conceito de “threat landscape”, ou a proteção contra o amplo cenário de ameaças existente, usando para isso quantas camadas de tecnologia forem necessárias em quantos produtos forem precisos, do que a ideia de que uma tecnologia irá evoluir para abarcar todas as camadas necessárias para a segurança de rede. Mais do que enveredar por novas funcionalidades de um produto considero mais importante que os administradores de IPS migrem para sua própria próxima fase: a de administradores de ameaças.
Outra conclusão é que talvez toda essa discussão esteja com o foco errado. Afinal são os produtos que devem ditar as rotinas de administração, ou são as rotinas de administração que devem ditar as funcionalidades dos produtos? Em outras palavras, as empresas devem adquirir IPS de próxima geração e então sua equipe técnica deve aprender a como usar as funcionalidades na sua rotina diária, ou são as equipes técnicas que devem buscar essas funções, seja no mesmo produto ou não, para atender às necessidades de seus processos? É interessante observar que é dessa forma que os estudos começam, perguntando aos clientes o que eles gostariam de ter nos produtos que utilizam. Porém uma vez publicado, o foco parece inverter-se, como se daquele momento em diante os produtos ditassem o que é necessário para as empresas.
Mas quais seriam as características dos administradores de ameaças em uma empresa? Inicialmente uma equipe especializada nas ameaças as quais a empresa em que trabalha está sujeita. Significa conhecer profundamente os ativos críticos para os negócios e como eles poderiam ser afetados. Em seguida estudar o que novos serviços, negócios ou equipamentos podem trazer de riscos ou de aumento na janela de oportunidade para os invasores. Uma ferramenta essencial para essa equipe é a inteligência em segurança, provida por serviços pagos e gratuitos na Internet. Quais as novas ameaças que estão surgindo, quais novas vulnerabilidades foram descobertas, as ondas de ataques que estão ocorrendo na Rede podem chegar à minha empresa e afetar os negócios? Essas e outras perguntas são respondidas através dessas informações a que gosto de chamar de inteligência em segurança.
Ao implementar funcionalidades disponíveis em produtos apenas porque elas estão lá corremos o risco de apenas agregar coisas para as quais não sabemos muito como utilizar. Me lembro de um cliente antigo que após testar uma nova funcionalidade do produto que minha empresa vendia me disse: “gostei muito, é uma função muito interessante, mas para que serve?”. Naquele momento percebi que para ele não servia para nada.
