Nossa área de segurança de TI é pródiga em tomar emprestado termos de outras áreas, algumas nem um pouco relacionadas à segurança. O caso mais famoso é certamente a palavra firewall, que acabou por ser mais associada à segurança de redes que ao seu uso original em construções. Lembro isso para introduzir o assunto título do artigo esse mês: clean pipes, ou tubulações limpas em uma tradução livre.
Clean pipes em segurança de redes significa circuitos de dados livres de tráfego de ataque e do lixo eletrônico em geral. É um termo bastante genérico, não propriamente novo, existe já há alguns anos, mas que vem recentemente recebendo atenção do mercado e uma nova textura associada com outra tendência do momento, o cloud computing. Por isso vale uma olhada mais de perto e fugir do risco de ser seduzido por termos enriquecidos pelo marketing mas com pouca eficiência prática ou relacionados a produtos e serviços maquilados com uma nova roupagem para ficarem mais atrativos.
Entender o termo não é difícil. A melhor analogia, usada por nove entre dez especialistas é a do fornecimento de água, que chega às casas livre de impurezas, não exigindo que seja filtrada pelos moradores. É claro que não se aplica muito ao Brasil, já que aqui a água chega mais ou menos pura e todos nós usamos filtros em casa. Mas de qualquer forma dá uma boa ideia do conceito principal, de ser parte do portafólio de serviços das prestadoras de telecomunicações que buscam adicionar ao serviço básico de conexão o valor agregado de filtragem das ameaças digitais antes que estas cheguem à empresa. Com o advento do cloud computing o leque abrange também os provedores desses serviços e os circuitos de dados por eles oferecidos como parte da infraestrutura de nuvem, já que é essencial que a infraestrutura esteja com o máximo de disponibilidade e livre de problemas que possam significar a interrupção dos serviços. Tal filtragem poderá então ser assimilada como custo pelos provedores e anunciada como valor agregado, ou comercializado como serviço adicional.
Esses provedores são portanto os clientes dos fabricantes e fornecedores de serviços e produtos de segurança. E aqui começa a divergência, se é que podemos chamar assim. Por ser uma prática genérica não há uma classe de produtos ou serviços específicos. O que é oferecido ajuda ou pode ser utilizado pela companhia em seu esforço de garantir circuitos seguros para seus clientes, e dessa forma o foco de produtos e serviços variam entre os fornecedores, o que implica em mais cuidado no momento da aquisição. Cabe ao provedor decidir que nível de limpeza ele quer, ou precisa, fornecer a seus clientes. Similarmente, cabe a estes questionar qual o nível de limpeza está sendo prometido, e qual o SLA que será garantido. É um erro comprar um circuito “limpo” sem especificar o que isso significa exatamente, ou quais ataques serão bloqueados e em que extensão.
O fato é que nem todos os ataques podem ser bloqueados pelos provedores no nível da rede, e portanto é impossível que alguma empresa garanta circuitos completamente livre de tráfego malicioso. O espectro de ameaças digitais é muito amplo e apenas parte dos ataques de rede podem ser detectados e bloqueados. Um deles são os de negação de serviço, distribuído ou não (DoS e DDoS) e há um beneficio imediato do bloqueio já pelo provedor, pois a possibilidade dos equipamentos de perímetro dos clientes, firewall inclusive, não aguentarem um ataque desses é bem alto. Já o provedor, devido a sua infraestrutura, tem mais condições de lidar com ele. Há claro modalidades diferentes de DoS, assunto para um artigo inteiro, e a empresa precisa planejar quais serão tratados. Sobretudo para provedores de infraestrutura de nuvem essa proteção é importantíssima já que o ataque pode afetar uma grande quantidade de serviços. Outro tráfego malicioso, muitas vezes relacionado com o ataque anterior, é o de botnets, as redes de comunicação dos computadores “zumbis”. Há também todo um tráfego relacionado a ataques diversos de rede, normalmente centrados em explorar vulnerabilidades presentes em sistemas operacionais. Existem padrões conhecidos de todos esses tipo de tráfego que o identificam com segurança, sem riscos no momento da ação.
Essa é alias uma discussão habitual entre os provedores e seus clientes, que receiam que o bloqueio possa também afetar o tráfego legítimo, e preferem assim que o circuito seja fornecido de forma bruta, sem tratamento. Isso ocorreria devido ao falsos positivos gerados pelos produtos de detecção. Felizmente não há mais fundamento para esse temor. Um bom percentual dos ataques de rede tem probabilidade zero de falso positivo. Trata-se não somente dos dois ataques que comentei anteriormente mas de exploits conhecidos a fundo, muitos com quase uma década de existência, que detectores de intrusos identificam com 100% de certeza. Ao serem filtrados ainda no backbone do provedor, recursos de rede e segurança do cliente final são poupados para outros fins, como ataques que requerem análise de contexto antes, o que é preferível que ocorra na empresa usuária.
Esse é alias outro ponto importantíssimo. Contratar um circuito limpo não significa abrir mão da segurança de perímetro de sua rede. Por mais que hoje a noção de perímetro tenha evoluído para os pontos de contato com redes as quais a empresa não tem controle, o que inclui usuários VPN, equipamentos de mobilidade, parceiros e até serviços como correio eletrônico, entre outros; haverá sempre a conexão principal da empresa com a Internet, e que deve ser protegida. Ter um nível superior de filtragem é uma ótimo recurso adicional, mas que deve ser tratado dessa forma, como algo a mais que não irá representar um risco se for algum dia desabilitado. Voltando uma vez mais à nossa analogia, é como o fornecimento aqui em nosso país. A água chega limpa das principais impurezas, mas para bebê-la usamos sempre um filtro dentro de nossa casa.
