Qual a
diferença entre uma empresa que convive bem com as ameaças digitais com outra
que está sempre na berlinda? Há muitas respostas: uma boa política de
segurança, funcionários bem treinados e conscientes, processos bem implementados e produtos de
segurança bem instalados e gerenciados. Tudo isto está correto mais há algo que
essas empresas tem que as outras não possuem: inteligência de segurança. Esse
tema não é novo e eu já venho tratando dele há muito tempo, seja para prevenção
de ameaças, seja para a segurança de redes. Nesse post trato pela primeira vez
da inteligência no gerenciamento de firewalls.
Por que? Firewalls
são a primeira linha de defesa de qualquer rede, e isso não mudará tão cedo. Para
alguns é ainda a única. Seja qual for a geração, e sempre haverá um de próxima
geração, firewalls são baseados em regras, e estas são muito simples na
verdade: quem pode fazer o quê. As várias gerações de firewalls vem alterando o
“quem” (de IPs para pessoas) e o quê (de serviços e portas para ações e
atividades), mas a essência é a mesma, e o fato é que hoje existe pouca
inteligência no gerenciamento de regras, e ainda menos inteligência em
posicionar firewalls dentro do espectro de risco.
O que
significa inteligência? Ela é o resultado do conhecimento. Quanto mais
conhecimento mais sábias serão as decisões tomadas e mais condições teremos de
antecipar acontecimentos no futuro. Empresas são administradas dessa forma há
anos. É também assim que os pais parecem mais inteligentes (ou mais sábios se você
preferir) que seus filhos: eles tomam decisões melhores porque possuem mais
conhecimento, e portanto podem prever melhor os resultados. Muitas empresas
empregam bem esse conceito na prevenção de malware e de ataque em geral, mas
pouca gente o faz para os firewalls.
O que
significa uma determinada regra (por que se está permitindo ou bloqueando tal
acesso)? Por que ela existe (qual a função de negócio)? Quem a solicitou? Onde
e quando? E até quando ela deve existir? Como a regra afeta meus níveis de
risco e compliance? Vejam que não saímos do “o que, quem, por que, onde, quando
e como”. Saber as respostas para essas
perguntas significa firewalls melhor configurados e mais segurança.