Plano gráfico de segurança em várias camadas de um varejista
Resumo
Na era atual de ataques multivetores, a segurança de TI no varejo requer uma nova abordagem para a segurança. Além de proteger o perímetro, gerentes inteligentes de TI começaram a adotar um plano gráfico de segurança em várias camadas para detectar anomalias e invasões dentro da rede.
Este artigo descreve a natureza dos multivetores, comum na maioria das violações de segurança de destaque ocorridas em empresas varejistas. Diretores de TI e diretores de segurança aprenderão sobre as diversas características comuns às recentes violações, e levarão o plano gráfico da SonicWall visando um modelo de segurança viável destinado a evitar violações em redes de varejo.
Introdução
Um alvo fácil traz felicidade para o dia de um criminoso virtual. Por que tantos varejistas são alvos fáceis?
Para os criminosos, o varejo é onde o dinheiro está. A possibilidade de transferir e vender milhares ou milhões de dados de cartão de crédito e informações de consumidores é um poderoso incentivo.
Os varejistas modernos levaram décadas para fortalecer suas lojas físicas contra roubo, mas apenas alguns anos para proteger suas redes de TI contra o roubo de dados. Os criminosos se voltaram para a opção mais sutil e lucrativa de esgueirar-se pela rede, explorando falhas internas na segurança e silenciosamente copiando volumes imensos de dados confidenciais para armazená-los fora da rede.
Essas violações incluem vetores de ataque diversificados como vírus, spyware, phishing, softwares voltados para invasão e spam. Uma estratégia em várias camadas é a única defesa realista contra esses ataques.
Violações nas manchetes de jornais: danos e acidentes aos milhões
Apesar de seus melhores esforços estarem em conformidade com os Padrões de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) e de outras medidas para proteger transações eletrônicas, os varejistas permanecem sob ataque. Uma breve lista de violações de destaque ocorridas apenas na América do Norte inclui nomes confiáveis e conhecidos:
• Target: com o roubo de 40 milhões de números de cartão de pagamento e de informações pessoais de mais 70 milhões de pessoas, essa é considerada a maior violação ocorrida no varejo americano até hoje.
• Home Depot: durante cinco meses, ladrões virtuais roubaram 56 milhões de números de cartão e 53 milhões de endereços de e-mail.
• Michael’s: hackers roubaram os detalhes de três milhões de cartões de pagamento ao longo de nove meses.
• Staples: durante a temporada de voltas às aulas, 1,16 milhão de cartões de pagamento foram expostos aos criminosos.
Manchetes e sites de notícias estão cheios desses detalhes apavorantes, e todos os gerentes de TI temem o dia em que sua empresa aparecerá nessas reportagens.
O impacto no varejo: uma abundância de devastação
Embora esses criminosos não roubem propriedades tangíveis dos varejistas, suas atividades acarretam ainda mais destruição do que se roubassem bens físicos. Considere algumas das ramificações das violações do varejo:
Para varejistas
As despesas resultantes são mais graves. A Target, por exemplo, gastou US$ 61 milhões nos primeiros meses após a violação, em medidas como operação de resposta ao cliente e no compromisso assumido de que os clientes não teriam que pagar por nenhuma cobrança fraudulenta decorrente da violação. Em seguida, os negócios são prejudicados, pois sua atenção sai das vendas e se volta para as relações com a imprensa e a avaliação dos danos. O lucro da Target no trimestre de férias caiu 46% em relação ao mesmo período do ano anterior.5 Para interromper a sangria, varejistas como a Staples oferecem o pagamento pelos custos de proteção gratuita à identidade, monitoramento de crédito, seguro contra roubo de identidade, relatório de crédito gratuito, para clientes que usaram seus cartões de pagamento nessas lojas durante períodos específicos e que possam ter sido afetados.
Mais difícil de quantificar é o custo de dúvidas tardias sobre danos futuros causados pela violação, perguntas que surgem, como “O que eles roubaram e que ainda não sabemos?”, “O que mais está se escondendo na rede e que ainda não descobrimos?”.
Para fornecedores
As relações de negócios externas exigiram que os varejistas ampliassem as conexões e credenciais de rede de modo ascendente e descendente na cadeia de fornecimento. A Home Depot, a Target e a Dairy Queen, cada uma delas indicou que o roubo de credenciais de rede do fornecedor estava entre os eventos que precipitaram as violações.7,8 Ataques proeminentes são frequentemente um aviso prévio para o fornecedor de que sua própria segurança foi comprometida.
Para consumidores
Como um varejista pode se recuperar dos danos sobre a sua marca e da perda da confiança do consumidor? Como reconquistar as visitas e os cliques que repentinamente passaram para os concorrentes? Pior ainda, como impedir as ações legais que grupos de consumidores ultrajados impetraram contra a empresa, como os muitos processos que foram abertos contra a Target?
Como resultado, gerentes de TI, varejistas, fornecedores e bancos estão preocupados não tanto com o cumprimento das normas PCI DSS e dos padrões do setor, mas em se manter longe das primeiras páginas de notícias.
Por que isso aconteceu: o advento dos ataques multivetores
Como podem ocorrer violações em varejistas tão grandes, com grandes orçamentos, amplos recursos e vasta infraestrutura de segurança? Muitos ataques proeminentes têm características em comum:
- Os funcionários do varejista ou de seus fornecedores não recebem um treinamento adequado sobre conscientização de segurança. Sem o fator humano não pode haver invasão, e os funcionários que divulgam senhas, são vítimas de esquemas de phishing, visitam sites comprometidos ou não reagem a avisos de segurança, formando o elo mais fraco.
- Uma vez dentro da rede, os invasores se dedicam a aumentar seus direitos para conceder a si mesmos mais privilégios e maior acesso.
- Políticas de firewall frouxas entre segmentos da rede e o portal B2B enfraquecem o alvo para o invasor, que já está dentro da rede.
- Criminosos infectam sistemas de ponto de vendas (POS) e backoffice com vários tipos de malware capturadores de RAM. O código captura dados de pagamento e do consumidor e os copia para outros sistemas comprometidos.
- Contar com uma única camada de defesa (geralmente um antimalware no ponto de extremidade) ou com um array de produtos mal integrados impede que as empresas bloqueiem ameaças verdadeiras, como código que envia dados capturados para fora da rede.
As violações que causam o maior dano envolvem vários vetores. Eles incluem contato e infecção em diferentes pontos, períodos e níveis nas muitas partes da rede corporativa do varejo.
No passado, a combinação de um equipamento de firewall e de um software antivírus era suficiente como um perímetro sólido. No entanto, em uma era de violações metódicas, em grande escala e multivetores, ferramentas que simplesmente protegem o perímetro e contam com modelos de segurança tradicionais e baseados em confiança são inadequadas.
Gerentes de TI inteligentes têm retirado o foco da meta de impedir todo e qualquer ataque, mas que já não pode mais ser atingida. Em vez disso, estão adotando ferramentas que detectam anomalias e invasões em vários pontos e períodos dentro da rede e desaceleram o progresso de ataques multivetores.
Como os varejistas podem abordar a segurança de rede de forma mais eficaz
Todo varejista está a apenas um pequeno descuido de ter de enfrentar meses de controle de danos, e nenhuma camada única de segurança é capaz de cuidar de tudo. Atualmente, a proteção da marca inclui a proteção da rede, por meio de várias camadas de segurança e inteligência contra ameaças, que evitam e respondem a ataques:
- A adoção de uma política de segurança que não confia em nada (recursos da rede) nem em ninguém (fornecedores, franquias, equipe interna) e, em seguida, a adição apenas de exceções explícitas e específicas.
- A separação de grupos e zonas, para impedir que invasores que consigam acesso à rede, invadindo ainda mais.
- A inspeção de todo o tráfego de entrada e saída em cada nó de cada segmento, e a investigação automática de anomalias.
- Aplicação de segurança de e-mail para bloquear malware em ataques de spam e phishing via e-mail.
- Unificação de várias tecnologias em uma plataforma que protege contra ameaças.
- A segurança não deve ser sacrificada em prol do desempenho.
Essa abordagem em várias camadas tem o potencial de impedir ataques multivetores impedindo seu progresso na rede, identificando-os e eliminando-os.
Um plano gráfico para uma defesa de varejo em várias camadas.
Com base em dados acumulados ao longo de anos protegendo empresas de todos os portes, a SonicWall desenvolveu e integrou, em sua linha de firewalls de próxima geração SonicWall, um plano gráfico para defesa em várias camadas contra ataques em redes de empresas varejistas. O plano gráfico abrange as camadas de segurança necessárias para desacelerar e interromper tentativas de invasão.
Segurança baseada em zonas para repositórios
Em uma violação de varejo típica, os dados capturados no POS repentinamente percorrem segmentos de rede que não devem ter linhas de comunicação (interfaces) comuns entre si. Esse é um dos resultados de uma política de firewall muito complicada e impenetrável, até mesmo para seus administradores.
A segurança baseada em zonas permite que os administradores separem e protejam recursos de rede contra acesso não aprovado ou ataque. Uma zona de segurança de rede é um agrupamento lógico de interfaces com nomes intuitivos mapeados para regras de segurança, que permitem ou impedem a movimentação de dados. Com a segurança baseada em zonas, os administradores podem mais facilmente realizar padronização ao agrupar interfaces semelhantes, aplicar as mesmas políticas a elas e, em seguida, adicionar somente as exceções necessárias.
Com recursos como máquinas de interface com o cliente, servidores de inventário e data warehouses de back-office organizados em zonas separadas, os varejistas podem facilmente garantir que somente usuários autorizados e confiáveis tenham acesso. No plano gráfico da SonicWall, a segurança baseada em zonas, por exemplo, permitiria o avanço de dados do POS para o processamento de pagamento, mas impediria a movimentação desses dados para qualquer outro ponto.
Política de segurança adaptável
Assim que surge uma nova ameaça de rede, os administradores precisam atualizar as assinaturas de prevenção contra intrusão que os firewalls utilizam para reconhecer ameaças. Uma vez que muitos firewalls sofrem uma queda de desempenho à medida que mais e mais assinaturas são adicionadas, os administradores tendem a primeiro verificar manualmente as atualizações e depois instalar apenas aquelas que são mais críticas. Esse processo enfadonho causa lacunas entre o momento em que os administradores recebem a atualização, o momento em que eles a analisam e o momento em eles que a aplicam.
O plano gráfico da SonicWall inclui uma política de segurança adaptável na qual os administradores definem a própria política de proteção alta/ média/baixa contra intrusões. O firewall automaticamente descarrega atualizações, identifica novas assinaturas e, em seguida, com base na política de proteção da organização contra ameaças, imediatamente aplica as assinaturas no modo de prevenção ou apenas no modo de detecção.
Essa resposta adaptável às ameaças emergentes significa que os varejistas podem eliminar a necessidade de análise manual e evitar a lacuna de riscos resultante do atraso na aplicação da proteção.
Inteligência unificada interameaças
A medida mais efetiva de proteção contra ataques multivetores é agrupar a inteligência sobre diferentes categorias de ameaças e atualizar firewalls com assinaturas unificadas. O plano gráfico da SonicWall centraliza essa inteligência interameaças no antivírus de gateway (GAV) baseado em cloud computing.
O GAV coleta amostras de dados (spam e feeds de botnet, phishing e envios de filtragem de conteúdo, honeyspot etc.) e as analisa na nuvem. Se o GAV identificar uma possível ameaça, criará uma assinatura e a disponibilizará para descarregamento automático aos firewalls de próxima geração (NGFWs) de todo o mundo. O agrupamento da inteligência sobre filtragem de conteúdo, antivírus, sistemas de prevenção de intrusão (IPS) e detecção de spam oferece um tempo de resposta menor e maior poder computacional do que qualquer organização única poderia atingir por conta própria.
O maior benefício para varejistas é a proteção simultânea contra um amplo array de vetores de ataque, explorações, vulnerabilidades e malware. Com a sobrecarga da avaliação de ameaças transferida para a nuvem, os administradores podem habilitar a proteção completa em firewalls de próxima geração, sem sacrificar o desempenho.
Identificação de ameaças multivetores
Para bloquear ameaças e invasões, primeiro o firewall deve reconhecê-las. O plano gráfico da SonicWall inclui tecnologias em diversas camadas:
- Inspeção de pacotes byte por byte: um mecanismo de Reassembly-Free Deep Packet Inspection (RFDPI) inspeciona cada byte de cada pacote para bloquear ameaças contidas em arquivos, anexos e arquivos compactados e transformá-los conforme necessário para a normalização da análise de tráfego. A verificação de todo tráfego, independentemente de porta ou protocolo, é a melhor forma de proteger a rede contra ataques internos e externos.
- Inspeção de tráfego criptografado: criminosos virtuais cada vez mais usam o protocolo Secure Socket Layer (SSL) para criptografar seus ataques e escapar da detecção. Ao ativar a funcionalidade de inspeção e a descriptografia de SSL do mecanismo RFDPI, os varejistas podem inspecionar tráfego SSL criptografado, incluindo o HTTPS e o FTPS, independentemente da porta utilizada.
- Investigação e prevenção automatizadas de ameaças: malwares vivem e crescem em família, então a prevenção de ameaças inclui a previsão de como elas se desenvolverão. O mecanismo RFDPI usa fragmentos de código específicos que são comuns a famílias de malwares a fim de identificar código mal-intencionado em novas mutações.
- Verificação de e-mail: a segurança de e-mail bloqueia malwares que tentam entrar em ataques de spam e phishing via e-mail. O mecanismo verifica a reputação do endereço IP de remetentes de e-mails recebidos e analisa conteúdo, estrutura, links, imagens e anexos da mensagem, visando a uma segurança mais profunda. As forças de trabalho do varejo conduzem a gama de sofisticação técnica, e a segurança de e-mail ajuda a evitar que usuários desprevenidos inadvertidamente abram malwares.
- IPS com medidas contra evasão: criminosos virtuais frequentemente tentam burlar IPS disfarçando seus ataques como se fossem dados benignos. Para combater isso, o firewall deve normalizar dados e decodificar quaisquer ameaças antes que os dados sejam entregues ao IPS. A instalação de IPS com medidas contra evasão no nível do repositório reduz o risco de vulnerabilidades em aplicativos, clientes e servidores.
Com esse plano gráfico, os administradores de TI das empresas varejistas podem defender suas redes contra malware, spyware, vírus, violações, aplicativos invasores, spam e ataques de phishing, utilizando uma estratégia em diversas camadas.
Conclusão
Por natureza, as redes varejistas contêm muitas peças móveis: rede corporativa, regiões, repositórios, máquinas de ponto de vendas (POS), fornecedores, prestadores de serviços, clientes, Web e dispositivos móveis. Ao mesmo tempo em que protege o perímetro, a equipe de TI também precisa se concentrar na detecção de anomalias e invasões dentro da rede.
Invasores obtêm êxito não com uma única entrada ou exploração, mas por meio de várias entradas e em vários níveis, via sistemas interconectados. Em uma era de ataques multivetores e avançadas ameaças persistentes, o plano gráfico em várias camadas da SonicWall para combater violações de segurança, implementado em sua linha de firewalls de próxima geração SonicWall, é projetado para auxiliar na vitória do varejo, desacelerando o progresso de um ataque o suficiente para identificá-lo e interrompê-lo antes que ele cause um desastre.
Para maiores informações, entre em contato conosco!