Pandemia, ransomware, Next-Generation Firewall, compliance? O que está mais em alta em 2022 para nossos clientes, que deve continuar para o ano que vem?
O Apagão no RH
Os anos de 2020 e 2021 foram um dos mais atípicos das últimas décadas. Quiçá vencendo o caos político e de superinflação da década de 80. Mas falando dos anos 2020 e 2021, um dos pontos mais óbvios de mudança não foi na tecnologia, mas a pandemia que deu no RH. De duas formas, o RH tinha o desafio de trazer o profissional certo para dentro da empresa e depois o de manter esse profissional na empresa por mais de 2 anos. E profissionais certos, podem ser aqueles com muitas certificações e pouca experiência, ou muita experiência e pouca certificação. O fato é que os dois tipos faltam no mercado e o boom dos salários aconteceu. Portanto, se sua empresa tem profissional de segurança no quadro de funcionários, ou ela é uma grande empresa com muitos incentivos, ou é uma empresa de TI e Segurança, ou sua empresa tem uma bomba-relógio nas mãos.
Primeiro Serviço Vega de Sucesso: Vega Escritório de Segurança
Daí que contratar produtos como serviços é a melhor opção para a maioria dos nossos clientes. Preferem-se produtos como serviços, pois bodyshop de segurança, hoje, tem as mesmas vulnerabilidades de um bom profissional certificado dentro de uma empresa pequena ou média. E o nosso carro chefe nesse sentido é o VES (Vega Escritório de Segurança). É um produto misto de consultoria e serviços mensais, que entregam logo na primeira fase, gestão do risco e do compliance (GRC), enquanto o VOC (Vega Operation Center) fornece a operação das soluções de segurança por todo ciclo de vida do contrato. Essas duas atividades (GRC+VOC) se complementam e permitem que o profissional que se estimula com GRC não se perca em atividades do dia-a-dia do VOC, e vice-versa. Ao mesmo tempo, o cliente recebe o melhor de cada tipo de profissional, nas atividades que são especializados.
A Mão Dura do Compliance
Mas em 2022, o que chegou com força para pequenas e médias empresas são as exigências de compliance ou adequação a requerimentos de Cybersecurity. E a LGPD não é a única culpada. Bacen aqui e GDPR na Europa também são motivadores.
Geralmente, essas auditorias partem de empresas maiores para empresas menores, mais ágeis e com menores custos fixos. Quem é da área já leu “baixos investimentos em segurança”. Você não está completamente enganado.
Temos visto diferentes tipos de solicitações: 2 ou 3 folhas escritas por extenso, com um conjunto mínimo de perguntas que precisam ser respondidas e assinadas pelos Representantes Legais da empresa. Mas a maioria se trata de um conjunto de 7 a 10 domínios de conhecimento e centenas de controles, muitas vezes em inglês.
E como o Processo Funciona?
Essas auditorias maiores seguem um padrão comum: O cliente preenche com os dados que possui, honestamente, mas não especializada, depois recebe o relatório com as não conformidades identificadas, com mais 1, 2 ou 3 colunas para serem preenchidas com o plano de ação para correção, uma data/prazo alvo e responsável pela execução das atividades. Mas já houve casos em que, para cada controle NOK, toda a identificação de 5W2H precisou ser descrita.
Enxurrada de Políticas
Numa empresa pequena ou média, políticas costumam ser a palavra do dono. Ela faz sentido na maior parte das vezes e todos seguem sem muitos questionamentos. Todavia, não é muito difícil convencer o dono e o corpo diretivo de empresas pequenas e médias da necessidade da política de segurança da informação. Todavia…
Uma característica comum a 80% de todas as auditorias é a quantidade de documentação de políticas e processos que se é exigido. Já tivemos casos onde a quantidade de políticas e procedimentos a serem desenvolvidos era igual ou maior do que a equipe de TI. Procedimentar um processo, incluindo segurança, sem travar o processo em um ambiente tão enxuto não é uma tarefa para consultores jovens. Ficamos felizes por sermos um grande ponto de apoio para nossos clientes nesse sentido. Inclusive vale o seguinte comentário para polemizar: porque nós brasileiros empregamos o termo política, quando o mais correto seria norma/guia de conduta?
O Custo do Compliance
Nunca vi um custo de compliance tão alto. Políticas, procedimentos e medidas técnicas são itens comuns em análises de gap há anos. Mas agora está sendo solicitado criptografia com gestão avançada de chaves, SIEM, MFA, plano de investigação forense, Disaster Recovery Plan, Incidente Response Plan, Pentestes e outros controles exigidos apenas em grandes estabelecimentos comerciais via PCI-DSS.
Em pelo menos dois casos ficou claro para o cliente que o investimento no compliance tornaria o modelo de negócios inviável.
A decisão não era sobre qual solução usar. Open Source ou não. A decisão era, ou se cancela o contrato, ou se propõe uma renegociação, com prazos bem mais delgados nas exigências de compliance e um ajuste na margem do serviço.
Um projeto de adequação de compliance normalmente dura de 6 meses a 1 ano em uma pequena ou média empresa, se os recursos mínimos forem alocados desde o início. A segurança não pode sair mais caro do que o negócio.
Novamente: Vega Escritório de Segurança
Novamente, para pequenas em médias empresas, nosso VES trás melhores possibilidades de se atingir o objetivo do compliance.
Primeiro pelo preenchimento da planilha de compliance e pela elaboração do plano de ação e investimento em segurança. Damos garantia de que, se um controle não for aceito pelo compliance do auditor, reescreveremos o controle até que ele atinja o objetivo esperado.
Segundo pelo plano e oferta de consultoria, que inclui a documentação de políticas e procedimentos, due diligence, análises de risco e outros requisitos normalmente atendidos com material intelectual e adaptado a realidade da empresa do nosso cliente. Controles críticos são identificados e um conjunto de consultoria, VOC e oferta de produtos como serviço são apresentados para a certificação do que é mais importante para a segurança e auditoria. E finalmente, itens de menor criticidade e serviços do dia-a-dia obrigatórios, mas menos importantes são apresentados juntos e tornados mensais.
Next Generation Firewall como Serviço Gerenciado.
A venda de firewall como serviço não é nova no mercado. Inclusive grandes players possuem essas ofertas em seus portfólios de produtos. Mas o que torna nossa oferta diferenciada da concorrência? Justamente o serviço.
As grandes, quando oferecem seus serviços, impõe diversas limitações no tipo do chamado, na quantidade de regras, ou no setup inicial. Limitações que no mercado PMES, mais dinâmico e vivo, acabam estrangulando o cliente.
Temos 3 níveis de suporte, não possuímos limitação de chamados de incidentes de segurança, fazemos a implementação personalizada e trabalhamos com um dos firewalls que prometem ser o grande diferencial para 2022/2023: Hillstone Networks.
Tecnologia Sandbox no Firewall Vira Padrão contra Ransomware
Que o conceito de defense-in-depth é ainda um dos melhores já inventados, não se tem dúvidas. Que as ameaças de ransomware usam variantes desconhecidas de vírus e comunicação C&C (Command & Control) com o servidor de comandos e que essa comunicação é essencial para o sucesso da killchain da evasão e sequestro de dados, ninguém mais tem dúvidas.
O que ainda era dúvida era se os recursos de cloud sandbox, IP Reputation e C&C Prevention, com os recursos de antivírus e URL filtering deveriam estar presentes em todas as ofertas de firewall, independente da topologia da rede ou do tamanho do cliente. E a resposta é sim, graças ao VSS.
VSS – Vega Security as a Service
Exceto talvez para microempresas, empresas pequenas e médias não podem mais prescindir dos recursos mais avançados de segurança de um verdadeiro firewall de próxima geração. Principalmente porque hoje ele está disponível com uma qualidade extraordinária, com baixíssimo impacto na performance do firewall e diferença financeira mínima, na nossa oferta de VSS (Vega Security as a Service) de Hillstone NGFW (Next Generation Firewall), NIPS (Network Intrusion Prevention System) e WAF (Web Application Firewall). Temos o VSS para as linhas virtuais de firewall CloudEdge e Microsegmentação CloudHive.
[Renovado] Antimalware como Serviço Gerenciado
Nem as novas tecnologias antimalware, nem a gestão desses serviços são novidade no mercado. Mas com os novos recursos de EDR (EndPoint Detection and Response) e Sandbox, em empresas pequenas e médias, a gestão desse tipo oferta para o mercado está completamente renovado.
Os IoC’s (Indicators of Compromise), base de qualquer centro de comando de um EDR completo, exigem investigação constante e com mão de obra altamente especializada. Não é fácil interpretar e decidir em cima de IoC, se o incidente é um falso positivo, um positivo que falhou execução, ou se é um ataque ativo e em andamento. Mais difícil ainda é fazer isso todos os dias, disputando tempo e atenção da equipe de TI com outros chamados urgentes ou igualmente importantes. E não foi mencionada a necessidade de conhecimento para reação de incidentes com ransomware.
Por isso observa-se um aumento no número de clientes decidindo por terceirizar a gestão do produto de antimalware para nossa equipe do VOC (Vega Operation Center).
Funções de Patch Management e Backup
Que as soluções de proteção e segurança de endpoints estão evoluindo em termos de proteção e agregação de funções e redução do custo de TCO (Total Cost of Ownership) não há mais dúvidas. Todavia, alguns conjuntos de recursos que estão sendo oferecidos com os antivírus não são de grande valia para a segurança do ambiente, quando sequer funcionam.
Bons exemplos de agregação de funções são o Patch Management e o Backup. Começando pelo backup, não é segredo para ninguém que o melhor contra-ataque contra ransomware é um backup atual e íntegro. Fato! Mas não adianta apenas ter backup. A solução também deve ser capaz de varrer os backups existentes em busca de malwares e dados forenses para investigação.
E o Patch Management é um dos campeões de pedidos de auditoria e compliance. Não basta apenas instalar patches Microsoft no ambiente. Servidores Linux também não podem ficar descobertos. Soluções integradas no antimalware tem que gerenciar os patches de produtos Microsoft, não-Microsoft e Linux. Porque Linux também precisa de antivírus. Além disso, o administrador deve poder instalar os patches primeiro em ambientes de testes, antes de aprová-los para produção. E, obviamente, deve conseguir primeiro instalar os patches de maior criticidade, para proteção do ambiente em tempo mais ágil.
Serviço Vega: VSS de Antimalware
Nossa oferta de antimalware como serviço gerenciado possui esses recursos e muitos outros, como varreduras de vulnerabilidades, inventário de hardware e software e controle de dispositivos. Nossa oferta com Acronis tem atendido nossos mais exigentes clientes nesses recursos e em muitos outros.
MDM: Antigo Aliado, Novos Motivos
Assim como Next Generation Antivírus não é novo, o MDM (Mobile Device Management) também não é. Mas com o WhatsApp cada vez mais inserido nos processos de negócio da empresa, muitas vezes com os funcionários usando seus próprios aparelhos, a necessidade de proteção nessa plataforma alcançou um novo nível.
Basicamente, nossos clientes estão forçando a instalação do WhatsApp em um container criptografado, forçando a senha, não permitindo imagens customizadas e umas outras configurações de boas práticas aplicáveis para uma estrutura de mobile nos negócios, BYOD ou não.
Mas não basta uma solução. É preciso a gestão da ferramenta e também a elaboração de uma política (ou norma) de uso aceitável da tecnologia móvel. Para garantir os direitos da empresa de proteger os dados dos seus clientes, sem interferir nos direitos de privacidade dos seus funcionários.
Serviço Vega: VSS de MDM online
E nosso fornecedor padrão para gestão MDM é a ManageEngine. Fácil de ser integrado e com excelentes recursos, entrega o básico bem feito para o que a maioria das empresas pequenas e médias precisam. Além de recursos avançados nas versões superiores. Nossos clientes estão aprovando.
Gestão Segura de Servidores
Em nosso VOC, um dos nossos diferenciais é que somos capazes de fazer a administração de servidores dos clientes, dentro de suas estruturas, na nossa cloud privada (Vega Cloud), ou na cloud pública do cliente. E a gestão segura de servidores entrega segurança em um nível totalmente novo de gestão.
Fortalecimento do SO
Os sistemas operacionais não vêm instalados com as configurações mais seguras habilitadas. Na grande maioria dos casos, essas configurações precisam ser habilitadas manualmente, testadas em ambiente de homologação e depois aplicadas em produção. O fortalecimento das configurações de segurança dos sistemas operacionais é realizado usando baselines de segurança amplamente conhecidos na indústria e que considera a funcionalidade do servidor e o ambiente em que se encontra.
Varredura de Vulnerabilidades
A varredura de vulnerabilidades é um processo periódico, mensal, onde as vulnerabilidades do servidor são identificadas e consolidadas em um relatório contendo quais vulnerabilidades devem ser corrigidas primeiro.
Patch Management
A gestão de patches é item fundamental de um modelo de gestão segura de sistema operacionais. Todos os patches precisam ser listados, testados e instalados de acordo com sua criticidade nos ambientes de testes, homologação e produção.
Monitoramento e Resposta a Incidentes
A monitoração comum de servidores inclui traps e comunities SNMP. O monitoramento seguro de servidores inclui o monitoramento de eventos de segurança no ambiente, podendo ser, dependendo da complexidade do ambiente, uma ferramenta específica ou até mesmo um SIEM.
Serviço Vega: VSS Servidores Seguros
Nossos serviços de gestão de segurança de servidores Windows e Linux incluem processos e ferramentas voltadas para a proteção do ambiente do cliente, conforme o seu nível de exigência de compliance e criticidade operacional e de negócio. Nossa equipe de profissionais treinados e altamente experientes reduzem a carga do dia a dia de sua equipe, implementam segregação de função e interesses e entregam altos níveis de qualidade de serviço.
Autor: Leandro Baida de Oliveira
Conheça mais sobre nossas soluções de segurança cibernética, consultoria e oferta de segurança como serviço em nossa página da VEGA SAFE.
Descubra o que nosso SNOC e MSP pode fazer para sua empresa, em caso de resposta a incidentes, administração de equipamentos e monitoração em tempo real.
