News

A estratégia militar aplicada às redes de negócio

O paradigma de defesa territorial passa por uma atualização que inclui o uso do CIAM para que o processo de negócios possa se iniciar num ponto além do firewall

Desde as primeiras gerações das redes corporativas, o vocabulário militar é empregado pelos técnicos de segurança como nomenclatura emprestada para descrever a sua própria atividade num enquadramento defense-in-depth (ou defesa em profundidade).

Numa olhada em retrospecto, faz sentido enxergar a infraestrutura como um bunker cercado por firewalls e entender os dados críticos e funcionalidades enquanto há uma riqueza a ser defendida; como se fossem o quarto da rainha ou joias da coroa.

Isso também facilita diagramar os elementos de combate – dispositivos, processos, pessoas – em cima de um tabuleiro gráfico no qual se podem visualizar os pontos vulneráveis e simular os movimentos do inimigo. 

A questão que, hoje em dia, deixa muito gestor de cabelo em pé é se ainda continua valendo esse paradigma da guerra tradicional. Principalmente se a gente levar em conta a realidade atual da nuvem múltipla, que traz uma série de complicadores tais como:

  1. A ideia de uma fortificação, como território demarcável, não faz mais tanto sentido assim, já que a execução dos processos pode se dar em múltiplos lugares simultâneos.
  2. A noção de território dividido em uma área segura e uma “zona externa desmilitarizada” (DMZ) já não se aplica facilmente em vários modelos mais recentes como as “BeyondCorps” ou “OpenBanks’.
  3. Com os data centers em código, as redes definidas por software (SDN), o processamento por Kubernetes e os vários níveis de abstração da infraestrutura, fica tudo muito volátil, muito difícil de desenhar.  
  4. Nesse desenho efêmero, o CISO tem um desafio e tanto para ajustar as coisas e para saber onde colocar as suas camadas de firewalls, os controle de endpoints, os IDS/IPS, os VPNs e WAFs, o gerenciamento de eventos (SIEM), a estrutura de IAM, os DLPs, os proxies e os sistemas críticos de IoT, entre outros.
  5. O modelo de proteção em camadas (por natureza, passivo e baseado em barreiras) tem uma defasagem alta diante do grande crescimento da shadow-IT e do avanço dos novos ataques persistentes e adaptativos, agora suportados por deep learning. 
  6. A chamada “zona desmilitarizada” se tornou um ambiente mais hostil, mais cobiçado e mais difícil de gerenciar, em função da profusão de APIs e da exposição ostensiva de identidades, dados e metadados de processos relacionados ao core-business, através das redes sociais.  

Mesmo considerando tudo isto, as consultorias globais (entre elas o Gartner e a Forrester) não rechaçaram de pronto o paradigma militar, nem apontaram a defense-in-depth como obsoleta na essência.

Fizeram, porém, algumas restrições. Ao invés de aceitar a noção de uma rede confiável (blindada) separada do mundo externo, trouxeram à tona a ideia de uma rede inconfiável em todos os seus elementos.

As tais consultorias apontam que a aplicação da inteligência artificial em todas as camadas de defesa consegue tornar a rede capaz de implementar uma segurança adaptativa e preventiva o suficiente para fazer frente à volatilidade da nuvem múltipla.

Registro, onboarding e autorização dinâmicos

Uma vez que os novos negócios precisam ter seus pontos de start para além do firewall corporativo, o gerenciamento de usuários deve anteceder as interfaces de aplicação para atingir o usuário antes mesmo que ele decida interagir com a rede. 

A passividade da defesa é substituída por um impulso proativo, projetando esta defesa para o lado de fora das muralhas. 

As estratégias proativas e adaptativas de gerenciamento de acesso e identidade precisam responder ao desafio da automação dos processos de prospecção, atração, registro, onboarding, credenciamento e autorização, abrangendo todo o ciclo de relacionamento com o consumidor ou usuário.

Tudo isto sendo submetido a uma camada de governança e auditoria, tendo acima os mandamentos de uma política “zero-trust” e de baixo atrito operacional.

Nos processos de negócio de massa (em que a jornada do consumidor é mais estratégica), a atualização da segurança militar precisa trocar os incômodos e incertos check-points, ou as interrogações declaratórias e protelatórias do acesso, por componentes centralizados de CIAM (Customer Identity and Access Management). E aí entra a integração desses componentes com o back-end das empresas (APIs, gateways, comunicação, tokenização, estrutura de dados e diretórios etc).

Só com este nível de tecnologia, em um novo desenho de arquitetura, é possível expandir para os espaços desmilitarizados a inteligência de credenciamento e autorização capazes de refletir as estratégias de marketing de atração, condução, retenção e engajamento do consumidor. 

E, ao mesmo tempo, criar parâmetros automáticos de log-on único (independentes de senhas memorizadas) e de gestão das permissões de uso de dados do cliente (olha aí a LGPD e a GDPR) ao longo das inúmeras aplicações e funções interativas da rede.   

Para resumir, a defesa em profundidade continua valendo, mas uma projeção das forças de defesa precisa ir além do perímetro da rede para que, assim, o processo de negócio possa se startar já fora dos limites do firewall, abrangendo todas as personas das empresas: clientes, parceiros, terceiros, empregados e sistemas como serviço.

Texto: André Facciolli, diretor da Netbr

Eder Oelinton

Jornalista, amante de tecnologia e curioso por natureza. Busco informações todos os dias para publicar para os leitores evoluírem cada dia mais. Além de muitas postagens sobre varias editorias!

Artigos relacionados

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Botão Voltar ao topo