Adaptando a segurança para trabalhar em qualquer lugar

Artigo escrito por Richard Meeus
14 de abril de 2021 9h00

“Working from home 2021” foi o título da minha palestra no The Cyber Security Summit em janeiro. Depois de uma mudança massiva de espaços de trabalho comuns em resposta à pandemia global, não há mais trabalho remoto ou em casa, há apenas trabalho. O axioma, “trabalhar é o que você faz, não para onde você vai” nunca foi tão verdadeiro.

A possibilidade de a força de trabalho ser independente da localização agora é realidade. Nunca voltaremos a um ambiente em que uma preponderância de pessoas labutam em prédios de escritórios cinco dias por semana, das nove às cinco, nem continuaremos com as indústrias quase caseiras de 2020 com todos em casa tentando ser produtivos. Para cada executivo que busca cortar o orçamento imobiliário enquanto desfruta de menos deslocamento e mais tempo com a família, há vários funcionários olhando para laptops na beira da cama compartilhando Wi-Fi irregular com colegas de apartamento que mal podem esperar para voltar ao escritório. Como resultado, acabaremos com um ambiente de trabalho híbrido avançando, o que é uma coisa boa.

A necessidade imediata de apoiar um aumento no trabalho remoto, desencadeado pelo COVID-19, criou um enorme dilema para as equipes técnicas em todo o mundo. O acesso à rede privada virtual (VPN) foi planejado para 5% da força de trabalho, não 100%, e a segurança foi projetada para todos os que estivessem no escritório. As organizações não estavam preparadas para essa inversão repentina. Como estrategista de segurança aqui na Akamai, tenho visto organizações responderem em três fases aos desafios de habilitar e proteger uma força de trabalho remota.

Andamento remoto por fases

A primeira fase foi o pânico: retirar 5.000 pessoas do escritório e fazer com que trabalhassem de casa, no fim de semana! Nesta fase, qualquer método de acesso remoto existente anteriormente, geralmente VPN, foi dimensionado rapidamente por pura necessidade.

A próxima fase foi a constatação de que a rede segura corrigida agora parecia uma peneira, com lacunas que poderiam ser exploradas como pontos de entrada para ameaças cibernéticas. O acesso remoto, que foi originalmente projetado para verificações ocasionais de e-mail ou reinicializações do servidor de administração do sistema, agora estava sendo usado por todos, e esses usuários não têm a mesma orientação de segurança que a equipe de TI. Proteger todas essas conexões remotas tornou-se uma prioridade, adicionando melhor proteção de endpoint, defesas mais distribuídas de negação de serviço (DDoS) para gateways VPN (que de repente se tornou o eixo de toda a empresa) e atualizando ferramentas anti-phishing.

A fase final foi o reconhecimento de que deve haver uma maneira mais inteligente. Uma organização inteira usando VPN para trabalhar não era sustentável do ponto de vista do desempenho ou da segurança. Muitas iniciativas de transformação de TI já estavam em andamento ou aceleradas em 2020, mas agora enfrentavam o conceito de conectar dados e usuários de qualquer lugar. Eles ainda estavam, no entanto, bloqueados para enviar tráfego por túneis virtuais, locais fixos e gargalos. Conforme o mundo reabre, um ambiente de trabalho híbrido se tornará o padrão, mas como as organizações podem permitir flexibilidade sem comprometer a segurança?

Uma maneira mais inteligente de trabalhar

A nova abordagem deve melhorar a experiência do usuário e a segurança ao mesmo tempo. Ele deve oferecer a capacidade de trabalhar com eficácia, sem fazer malabarismos com várias conexões VPN à medida que os aplicativos migram dos data centers para a nuvem. Ele também deve eliminar a latência adicional do tráfego – roteando-o através de um sistema de segurança central apenas para voltar para a nuvem novamente, em vez de ir diretamente para a nuvem.

Os funcionários estão acessando a rede corporativa junto com vários dispositivos que podem ter níveis questionáveis de segurança, levando a uma maior chance de exploração. Além disso, portas expostas de protocolo do ‘Remote Desktop Protocol’ (RDP) e portais VPN apresentam mais riscos. Na verdade, os ataques cibernéticos RDP aumentaram 768% em 2020. Muitas violações resultam de endpoints ou credenciais comprometidos e, em seguida, os invasores se movem lateralmente pela rede, encontrando servidores sem patch, explorando sistemas e elevando privilégios de acesso até alcançar dados valiosos para exfiltração. Esse risco existia em um ambiente de escritório tradicional, mas é maior agora que as organizações abrem suas redes.

A solução mais inteligente é clara: em vez de conectar máquinas diretamente a redes, devemos nos concentrar em conectar usuários a aplicativos. Aproveitando a Internet como um canal, podemos reduzir drasticamente o risco e melhorar o desempenho.

Conectando usuários a aplicativos

Em um cenário tradicional, uma vez que os usuários se conectam por VPN, eles têm essencialmente o mesmo nível de acesso que os do escritório, exceto a rede em que os usuários remotos estão realmente – aquela com terminais potencialmente inseguros ou gerenciamento de senha deficiente – pode ser inseguro. Por exemplo, um engenheiro em uma VPN pode ser capaz de navegar para servidores de contabilidade, mesmo se esse usuário não tiver as credenciais de login – e se a conexão for comprometida, um hacker agora tem acesso em nível de rede para identificar alvos de ataque, como endereço IP, portas abertas ou vulnerabilidades não resolvidas.

Zero Trust é um modelo de segurança de rede baseado em verificação de identidade estrita que foi aplicada a muitas ferramentas diferentes, mas também é uma solução perfeita para acesso remoto. Primeiro, a autenticação ocorre antes que o usuário esteja realmente conectado ao aplicativo. A autenticação multifator (MFA) é um requisito para a maioria das organizações, mas ainda pode ser suscetível a ataques man-in-the-middle – quando um invasor intercepta ou modifica o tráfego entre duas partes – como o que aconteceu no Twitter. O uso de um gerador de token FIDO2 vinculado ao laptop do usuário fornece segurança adicional. Sem a autenticação adequada, a solicitação é descartada e não há conectividade entre o cliente e o aplicativo.

Em seguida, a autorização permite o acesso com privilégios mínimos, um princípio adotado pela Zero Trust que reduz ainda mais o risco ao fornecer aos usuários apenas o acesso necessário para realizar seus trabalhos. Exigir autorização para um aplicativo antes de se conectar a ele reduz a superfície de ataque, às vezes consideravelmente devido ao número de aplicativos em uma organização.

Finalmente, e talvez o mais significativo, não precisamos realmente conectar o dispositivo ao servidor em que o aplicativo está sendo executado. Em vez disso, como o Zero Trust Network Access entrega aplicativos aos usuários por meio de um serviço baseado em nuvem; fazemos proxy da conexão e permitimos que o dispositivo fale diretamente com o aplicativo sem acesso à rede física. Então, se o dispositivo do usuário for comprometido, tudo o que será exposto será o endereço IP do proxy em nuvem, não o servidor. Essa abordagem permite mais flexibilidade do dispositivo, como quando um funcionário que geralmente trabalha em um desktop no escritório deseja usar um laptop pessoal em casa.

Acesso seguro a aplicativos baseados em nuvem no setor público

O trabalho remoto seguro é crítico em todos os setores, especialmente aqueles na linha de frente. Parte do Serviço Nacional de Saúde (NHS) do Reino Unido, o NHS Forth Valley oferece assistência médica a uma das 14 regiões do NHS Escócia. No início da crise do COVID-19, muitos membros da equipe precisavam trabalhar remotamente e a infraestrutura VPN existente não era capaz de escalar e fornecer acesso a todos os aplicativos necessários.

Para habilitar rapidamente o acesso seguro ao seu estado de aplicação durante COVID-19, NHS Forth Valley trabalhou com nossa equipe da Akamai para implantar uma solução simples baseada em nuvem que pudesse usar MFA para garantir acesso seguro e permitir total controle e visibilidade sobre os usuários e formulários. Como resultado, o NHS Forth Valley eliminou seus desafios de VPN, criou uma experiência de usuário confiável e protegeu aplicativos confidenciais.

Abraçando o Trabalho em 2021 e Além

Aproveitando a nuvem, podemos definir melhor a borda da rede, garantindo que a autenticação, autorização e acesso não sejam restringidos por modelos legados e arquitetura de rede não mais relevantes para o trabalho de hoje e do futuro. Com a nuvem, os usuários podem acessar aplicativos que foram verificados, validados, protegidos e otimizados muito mais rapidamente do que apenas por VPN.

A antiga pilha de segurança local agora existe na nuvem, perto dos usuários, para que a experiência do usuário não seja prejudicada por latência desnecessária e ativos valiosos sejam protegidos de movimentos laterais com usuários acessando o aplicativo por meio de um proxy, não da rede. Quando os usuários não estão realmente conectados ao servidor em que o aplicativo está sendo executado, não há oportunidade para mais explorações.

Agora que a força de trabalho não depende mais da localização, não há melhor momento para usar a nuvem para permitir o futuro do trabalho. A Akamai pode ajudá-lo a criar um local de trabalho seguro e flexível com Enterprise Application Access, uma arquitetura de nuvem exclusiva que garante que usuários e dispositivos autorizados tenham acesso apenas aos aplicativos internos de que precisam, não em toda a rede. Aproveitando a Akamai Intelligent Edge Platform, as organizações podem permitir que os usuários façam seu trabalho com segurança, onde quer que estejam.

Sobre o autor

Richard Meeus é o Diretor de Estratégia e Tecnologia de Segurança da Akamai para a EMEA. Com mais de 20 anos de experiência, Richard é responsável por projetar e construir soluções seguras para algumas das organizações mais influentes do mundo. Começando como engenheiro de hardware, sua carreira progrediu junto com a indústria de tecnologia, passando do foco de hardware para software.

Richard é um especialista do setor em computação em nuvem, software empresarial e segurança de rede. Durante seu tempo na Akamai, Mirapoint e Prolexic, ele teve uma função estratégica em uma ampla gama de projetos, incluindo a implantação de soluções DDoS para organizações multinacionais para proteger a infraestrutura crítica e dados confidenciais. Ele é um membro credenciado do BCS e do CISSP, e considerado um líder de pensamento na indústria.

Fonte: https://blogs.akamai.com/2021/04/adapting-security-to-work-anywhere.html?utm_campaign=F-MC-52610&utm_source=LinkedIn&utm_medium=social_DS

Cookie	Duração	Descrição
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.