Entrevista Cisco: As redes wireless são mais seguras que as wired

… Afirma Rui Fernandes da Cisco Portugal, orador no Create Tech 2013, evento organizado pelo Pplware e IPG centrado no tema “A internet espia-nos” e que trouxe à Guarda conceituados oradores da área de segurança de redes, wireless e cloud.

Depois da sua apresentação intitulada “Os desafios de segurança nas redes empresariais“, tivemos a oportunidade de conversar um pouco com o responsável pelo negócio das Borderless Networks na Cisco, questionando acerca da visão e preocupações da empresa para o futuro da web. Vejam ainda como é que as redes wireless são de facto mais seguras que as redes de cabo.

P: Quais as principais preocupações da Cisco em relação à segurança, concretamente, questões de privacidade?

C: A minha apresentação focou as principais preocupações com quem normalmente interagimos, isto é, os CIOs, os Directores de Segurança, os Security Officers, etc. Por um lado, as ameaças são cada vez mais rebuscadas, tendo as empresas de se precaver. Os mecanismos tradicionais já não dão resposta (firewalls, IPS/IDS, etc) e são necessários mecanismos cada vez mais dinâmicos, que permitam actuar de acordo com as evoluções do próprio negócio.

Poderia simplesmente afirmar “não deixo entrar novos dispositivos, nem smartphones nem os tablets“, sendo suficientes as ferramentas antigas, mas nesse caso estaria a limitar a evolução do negócio e a produtividade dos trabalhadores.

Outro pilar no qual estamos a trabalhar é a fragmentação da segurança; há muitos players, muitas soluções e estas não falam umas com as outras. A nossa estratégia é endereçar a questão da segmentação. Por uma lado, tornar os nossos produtos mais uniformes, mas também criar mecanismos que permitam falar com outras áreas que não suportamos. Por exemplo, temos as áreas de controlo de acessos, contextualização de utilizadores, etc., mas não temos a parte de logging (registo) e alarmística, e nem as vamos ter.

Acontece que as plataformas alarmísticas (SIEM) recebem mensagens e o endereço IP, mas não sabem quem é o utilizador… Nesses casos, interagimos mutuamente, cedendo a informação do utilizador à plataforma alarmística, informação de controlo de utilizador. Se realmente o dispositivo está a fazer algo que não devia, a plataforma alarmística dá ordem ao nosso equipamento para fazer a contenção e remediação do problema. É esse o exemplo clássico da forma como estamos a tentar colocar todas as plataformas a comunicar entre si.

P: Em relação às soluções de segurança para e-mail, poderia falar-nos um pouco do IronPort?

C: Na área de Email Security, adquirimos de facto a IronPort há 5 anos atrás, empresa líder a garantir que recebemos email relevante para o negócio e que filtra o spam, etc. Continuamos a ser líderes no mercado e reconhecidos pela Gartner. Podemos olhar a solução em 3 pontos diferentes:

1. O primeiro analisa o e-mail do ponto de vista do remetente. Temos uma entidade que é o SMTP, o servidor de onde sai o e-mail, pelo que a nossa solução filtra os IPs de servidores SMTP maliciosos. Chegamos a filtrar 95 a 99% dos e-mails, tendo ainda em conta que passam por nós 35% dos e-mails de todo o mundo.
2. Se esta fase passar com sucesso, passa-se à segunda fase, a inspecção do conteúdo do e-mail. Trabalhamos com duas ferramentas antivírus, o McAfee e o Sophos, sendo que os dois podem ser ou não executados em simultâneo. É feito um varrimento em paralelo com as duas ferramentas, de forma bastante eficiente.
3. O terceiro ponto é completamente diferenciador, a solução de Web Security que corre a partir da cloud inspecciona as ligações (URLs) presentes no conteúdo do e-mail e identifica links que encaminhem a sites com má reputação, alertando o utilizador.

P: Quais sao as estratégias da Cisco para o chamado Bring Your Own Device (BYOD)?

C: Temos um elemento principal, que faz a identificação do contexto do utilizador: quem é o utilizador, qual é o dispositivo, a que horas se está a ligar, onde se está a ligar e qual é a rede de acesso – isto confere a contextualização do utilizador, o principal ponto para o BYOD.

Queremos também neste ambiente garantir que os utilizadores externos à nossa rede acedam aos dispositivos da rede interna e, para isso, temos mecanismos de acesso remoto.

Finalmente garantimos que os colaboradores de uma empresa, quando acedem à web exterior à rede da empresa, não são infectados. Para isto utiliza-se a solução Cloud Web Security: quando navego no meu iPad, o tráfego passa primeiro pela “máquina de lavar”, o chamado AnyConnect, de forma completamente transparente para o utilizador.

P: De que forma a Internet of Things/Internet of Everything poderá ajudar os utilizadores? Como é que a Cisco prevê o futuro onde tudo estará ligado? Quais as preocupações deste novo modelo de interacção?

C: Hoje, dizemos que ainda 99% das coisas ainda não estão ligadas… o potencial é brutal. Hoje ligamos pessoas, dispositivos, em média temos na Cisco 2.6 dispositivos por pessoa e a tendência é passar para os 3, 3.5 e por aí fora. Eu não sou exemplo, mas em casa devo ter mais de 30 IPs, entre equipamentos de rede, tablets, computadores, Raspberry Pies a fazer de servidor, câmaras de segurança IP… ligar uma lâmpada é um IP.

P: Se pensarmos na domótica, o potencial é enorme.

C: Exactamente. O que é que para nós é fundamental? Duas coisas: que as redes de acesso sejam criadas hoje a pensar nessas ligações. Isso implica redes por cabo (wired) e redes sem fios (wireless). A maior partes dos dispositivos não possibilitam actualmente a ligação física, pelo que as ligações wireless são muito importantes para a IoT (Internet of Things). Somos líderes de mercado neste campo, cerca de 55 a 56%, mas estamos a fazer uma grande aposta nas tecnologias sem fios.

Em relação a desafios no futuro, a segurança é claramente a principal preocupação. Na Cisco, em vez de Internet of Things (IoT), chamamos de Internet of Everything (IoE), pois IoT são coisas com coisas e IoE são coisas também com pessoas. Nós vamos interagir também com as coisas, vamos interagir por exemplo com o nosso carro.

P: Agora temos um novo conceito, o Machine to Machine (M2M).

C: O IoT vem precisamente do M2M. Achamos que os carros vão ser pontos importantíssimos para interligar as coisas. Porquê? Um carro está em movimento, e com vários carros em movimento estamos a desenvolver protocolos para criar uma mesh, uma rede, e interligá-los.

P: …Partilhado por exemplo informações de trânsito.

C: Claro, e até quando vou a passar por um carro, em vez de ter apenas uma ligação 3G/4G, posso ter acesso à ligação da rede formada pelos carros, mesmo não estando dentro de um carro. Ou seja, a coisa “carro” é parte integrante da rede. Todas as coisas caminham neste sentido… há muita coisa a ligar, há protocolos a desenvolver, a questão da segurança, e nem o IPv6 vai escalar para tantos dispositivos! O IPv6 não nos traz nada de novo, garante apenas que nos continuamos a ligar, mas é preciso usar outros mecanismo como NATs para garantir que há espaço, o que por vezes não é o ideal.

P: Porque afirma que as redes wireless são mais seguras que as redes wired?

C: São mais seguras pois nasceram de raiz com as preocupações de autenticação e encriptação, ao contrário das redes wired. Nas redes por cabo, temos um cabo e pensamos que estamos seguros, mas facilmente eu chego a uma rede e desligo uma impressora e ligo um telefone, um PC e consigo obter a informação, passwords de toda a gente ligada. As redes wireless são um meio partilhado, mas toda a rede acaba por ser mais segura, graças a mecanismos de autenticação e encriptação implementados de raiz, com protocolos como o WPA.

P: Existem empresas que continuam a confiar mais em redes wired do que em redes wireless, alegando a maior segurança. Porquê?

C: As empresas têm uma primeira barreira de segurança, tipicamente um cartão, um crachá ou autenticação biométrica. Assumindo que se consegue ultrapassar essa barreira, é possível retirar um cabo de rede, ligar um computador e, se não existir qualquer mecanismo de encriptação dos dados, todos os dados ficam visíveis. É claro que existem formas de proteger esses dados, mas a grande maioria das empresas não o faz. Quando digo que o wireless é mais seguro, é verdade na maioria das empresas, pois em redes wired não implementam mecanismos de segurança, enquanto no wireless tudo já existe por omissão.

Nas redes wired há a possibilidade de implementar o NAC (Network Access Control), em que fornecemos cerca de 9 mecanismos de verificação entre os quais de autenticação, percebem qual é a máquina, o sistema operativo, qual o MAC Address, entre muitos outros. Estes mecanismos têm normalmente um custo adicional e um esforço de implementação nas redes wired, pelo que simplesmente não há este cuidado. Já as redes wireless, têm o NAC por omissão.

P: As empresas portuguesas estão cientes dos perigos não só fora da sua rede, mas também dentro da sua própria rede?

C: As empresas estão cientes, mas não estão despertas para como remediar o perigo. As pessoas já percebem que a segurança ultrapassa o perímetro da firewall, mas não tomam acções para fazer o que quer que seja. Ou porque não sabem ou porque nunca lhes aconteceu… “casa roubada, trancas na porta”. No clima económico de Portugal, a segurança é sempre descurada, sendo excepções as instituições bancárias.

Por exemplo, um cliente teve recentemente problemas com cartões de fidelização de cliente e vieram falar connosco  … mas só nestas situações.

P: Como é que a Cisco garante a privacidade dos e-mails quando estes são “vasculhados”?

C: É garantida. Nós não vemos o conteúdo, vemos apenas os anexos, o remetente, o destinatário, qual o servidor de e-mail e ainda os links incluídos. Mas não há qualquer análise da semântica do conteúdo. Mas incorporamos mecanismos relacionados com Data Loss Prevention (DLP), prevenindo a fuga de dados para o exterior da empresa. Trabalhamos muito com a RSA e eles sim, trabalham com o conteúdo do e-mail, mas apenas palavras-chave. Se o e-mail fala de prémios, informação bancária, coisas muito específicas, bloqueamos o seu envio.

P: O DLP é portanto uma solução de protecção de dados apenas de dentro para fora. Não bloqueia spam?

C: Exacto, o DLP funciona apenas de dentro para fora. Claro que as soluções de e-mail que tratam do spam funcionam tipicamente de fora para dentro da rede.

Nós temos uma grande preocupação – os falsos positivos – bloquear o e-mail mas afinal não era para bloquear. Preferimos ser menos agressivos e deixar passar 1 a 2% de emails que não deviam ter passado, do que o oposto, pois podem ser importantes para o negócio. Uma empresa que implemente o nosso DLP pode definir, por exemplo, frases, palavras e características próprias de um email que pretende filtrar.

P: Imaginemos que o colaborador de um empresa for ao Gmail pela versão web e envia informação sensível da empresa por e-mail, é possível?

C: Sim, porque o Gmail está fora do nosso domínio, o servidor SMTP mais concretamente.

P: E se vasculhássemos o conteúdo desses e-mails já seria invadir a privacidade das pessoas…

C: Sim, a questão da privacidade surge também nos mecanismos de DLP, mas como falamos de entidades altamente reconhecidas como a RSA, essa questão não se coloca [entrevista realizada antes desta notícia].

Por exemplo, na área do Web Control, há a componente de Web Filtering o Anti-Spam e o Anti-Worms, etc. No URL Filtering estou de facto a invadir a privacidade das pessoas, pois filtro conteúdos que os colaboradores podem ou não aceder. Posso assumir isto como DLP, outro exemplo: permito que os meus colaboradores acedam ao Facebook mas não consigam aceder à micro-aplicação que permite publicar mensagens. Imaginem que um colaborador está a trabalhar num projecto, num novo produto e vai ao Facebook, colocando no seu mural algo como “Estou cansado, estamos a acabar um novo produto XPTO”. Isto é considerado fuga de informação sensível.

Ou seja, o DLP permite bloquear não só sites completos, mas também certas funções. Cada empresa deve ter as suas políticas segurança e de rede, sabendo como implementá-las.

P: Terminamos assim esta entrevista, muito obrigada pela disponibilidade em nome da equipa do PPLWARE.com.