Por que preciso de um Next Generation Firewall?

Next Generation Firewall

Os firewalls de rede estão evoluindo, e o Next Generation é muito diferente de seus antecessores. Continuamos a ver uma mudança no cenário de ameaças, um aumento dramático no número e complexidade dos sistemas de segurança que protegem contra-ataques cibernéticos. Essas mudanças, combinadas com a quantidade esmagadora de dados produzidos, criaram uma situação perigosa que requer uma abordagem muito diferente da segurança da rede, que faz com que os sistemas de segurança essenciais trabalhem juntos, simplifiquem os fluxos de trabalho e analisem através de enormes volumes de dados para concentrar a atenção exatamente no que é importante sem impactar negativamente o desempenho. O cenário atual requer novas abordagens para a integração de segurança, novos sistemas de gerenciamento e novas formas de identificar e responder a riscos e ameaças.

 

A Evolução dos Firewalls

Os firewalls iniciais operavam em camadas inferiores, fornecendo roteamento básico e filtragem de pacotes com base na inspeção de portas e protocolos para encaminhar ou liberar tráfego. Esses firewalls foram eficazes em impedir tentativas muito básicas dos hackers de se infiltrar na rede.

A segurança da rede foi forçada a evoluir à medida que as ameaças pararam de atacar somente a rede diretamente para infectar sistemas e se espalhar para outros na rede. Durante a maior parte da última década, os cibercriminosos construíram um vasto repertório de automação, juntamente com vulnerabilidades exploráveis, para atacar rapidamente alvos e escapar de medidas de segurança ou proteção nos níveis de rede e endpoint. Esse uso da automação utiliza desde kits de exploração que prendem navegadores e arquivos do MS Office armados até e-mails de spam maliciosos que ofuscam completamente a ameaça que representa às vítimas e sua tecnologia. Ao longo do tempo, as organizações foram forçadas a adicionar dispositivos adicionais de segurança de rede ao seu perímetro de rede para prevenção de intrusões, filtragem da Web, AntiSpam, acesso remoto (VPN) e firewalls de aplicativos web (WAF). O aparelho UTM (Unified Threat Management) evoluiu a partir do ônus de gerenciar uma série de produtos de segurança de rede – as soluções UTM permitiram que as organizações consolidassem tudo em um único aparelho.

A tecnologia firewall também evoluiu, movendo o nível para a Camada 7 e além para identificar e controlar tráfego específico de aplicativos. Os firewalls também cresceram para incorporar tecnologias para inspecionar mais profundamente o conteúdo de pacotes de rede e caçar ameaças. Eles também ganharam a capacidade de controlar o tráfego com base no usuário ou aplicativo originário, não apenas pelo tipo de tráfego. Essa mudança de portas e protocolos para aplicativos e usuários gerou uma categoria de proteção de rede conhecida como “firewalls de última geração” (NGFWs).

Um firewall de próxima geração é aquele que fornece inspeção de firewall tradicional, juntamente com uma inspeção profunda de pacotes que incluem prevenção de intrusões, conscientização de aplicativos, políticas baseadas no usuário e a capacidade de inspecionar tráfego criptografado.

A segurança da rede continua a mudar e crescer para atender ao cenário de ameaças em constante evolução. Ameaças modernas como ransomware, cryptojacking e malware botnet são mais avançadas, evasivas e direcionadas do que nunca. Essas ameaças persistentes avançadas (APTs) usam técnicas que criam uma ameaça zero-day a cada instância, e podem ser extremamente desafiadoras para sistemas baseados em assinaturas detectarem até que seja tarde demais.

A maioria das organizações em qualquer momento tem sistemas comprometidos em sua rede que são vítimas de um APT ou botnet, e em muitos casos, eles nem sequer estão cientes dessas infecções. Infelizmente, é um problema generalizado.

O cenário de ameaças está passando por mais uma grande transformação. Atacantes sofisticados estão se voltando para hacks manuais mais direcionados e inerentemente imprevisíveis, usando força bruta para ganhar uma posição na rede, e atacando a partir daí como se fossem um administrador de rede residente.

A natureza do atual cenário de ameaças e redes está criando a necessidade de mudanças fundamentais na abordagem da segurança da rede.

Primeiro: Ferramentas de rede devem integrar novas tecnologias para identificar comportamentos maliciosos em cargas de rede sem o uso de assinaturas antivírus tradicionais. Tecnologias como sandboxing e machine learning que, até recentemente, eram uma solução que só grandes empresas poderiam pagar se tornaram extremamente acessíveis para pequenas e médias organizações, e agora são uma parte essencial de uma defesa eficaz contra malware moderno e ataques de zero-day.

Segundo: Sistemas de segurança que costumavam ser isolados e independentes, como o firewall e o ponto final, agora precisam ser integrados e trabalhar juntos para detectar, identificar e responder a ameaças avançadas de forma rápida e eficiente antes que possam causar danos significativos.

Terceiro: Novas tecnologias de controle de aplicativos dinâmicos são necessárias para identificar e gerenciar adequadamente aplicativos desconhecidos, dada a crescente ineficácia de motores baseados em assinaturas para identificar os protocolos de aplicativos mais recentes, aplicativos personalizados e aplicativos cada vez mais dependentes de protocolos GENÉRICOS HTTP/HTTPS.

Quarto: O uso da criptografia HTTPS para garantir sessões web continua a crescer. Assim como o uso cibernético de criptografia para disfarçar ataques de malware, o que pode criar um enorme ponto cego que os hackers podem explorar. Isso torna essencial que os sistemas modernos de segurança de rede sejam capazes de digitalizar o tráfego criptografado para ameaças ocultas.

Quinto: O modelo tradicional de segurança tem sido “Confie, mas verifique”. No entanto, ele assume que tudo dentro da rede é bom e tudo lá fora é ruim. A Zero Trust nos orienta a nunca confiar em algo às cegas. Em vez disso, devemos verificar qualquer coisa e tudo o que está tentando se conectar aos nossos sistemas antes de conceder acesso.

Para piorar as coisas, a maioria dos firewalls modernos tornaram-se cada vez mais complicados, muitas vezes aproveitando vários produtos separados, mas vagamente integrados para enfrentar diferentes vetores de ameaças e requisitos de conformidade. Como resultado, a carga de gerenciamento para o administrador de rede típico atingiu níveis insustentáveis, enquanto a quantidade de informações e dados que esses sistemas produzem é simplesmente indigesta.

De fato, em uma Pesquisa de Satisfação de Firewall de administradores de TI, vários problemas comuns foram identificados com a maioria dos firewalls em uso hoje:

  1. Eles dificultam e demoram para identificar e localizar informações necessárias;
  2. Eles não fornecem visibilidade adequada sobre ameaças e riscos na rede;
  3. Eles sofrem uma diminuição substancial de desempenho ao inspecionar o tráfego criptografado para ameaças;
  4. Eles têm muitas características, mas tornam muito difícil descobrir como usá-los.

Quer saber um pouco mais sobre Firewall? Continue lendo e saiba os Benefícios de integrar Firewall e Endpoint Protection