O Secure Web Gateway (SWG) desempenha um papel fundamental na solução SASE/SSE, que visa a proteger as conexões vinculadas à Internet.
Seu principal objetivo é proteger os usuários contra ameaças on-line e aplicar políticas de acesso aceitáveis em uma organização.
O SWG consegue isso interceptando o tráfego do usuário e empregando vários mecanismos de segurança, inclusive a aplicação de políticas de acesso.
Somente o tráfego que atende às políticas de acesso da organização e é considerado limpo tem permissão para passar.
Com 95% do tráfego da Internet agora criptografado, para obter uma segurança abrangente nas soluções SASE/SSE é necessário ter a capacidade de descriptografar esse tráfego.
Embora a maior parte do tráfego possa ser descriptografada usando a descriptografia TLS MITM (Man-In-The-Middle), surgiram preocupações com a privacidade do usuário, principalmente quando os usuários visitam sites que lidam com informações de identificação pessoal (PII) ou sites de bancos.
Além disso, alguns fornecedores de software de aplicativos começaram a adotar técnicas de fixação de certificados para impedir totalmente a descriptografia MITM TLS.
Esses desenvolvimentos levantam questões sobre a segurança que pode ser aplicada no nível do SASE e, ao mesmo tempo, fornecer valor às empresas.
É nesse ponto que os mecanismos de segurança de reputação estão ganhando força.
Este artigo destaca o valor do SWG para conexões vinculadas à Internet, descrevendo mecanismos de segurança que podem ser aplicados universalmente, com ou sem a descriptografia TLS.
Ele também explora os mecanismos de segurança que operam no tráfego TLS descriptografado, permitindo medidas de segurança abrangentes.
Recursos genéricos comuns a todos os componentes do SASE
Como o controle de acesso do SASE Security está centrado na identidade, a autenticação e a autorização são funções fundamentais necessárias em todos os componentes do SASE.
Os artigos sobre o SASE com reconhecimento de identidade e o corretor de identidade fornecem informações sobre diferentes métodos de autenticação e interfaces com vários serviços de autenticação. Além disso, o artigo sobre proxies no SASE se aprofunda nas técnicas usadas para capturar o tráfego que flui dos usuários para a Internet, dos usuários para os serviços SaaS e dos usuários para os aplicativos corporativos.
No entanto, este artigo se concentra principalmente nos mecanismos de segurança do componente SWG.
Observe que este artigo também não se aprofunda em outros recursos comuns compartilhados por todos os componentes SASE, como gerenciamento de configuração centralizado e recursos de observabilidade.
Mecanismos de segurança e avaliação de políticas genéricas
Na estrutura do SASE, todos os mecanismos de segurança operam com base em políticas administradas, que fornecem as regras e ações para governar o comportamento do sistema.
Cada mecanismo de segurança pode consistir em várias tabelas de políticas, e cada tabela pode conter várias políticas.
Uma política é composta por uma ação e um conjunto de regras.
A “ação” determina como o sistema deve tratar a sessão de tráfego.
As regras dentro de uma política definem as condições que devem ser satisfeitas para que a política seja considerada uma correspondência.
As regras consistem em atributos de correspondência e seus valores correspondentes.
Se a sessão de tráfego estiver alinhada com os valores de atributo especificados, a regra será considerada uma correspondência.
Vários atributos de correspondência podem ser usados nas regras para aplicar as políticas de segurança de forma eficaz.
Exemplos desses atributos incluem cronograma (intervalo de data/hora), IP de origem, IP de destino, porta de protocolo/destino, porta de origem, atributos de declarações de usuário, como endereço de e-mail do usuário, grupo de usuários, função do usuário, emissor e outros, conforme especificado no registro de declarações JWT.
Além disso, atributos como nome de domínio, URL, cabeçalhos e valores de solicitação, método HTTP, postura do dispositivo, pontuação UEBA, local do usuário, categoria de domínio, pontuação de reputação de domínio, categoria de URL, pontuação de reputação de URL, categoria de segurança de IP, pontuação de reputação de IP e pontuação de reputação de arquivo também podem ser utilizados.
É importante observar que todos os mecanismos de segurança podem não ser compatíveis com todos os atributos correspondentes em suas políticas.
O SASE avalia as sessões de tráfego passando-as por vários mecanismos de segurança.
Cada mecanismo de segurança decide independentemente se deve permitir a sessão de tráfego com base em suas políticas configuradas.
Se todos os mecanismos de segurança permitirem que a sessão de tráfego continue, o SASE permitirá a passagem do tráfego.
Normalmente, a ordem em que o SASE executa os mecanismos de segurança é predefinida.
Entretanto, algumas implementações do SASE podem oferecer a flexibilidade de selecionar a ordem em que os mecanismos de segurança são executados.
Isso permite que os administradores priorizem mecanismos de segurança específicos ou personalizem a sequência de processamento com base em seus requisitos.
Coleta de inteligência sobre ameaças em linha
O componente SWG (Secure Web Gateway) desempenha um papel fundamental na coleta de inteligência sobre ameaças em linha.
Ele se baseia em feeds de dados de provedores confiáveis para obter informações valiosas sobre diferentes aspectos, incluindo:
- Reputação de endereços IP, domínios, URLs, arquivos e serviços SaaS: O SWG aproveita os feeds de inteligência de dados/ameaças para avaliar a reputação dessas entidades.
Essas informações ajudam a identificar fontes potencialmente maliciosas ou suspeitas, permitindo que o sistema tome decisões informadas. - Categorização de domínios, URLs e serviços de SaaS: Ao utilizar os feeds de inteligência, o SWG pode determinar as categorias às quais pertencem os domínios, URLs e serviços SaaS.
Essa categorização ajuda na aplicação de políticas e permite que as organizações definam controles de segurança granulares com base em categorias específicas. - Classificação de conteúdo de malware: O SWG emprega a inteligência de ameaças coletada para classificar possíveis malwares com base na análise de conteúdo.
Ao examinar as características do conteúdo, o sistema pode identificar e bloquear ou colocar em quarentena arquivos ou sites mal-intencionados, impedindo-os de causar danos. - Classificação de dados de conteúdo: O SWG também utiliza feeds de inteligência de classificação de dados para classificar o conteúdo do tráfego da Web.
Essa classificação ajuda a identificar informações sensíveis ou confidenciais que podem ser transmitidas ou acessadas, permitindo que as organizações apliquem as políticas de proteção de dados de forma eficaz.
Como todo o tráfego vinculado à Internet e de SaaS passa pelo SWG, ele tem a capacidade de coletar vários atributos do tráfego.
Ao aproveitar os feeds de inteligência de dados/ameaças, o SWG pode enriquecer esses atributos com informações valiosas sobre ameaças.
Essas informações não apenas facilitam a aplicação de políticas em diferentes mecanismos de segurança, mas também fornecem visibilidade das ameaças presentes no tráfego que passa pelo SWG.
Essa visibilidade aprimorada permite que as organizações detectem e atenuem possíveis riscos de segurança em tempo real, garantindo uma postura de segurança robusta.
Mecanismos de segurança antes da inspeção SSL
Esses mecanismos de segurança processam as sessões de tráfego antes de serem descriptografadas por TLS/SSL.
Esses mecanismos de segurança atuam em todo o tráfego HTTP vinculado à Internet.
Esses mecanismos de segurança interrompem a sessão de tráfego se identificarem algum risco em potencial.
- Mecanismo de segurança de proteção contra ameaças baseado em reputação de IP: os administradores do SWG têm a capacidade de criar políticas com base em categorias de IP específicas, pontuações de reputação de IP e outros atributos genéricos, o que lhes permite estabelecer medidas de segurança personalizadas.
Esse mecanismo oferece proteção robusta aos usuários que acessam sites conhecidos por hospedar conteúdo de malware e phishing.
Aproveitando a inteligência abrangente contra ameaças coletada nos endereços IP de destino, o mecanismo identifica e reduz com eficiência os riscos potenciais, protegendo os usuários contra atividades mal-intencionadas.
Ao avaliar a reputação de cada endereço IP, o mecanismo de segurança toma decisões bem informadas sobre as ações apropriadas a serem tomadas em alinhamento com a política de correspondência, garantindo uma postura de segurança proativa e dinâmica. - Mecanismo de segurança de proteção contra ameaças com base na reputação do domínio: os administradores do SWG têm a capacidade de criar políticas com base em categorias de domínio, pontuações de reputação de domínio e outros atributos genéricos, o que lhes permite definir com eficiência as medidas de segurança desejadas.
Esse mecanismo oferece proteção abrangente aos usuários que acessam sites sinalizados por hospedar conteúdo de malware e phishing.
Aproveitando a inteligência sobre ameaças ao domínio coletada de várias fontes, incluindo o cabeçalho do host HTTP CONNECT, o TLS SNI para tráfego HTTP baseado em TLS e o cabeçalho do host do tráfego HTTP claro, o mecanismo avalia as políticas para identificar e atenuar com precisão os riscos potenciais.
Ao incorporar dados de reputação de domínio, o mecanismo de segurança garante medidas de defesa proativas, fortalecendo a postura geral de segurança e protegendo os usuários contra possíveis ameaças.
Os mecanismos de segurança baseados em reputação priorizam a precisão e a adaptabilidade.
Esses mecanismos de segurança oferecem flexibilidade abrangente em nível de política para dar aos administradores de SWG a capacidade de criar exceções.
Essas exceções são cruciais por vários motivos, como a abordagem de falsos positivos gerados por feeds de inteligência contra ameaças e a acomodação da necessidade deliberada de permitir o tráfego para que os caçadores de ameaças locais realizem inspeções adicionais.
Quando se trata do mecanismo de segurança de reputação de domínio, surge uma questão importante sobre qual nome de domínio utilizar para coletar inteligência e aplicar políticas de reputação.
Essa questão surge porque o nome de domínio está presente em várias camadas do tráfego.
No caso do tráfego que flui pelo método de proxy avançado do SWG, o SWG pode extrair o nome de domínio do cabeçalho do host da solicitação HTTP CONNECT e do campo SNI (Server Name Indication) do TLS.
Embora os valores do cabeçalho do host e do SNI do TLS normalmente estejam alinhados, há casos em que eles podem ser diferentes.
Como resultado, os SWGs executam inerentemente duas passagens por esse mecanismo de segurança por padrão.
A primeira passagem ocorre quando o SWG recebe a solicitação HTTP CONNECT, enquanto a segunda passagem ocorre quando o SWG recebe o tráfego TLS.
Essa abordagem garante que o SWG possa avaliar com precisão a reputação do domínio e aplicar as políticas correspondentes.
No entanto, os SWGs são projetados para serem inteligentes e eficientes.
Se os nomes de domínio extraídos da solicitação HTTP CONNECT e do campo TLS SNI forem idênticos, o SWG reconhecerá essa redundância e evitará a necessidade de uma segunda execução do mecanismo de reputação.
Essa otimização ajuda a simplificar o processo de avaliação de segurança e reduz a sobrecarga computacional desnecessária, permitindo que o SWG mantenha os níveis de alto desempenho e, ao mesmo tempo, garanta uma proteção abrangente contra ameaças com base na reputação do domínio.
Mecanismo de controle de acesso
Além da proteção contra ameaças baseada em reputação, os SWGs oferecem recursos robustos de controle de acesso, permitindo que os administradores forneçam acesso diferenciado aos usuários ao acessarem vários sites da Internet.
Esse poderoso mecanismo de segurança permite que os administradores criem políticas com base em categorias de domínio, que são fornecidas por provedores de inteligência contra ameaças de boa reputação.
Ao aproveitar as categorias de domínio, os administradores do SWG podem simplificar sua experiência de gerenciamento classificando um grande número de sites da Internet em algumas categorias abrangentes.
Esse sistema de classificação aumenta a eficiência e a facilidade de criação de políticas, garantindo que os administradores possam definir com eficácia as medidas de controle de acesso sem a necessidade de configuração granular para cada site individual.
Além disso, o mecanismo de controle de acesso também oferece a flexibilidade de especificar nomes de domínios individuais dentro das políticas.
Isso permite que os administradores tenham um controle refinado sobre o acesso a sites específicos, acomodando situações em que sites específicos exigem permissões ou restrições de acesso exclusivas.
A flexibilidade do mecanismo de controle de acesso mostra-se particularmente útil em cenários em que ocorrem falsos positivos no processo de categorização de domínios.
Nesses casos, os administradores podem criar exceções dentro das políticas para substituir a categorização e garantir um controle de acesso preciso para os sites afetados.
Essa capacidade de lidar com exceções permite que os administradores mantenham um equilíbrio entre medidas de segurança rigorosas e o fornecimento do acesso necessário a sites legítimos que possam ser classificados incorretamente.
Mecanismo de inspeção SASE TLS/SSL
O mecanismo de inspeção SWG TLS/SSL desempenha uma função crucial ao permitir controles de acesso avançados e proteção contra ameaças que exigem acesso ao conteúdo das sessões TLS/SSL.
No entanto, a inspeção TLS exige a descriptografia dessas sessões, o que requer acesso às chaves privadas.
Como uma entidade Man-In-The-Middle (MITM), o SWG não tem acesso direto às chaves privadas.
Para superar essa limitação, os mecanismos de inspeção TLS normalmente empregam uma técnica em que imitam o certificado do servidor usando a autoridade de certificação (CA) confiável da empresa.
O fluxo típico de etapas seguidas pelo mecanismo de inspeção TLS para cada nova sessão TLS do cliente é o seguinte:
- Estabelecer uma conexão TLS com o serviço de destino (site da Internet).
- Recupera o certificado apresentado pelo serviço de destino.
- Imitar o conteúdo do certificado, incluindo seu tempo de vida, para criar um certificado de imitação.
- Assine o certificado de mímica usando a CA confiável da empresa.
- Apresente esse certificado mímico durante o handshake TLS com o cliente.
Para que esse processo funcione perfeitamente sem causar pop-ups de segurança nos navegadores, é essencial que a cadeia de certificados da Enterprise CA seja integrada com segurança nos computadores dos funcionários como uma CA confiável, normalmente por meio do software de gerenciamento do sistema.
Para minimizar a sobrecarga computacional associada à geração de chaves e à assinatura de certificados de imitação, o mecanismo de inspeção TLS armazena em cache os certificados de imitação e as chaves privadas correspondentes, reutilizando-os até que a vida útil expire.
Embora a inspeção de TLS seja altamente desejável para proteção avançada contra ameaças e controle de acesso, as empresas podem ter casos específicos em que a descriptografia não é permitida.
Esses casos incluem preocupações com a privacidade, especialmente ao acessar sites bancários, financeiros ou de saúde, bem como cenários em que a fixação de certificados é empregada.
Além disso, as empresas podem optar por não habilitar a inspeção TLS para o conteúdo que já é verificado quanto a ameaças antes que a criptografia TLS ocorra no lado do cliente, como por meio do navegador ou das extensões do Office 365.
Para oferecer flexibilidade na decisão de executar ou não a descriptografia TLS, o mecanismo de inspeção SWG TLS/SSL permite que os administradores criem políticas.
Essas políticas podem incluir classificações de categoria de domínio, permitindo que os administradores ignorem a descriptografia TLS para categorias específicas, como sites financeiros e de saúde, bem como quaisquer outros sites para os quais a empresa não se sinta confortável com a descriptografia.
Ao oferecer controle e categorização com base em políticas, o mecanismo de inspeção SWG TLS/SSL permite que as empresas alcancem um equilíbrio entre a manutenção da privacidade e da segurança e, ao mesmo tempo, garantam uma proteção robusta contra ameaças e controles de acesso avançados.
Infraestrutura de PKI do SWG
Os serviços SASE são inerentemente multilocatários, oferecendo suporte a várias empresas.
Nesse contexto, algumas empresas podem ter sua própria infraestrutura de PKI (Public Key Infrastructure, infraestrutura de chave pública), enquanto outras podem não ter nenhuma infraestrutura de PKI instalada.
É importante observar que o certificado da CA corporativa (usado para assinar os certificados de imitação) deve ter uma vida útil relativamente curta, normalmente alguns dias, para garantir uma segurança robusta.
A reemissão regular do certificado de CA é necessária para manter um ambiente seguro.
Para garantir a segurança da chave privada do certificado CA no contexto do SWG, é preferível a geração de certificados com base em CSR (Certificate Signing Request, solicitação de assinatura de certificado).
Muitos SWGs fornecem sua própria infraestrutura de PKI para emitir certificados de CA intermediários (certificados de CA do SWG) para suas instâncias de plano de dados do SWG.
Nos casos em que uma empresa não tem sua própria infraestrutura de PKI, a infraestrutura de PKI do SWG cria automaticamente os certificados da CA principal e da CA raiz em nome da empresa individual.
Em situações em que uma empresa tem sua própria infraestrutura de PKI, a infraestrutura de PKI do SWG estabelece comunicação com a infraestrutura de PKI da empresa para obter o certificado da CA principal assinado.
Depois que o certificado da CA principal é obtido, ele é usado para assinar os certificados da CA do SWG, garantindo a autenticidade e a integridade dos certificados usados para assinar os certificados de imitação.
A infraestrutura de PKI é considerada um componente crítico do SWG, pois desempenha um papel fundamental na proteção das chaves privadas usadas para assinar os certificados de imitação.
Ao gerenciar com eficiência a infraestrutura de PKI, incluindo a reemissão regular de certificados de CA, e aderir às práticas de segurança estabelecidas, os SWGs podem garantir a integridade e a confiabilidade dos certificados usados no ambiente de serviço SASE multilocatário.
Mecanismos de segurança após a inspeção SSL
Após a descriptografia TLS/SSL, o SWG utiliza um conjunto de mecanismos de segurança para processar as sessões de tráfego e identificar quaisquer riscos potenciais.
Esses mecanismos de segurança desempenham um papel fundamental para garantir uma proteção abrangente contra ameaças
Mecanismo de segurança de proteção contra ameaças baseado em reputação de URL
Os administradores do SWG estão equipados com a capacidade de criar políticas baseadas em categorias de URL, pontuações de reputação de URL e outros atributos relevantes, o que lhes permite definir medidas de segurança com eficácia.
Embora o mecanismo de proteção contra ameaças com base na reputação do domínio forneça proteção no nível do domínio, há casos em que se torna necessário executar a proteção contra ameaças com base na reputação no nível do URL.
Isso é particularmente importante para sites que têm subseções ou URLs diferentes que representam seções específicas do site.
Embora a reputação geral do domínio possa ser boa, algumas seções individuais do site podem estar comprometidas ou representar um risco.
Portanto, o mecanismo de segurança de reputação baseado em URL é essencial para uma proteção abrangente, evitando que os usuários acessem sites hospedados por malware ou phishing.
Ao considerar a reputação de URLs específicos, esse mecanismo aumenta a precisão da detecção de ameaças e permite o bloqueio proativo de conteúdo potencialmente prejudicial.
Conforme mencionado anteriormente na seção “SWG Pre Decryption Security Engines”, as pontuações de reputação derivadas de feeds de inteligência contra ameaças podem, às vezes, resultar em falsos positivos.
Além disso, há casos em que os administradores podem querer permitir que uma sessão de tráfego prossiga para uma inspeção mais aprofundada por caçadores de ameaças.
Além disso, se já tiver sido aplicada uma proteção abrangente no nível do cliente, pode ser desnecessário duplicar a proteção contra ameaças no nível do gateway.
Para lidar com esses cenários, os mecanismos de proteção contra ameaças de reputação pós-descriptografia também são orientados por políticas, permitindo que os administradores criem políticas de exceção.
Mecanismo de controle de acesso avançado
Além da proteção contra ameaças baseada em reputação, os SWGs fornecem recursos avançados e robustos de controle de acesso, permitindo que os administradores apliquem acesso diferenciado aos usuários ao acessar vários sites da Internet.
Esse mecanismo avançado de controle de acesso compartilha semelhanças com o “Mecanismo de controle de acesso” descrito anteriormente na seção “Mecanismos de segurança de pré-criptografia do SWG”.
No entanto, como opera após a descriptografia TLS, ele oferece opções de controle de acesso ainda mais sofisticadas com base em URLs, métodos HTTP e cabeçalhos de solicitação HTTP.
O mecanismo avançado de controle de acesso aproveita as categorias de URL, que fornecem uma classificação mais precisa e granular dos sites em comparação com as categorias de domínio.
Ao utilizar as categorias de URL, os administradores podem definir com eficiência políticas para regular o acesso com base em URLs específicos, permitindo um controle de acesso refinado.
Semelhante ao Access Control Engine, o mecanismo avançado de controle de acesso também oferece a flexibilidade de criar exceções, abordando cenários em que ocorrem falsos positivos na categorização de URLs.
Essas exceções permitem que os administradores substituam as políticas de controle de acesso padrão para sites ou conteúdos específicos que possam ser classificados incorretamente ou que exijam permissões de acesso especiais.
Mecanismos de segurança com inspeção de conteúdo
Até o momento, os mecanismos de segurança descritos têm se concentrado em interromper as sessões de tráfego quando são detectadas ameaças ou o acesso é negado.
Esses mecanismos operam com base nas informações HTTP iniciais e nos cabeçalhos de solicitação, permitindo a suspensão do tráfego até que ele seja inspecionado.
No entanto, há outros mecanismos de segurança que exigem uma inspeção mais profunda do conteúdo nas sessões HTTP.
Esses mecanismos precisam acessar o conteúdo das solicitações e das respostas para detectar ameaças com eficácia.
Diferentemente dos mecanismos anteriores, esses mecanismos de inspeção de conteúdo não interrompem todo o fluxo de tráfego, mas interrompem o tráfego específico no momento em que uma ameaça é detectada.
Alguns desses mecanismos de segurança não apenas exigem acesso a todo o conteúdo, mas também podem precisar realizar um processamento adicional no conteúdo antes de utilizar feeds de inteligência contra ameaças para identificar possíveis ameaças.
Por exemplo, se um arquivo for compactado, ele precisará ser descompactado para análise.
Além disso, alguns provedores de inteligência contra ameaças esperam a extração de fluxos de texto de diferentes tipos de arquivos, como documentos do Word, apresentações do PowerPoint, arquivos do OpenOffice, planilhas do Excel, PDFs e outros.
Como essas extrações e detecções de ameaças podem ser computacionalmente intensivas, elas podem introduzir latência nas transações HTTP.
Para resolver esse problema, muitos desses mecanismos de segurança oferecem duas opções: captura em linha com detecção de ameaças e aplicação em linha, ou captura em linha com detecção de ameaças off-line.
No modo de detecção em linha, o tráfego é capturado e a detecção de ameaças ocorre dentro da sessão HTTP, permitindo ações imediatas de aplicação.
No modo de detecção off-line, o tráfego ainda é capturado, mas a extração do fluxo de texto e a detecção de ameaças com feeds de inteligência contra ameaças são realizadas fora da sessão HTTP.
Nesse modo, o tráfego ofensivo não é interrompido imediatamente, mas a visibilidade das possíveis ameaças é mantida.
Esses dois modos oferecem flexibilidade para que as empresas equilibrem a proteção contra ameaças em linha e a experiência do usuário, permitindo que elas escolham a abordagem que melhor atenda às suas necessidades.
Mecanismo de segurança de proteção contra ameaças baseado em reputação de arquivos
O SWG incorpora um mecanismo de segurança de proteção contra ameaças baseado em reputação de arquivos que desempenha um papel fundamental na avaliação da reputação dos arquivos transferidos por HTTP.
Esse mecanismo aproveita a funcionalidade de coleta de inteligência contra ameaças do SWG, que analisa continuamente o conteúdo que passa pelo gateway.
À medida que o tráfego flui, o mecanismo de inteligência contra ameaças calcula o hash do conteúdo, tanto enquanto ele está sendo transferido quanto no final do arquivo, para determinar a pontuação de reputação do arquivo.
Se necessário, o SWG realiza a descompressão do conteúdo antes de calcular o hash.
Os administradores têm a flexibilidade de criar políticas que consideram a pontuação de reputação do arquivo e determinam se a sessão de tráfego deve ser permitida ou negada com base nessa avaliação.
Esse mecanismo de segurança executa a avaliação da política e interrompe a transferência adicional do tráfego assim que a ameaça é detectada.
Mecanismo de segurança anti-malware
O mecanismo de segurança antimalware integrado aos SWGs incorpora funções avançadas de inteligência contra ameaças e antimalware para detectar e impedir com eficácia que vírus e malware se infiltrem no fluxo de tráfego e cheguem aos dispositivos dos usuários.
Esse mecanismo também desempenha um papel fundamental para evitar que os usuários espalhem malware sem saber, monitorando ativamente o tráfego em ambas as direções.
Conforme mencionado anteriormente, esses mecanismos de segurança empregam várias técnicas para analisar o conteúdo dos arquivos locais.
Se necessário, o mecanismo descompactará os arquivos e extrairá o fluxo de texto, que será submetido a um exame minucioso usando funções antimalware de inteligência contra ameaças.
O fluxo de texto é particularmente importante para a análise baseada em assinatura, permitindo a detecção de cepas de malware conhecidas.
As soluções SWG oferecem flexibilidade aos administradores, permitindo que eles criem políticas que determinem as ações apropriadas a serem tomadas ao detectar diferentes tipos de malware e considerando o nível de confiança fornecido pelo provedor de inteligência contra ameaças.
Isso garante que as respostas ao malware sejam adaptadas à ameaça específica e ao nível de risco.
Além disso, os SWGs oferecem a capacidade de criar exceções dentro das políticas para tratar de problemas de desempenho, falsos positivos e para facilitar inspeções mais profundas de ameaças por caçadores de ameaças.
Essa flexibilidade permite que os administradores ajustem as medidas de segurança e alcancem o equilíbrio certo entre proteção e eficiência operacional.
Mecanismo de segurança de detecção e prevenção de intrusões (IDP)
O mecanismo de segurança do IDP é parte integrante dos SWGs, projetado para identificar possíveis explorações nos fluxos de tráfego.
A exploração das vulnerabilidades do sistema é um método comum que os invasores empregam para obter acesso não autorizado, introduzir rootkits e distribuir malware.
Essas vulnerabilidades podem assumir a forma de estouro de buffer/pilha, validação inadequada de entrada ou configurações incorretas em sistemas e aplicativos.
O IDPS do SWGs pode detectar ataques de exploração direcionados a máquinas de clientes e identificar clientes comprometidos que tentam explorar serviços de terceiros na Internet, evitando que os ativos da empresa se tornem plataformas de lançamento para outros ataques.
O mecanismo de IDP do SWGs oferece detecção precisa com menos falsos positivos por vários motivos:
- Acesso a dados limpos: O mecanismo de IDP pode acessar dados de tráfego que foram descriptografados, o que permite analisar e detectar com eficácia possíveis ataques.
- Acesso a dados remontados e re-sequenciados: O mecanismo pode acessar fluxos de dados que foram reconstruídos e reordenados, garantindo uma análise abrangente e a detecção de quaisquer atividades mal-intencionadas.
- Acesso a dados extraídos e decodificados do protocolo HTTP: Ao ter dados extraídos e decodificados do proxy como parte dos SWGs, o mecanismo de IDP obtém uma visibilidade mais profunda do conteúdo, permitindo uma detecção mais eficaz dos padrões de ataque.
O mecanismo do IDP emprega vários tipos de assinaturas para detectar ataques, inclusive assinaturas de anomalias de protocolo, assinaturas de anomalias de tráfego e assinaturas baseadas em conteúdo.
Os provedores de inteligência contra ameaças oferecem extensos bancos de dados de assinaturas, mas o carregamento de cada assinatura pode afetar significativamente o desempenho do sistema.
Para resolver esse problema, os SWGs oferecem recursos de ajuste de assinatura com base em fatores como a aplicabilidade da assinatura.
Por exemplo, as assinaturas que não são relevantes para o tráfego baseado em HTTP ou aquelas que inspecionam conteúdo não descriptografado em HTTP podem ser evitadas.
O ajuste também pode considerar fatores como o impacto do risco e os níveis de confiança das assinaturas fornecidas pelos provedores de inteligência contra ameaças.
As soluções SWG também oferecem seleção de tráfego baseada em políticas, permitindo que os administradores determinem qual tráfego deve ser submetido ao processamento do IDP.
Essa flexibilidade permite evitar verificações redundantes do IDP no tráfego que já foi verificado quanto a ataques no nível do endpoint do cliente.
Mecanismo de segurança de prevenção contra perda de dados
A inclusão do mecanismo de segurança de prevenção contra perda de dados (DLP) nos SWGs tem se tornado cada vez mais comum.
Esse mecanismo avançado foi projetado para evitar que os usuários transmitam ou recebam inadvertidamente informações financeiras, contábeis ou comerciais confidenciais sem a devida autorização.
Ao aproveitar os controles baseados em políticas e os atributos do usuário, o DLP Security Engine monitora e reduz o risco de vazamentos de dados acidentais ou intencionais.
Para desempenhar sua função com eficácia, o DLP Security Engine requer acesso ao conteúdo completo das transmissões de dados.
Ele extrai fluxos de texto, o que lhe permite analisar e classificar os dados com base em sua sensibilidade.
Os provedores de inteligência de classificação de dados utilizam o fluxo de texto para gerar resultados de classificação, que abrangem vários atributos, como rótulos de conformidade (por exemplo, informações de identificação pessoal ou PII), dados genéricos de documentos confidenciais (por exemplo, informações financeiras) e dados confidenciais definidos pelo usuário.
Para facilitar o controle preciso dos dados confidenciais, os SWGs oferecem aos administradores a capacidade de criar políticas que incorporam diferentes atributos e valores de classificação.
Essas políticas, combinadas com atributos de correspondência genéricos, permitem que os administradores definam controles de acesso granular e especifiquem como os diferentes tipos de dados confidenciais devem ser tratados.
Mecanismos de segurança personalizados (Traga seu próprio mecanismo de segurança)
Embora os provedores de SASE/SWG ofereçam uma cobertura de segurança abrangente, o cenário de ameaças em constante evolução, principalmente os ataques de dia zero, pode exigir aprimoramentos adicionais.
As equipes de segurança corporativa costumam ser proativas em seus esforços de busca de ameaças, identificando novos padrões de ataque.
Elas também podem receber novos padrões de ameaças de outras equipes de segurança corporativa por meio do compartilhamento de inteligência contra ameaças.
Em ambos os casos, essas equipes podem querer que os SWGs protejam seus ativos contra esses padrões de ameaças e ataques emergentes.
Embora os SWGs geralmente tenham mecanismos de IDP e outros mecanismos de segurança bem configurados, há situações em que os sistemas de configuração podem não ter a flexibilidade necessária para criar regras para detectar padrões de ameaças complexos.
Depender exclusivamente dos provedores de SWG para adicionar uma nova lógica de software para essas proteções pode consumir muito tempo.
Além disso, os padrões de ameaças observados pelas empresas podem ser específicos de seu ambiente e não aplicáveis ao uso genérico.
Nesses casos, os fornecedores de SWG podem hesitar em lançar um novo software em tempo hábil para atender a esses requisitos personalizados.
Portanto, há uma necessidade de flexibilidade para integrar novos mecanismos de segurança programáticos personalizados desenvolvidos pelos departamentos de segurança das empresas ou pelos provedores de serviços gerenciados de segurança (MSSPs).
Espera-se que as soluções SWG ofereçam interfaces abertas para a incorporação de novos mecanismos de segurança.
Alguns SWGs oferecem a capacidade de adicionar scripts Lua e módulos WebAssembly (WASM).
Com esses recursos, as organizações podem desenvolver novos mecanismos de segurança, como scripts Lua ou módulos WASM, e integrá-los à infraestrutura do SWG.
Os SWGs garantem que esses mecanismos personalizados não interfiram com outros mecanismos de segurança e que consumam recursos de computação dentro dos limites configurados definidos pelos administradores do SWG.
Ao permitir a integração de mecanismos de segurança programáticos personalizados, os SWGs possibilitam que as empresas aprimorem sua postura de segurança, respondam prontamente a ameaças emergentes e protejam seus ativos com eficiência.
Essa flexibilidade permite que as organizações aproveitem sua experiência interna em segurança ou colaborem com MSSPs para desenvolver mecanismos de segurança personalizados que atendam aos seus requisitos de segurança exclusivos.
Resumo
Em resumo, este artigo forneceu uma visão geral dos mecanismos de segurança para o acesso seguro à Internet.
É importante observar que a inclusão de todos os mecanismos de segurança pode variar entre as diferentes soluções SASE/SWG, e novos mecanismos de segurança podem ser adicionados à medida que surgem novos tipos de ameaças à Internet.
As soluções SASE/SWG utilizam mecanismos de segurança como IP Reputation-based Threat Protection, Domain Reputation-based Threat Protection, Access Control, TLS/SSL Inspection, File Reputation-based Threat Protection, Anti-Malware, Intrusion Detection & Prevention, Data Loss Prevention e outros.
Esses mecanismos de segurança aprimoram as medidas gerais de segurança e oferecem proteção contra várias ameaças ao acessar a Internet.
Como o cenário de ameaças continua a evoluir, as organizações devem avaliar regularmente suas necessidades de segurança e garantir que a solução SASE escolhida incorpore os mecanismos de segurança necessários para atenuar os riscos emergentes de forma eficaz.
-
Blog CTO Insights
A série de blogs Aryaka CTO Insights oferece liderança de pensamento para tópicos de rede, segurança e SASE.
Para obter as especificações dos produtos Aryaka, consulte as fichas técnicas da Aryaka.
