[ISSA_Brasil] Soluções UTM
Daniel Garcia (daniegar)
daniegar em cisco.com
Terça Junho 12 12:20:36 -03 2012
Olá,
Achei a discussão muito interessante e gostaria tb de comentar, com o
risco de ser tendencioso por trabalhar em um fornecedor de soluções de
segurança (que aliás não tem um produto UTM completo), mas gostaria
adicionar pragmatismo e tentar ser isento.
Considero todos os pontos levantados muito importantes, gostaria de
listá-los:
- Necessidade de educação do usuário final
- Importancia da segregação de funções
- Centralização/consolidação da administração
- Custo total de uma solução dedicada ao invés do UTM
Mas meu desconforto é com a quantidade de companhias que GASTAM com
segurança apenas tentando cumprir requerimentos regulatórios. Se estas
empresas aproveitarem para alavancar a regulamentação para justificativa
de INVESTIMENTO em segurança, podem implementar soluções efetivas que
quando bem escolhidas e implementadas, podem além de certificar a empresa,
trazer redução de custo operacional de TI (limpeza de PCs infectados,
maior produtividade e satisfação dos funcionários) e maior visibilidade
sobre as reais ameaças de segurança para o negócio.
Pelo conhecimento geral que tenho dos produtos UTM hoje ofertados,
minha visão pessoal é de que nenhum deles realmente traz estes benefícios
completamente, apesar de vários deles sim proverem as características
levantadas no começo deste e-mail. Vejo atualmente UTMs como uma
alternativa rápida, fácil e barata de cumprir com requistos de
regulamentação.
Gostaria de dar alguns exemplos técnicos de embasamento para meu
comentário:
- UTMs em sua maioria (ou totalidade) não fazem inspeção de tráfego
criptografado (https, por exemplo) em AV/AS/IPS, o que permite infecção
dos PCs facilmente por "drive-by download", ou seja, navegação em sites
infectados.
- Poucas soluções UTM tem capacidade de filtros de "Outbreak", para
proteção contra ameaças muito novas, que ainda não sejam detectadas e
contidas por AV/AS/IPS.
- Falta de inspeção detalhada de aplicações HTTP, um pouco além de filtros
de URL: a maioria dos aplicativos estão sendo migrados para a WEB, e
portanto regras do tipo IP/Protocolo/Porta não são mais efetivas na
classificação de uma aplicação.
- Performance: apesar da capacidade de hardware dos UTMs ter aumentado
significativamente nos últimos anos, nenhum destes equipamentos terá
capacidade suficiente a um preço razoável, quando forem utilizadas todas
as inspeções que os fabricantes fornecem e estas que enumero acima. Minha
opinião pessoal vai um pouco além disso, acho que é muito difícil no
curto/médio prazo que qualquer solução discreta (appliance) possa
implementar todas estas verificações, sem ter um auxilio de mecanismos
baseados em "cloud" (que pode ser de um fornecedor de serviços, ou no DC
da própria empresa se for justificável pelo porte da solução). E-mail
sendo a primeira aplicação que "deve" ser inspecionada de forma
centralizada para ter eficiência e desempenho, HTTP/HTTPS considero a
segunda aplicação em termos de importancia para implementação de inspeção
centralizada.
Posso ter uma visão um pouco limitada ou distorcida, mas ao menos
gostaria de agregar estes pontos à discussão.
Abs,
Daniel
On 6/12/12 10:50 AM, "Dario Caraponale | SSBr"
<dcaraponale em strongsecurity.com.br> wrote:
>Oi Pessoal,
>
>Como fornecedor e integrador de soluções de segurança da informação, a
>escolha de um UTM ou não, sempre acaba sendo definido por alguns dos
>pontos conforme abaixo:
>
>1- Custo total da solução (UTM's são mais baratos comparados com soluções
>separadas). Ainda mais se a empresa necessitar de alta disponibilidade de
>todos os itens envolvidos.
>2- Performance exigida (muitas vezes um UTM não consegue atender a
>demanda de performance)
>3- Segregação de funções de administração e responsabilidade.. Uso de
>Datacenter de terceiros e outsource podem definir a direção.
>4- topologia da rede, mutas vezes a empresa tem necessidades diferentes
>para localidades específicas. Em alguns casos a empresa tem uma "matriz"
>que justifica soluções separadas, porém em filiais ou fabricas isto não
>justifica e UTM passa a ser interessante. Ou mesmo, em casos onde a
>empresa tem datacenter separado de suas operações / usuários, neste caso
>a proteção de servidores não necessita de funções de webfilter e etc.
>
>Espero ter contribuído,
>
>Abraços.
>
>
>SSBr | Strong Security Brasil | Dario Caraponale | Diretor | Tel. +55 11
>2897-1566 | Cel. +55 11 8393-7997 | dcaraponale em strongsecurity.com.br |
>Skype: dcaraponale
>
>As informações contidas nesta mensagem são CONFIDENCIAIS e protegidas
>pelo sigilo legal. A divulgação, distribuição ou reprodução do teor deste
>documento depende de autorização do emissor. Caso V. Sa. não seja o
>destinatário, preposto, ou a pessoa responsável pela entrega desta
>mensagem, fica, desde já, notificado que qualquer divulgação,
>distribuição ou reprodução é estritamente proibida, sujeitando-se o
>infrator às sanções legais. Caso esta comunicação tenha sido recebida por
>engano, favor nos avisar imediatamente, respondendo esta mensagem.
>
>The information contained in this message is CONFIDENTIAL. If the reader
>of this transmittal is not the intended recipient or an agent responsible
>for delivering it, you are hereby notified that you have received this
>communication in error, and that any dissemination, distribution,
>retention or copy of this communication is strictly prohibited. In this
>case, please immediately reply this message to the sender.
>
>Antes de imprimir pense em seu compromisso com o Meio Ambiente.
>
>Em 12/06/2012, às 10:14, Asciutti, Cesar Augusto escreveu:
>
>> Na minha opinião,
>>
>> Tratando de ataque esterno fica muito tranquilo.
>>
>> Mas boa parte do problema está no ataque interno, lato sensu.
>> Sobre este aspecto é que afirmo a necessidade do plano como um todo,
>> não apenas um ponto.
>>
>> Lembro ainda que o elo mais fraco, ainda, é o usuário desinformado.
>>
>>
>> --
>> Grato,
>>
>> Asciutti, Cesar Augusto
>> STI - USP
>> (055)(11)-3091-0121
>> (055)(11)-7572-3325
>>
>>
>> Citando Willem van Dinteren Neto <willemdn em gmail.com>:
>>
>>> Pessoal, Bom Dia.
>>>
>>>
>>> Ultimamente não tenho participado dos Encontros de
>>> Sábado por questões de Trabalho, mas gostaria de utilizar esse espaço
>>>para
>>> estimular a troca de informações e de opiniões.
>>>
>>> O Tema é, Soluções UTM - Vejam Existem diversas
>>> recomendações de Normas de Segurança de que temos que aplicar as
>>> tecnologias para Segurança da Informação em Camadas.
>>>
>>> Ocorre que de uma forma generalista as soluções UTM
>>> agregam várias proteções em um ponto único da rede, que é justamente o
>>> Gateway, que é um ponto estratégico para se aplicar esse tipo de
>>>proteção,
>>> porém por outro lado, questões como Ponto único de Falha, divisão de
>>> Tarefas, e muitas outras questões do ponto de vista de Segurançaacabam
>>> ficando em segundo plano.
>>>
>>>
>>> Porém a verdade é uma só, existem diversos
>>>fabricantes
>>> que desenvolvem e comercializam esse tipo de solução e muitos clientes
>>> utilizam esse tipo de tecnologia, seja por questões de custo (um único
>>> produto com várias proteções tudo embarcado em uma caixa única), sejam
>>>por
>>> questões de facilidade de gerencia, seja por questões estratégicas de
>>> alinhamento da Segurança da Informação ao negócio ou até mesmo por
>>>alguma
>>> analise de risco que apontou esse tipo de tecnologia como a mais
>>>indicada
>>> por questões X, Y ou Z.
>>>
>>> Gostaria de saber como o Grupo se posiciona em
>>>relação a
>>> tudo isso.
>>>
>>> Grande Abraço a todos!
>>>
>>> --
>>> Willem van Dinteren Neto.
>>> Analista em Seg. da Informação
>>> Contato: 11-8714-8864
>>>
>>
>>
>>
>> _______________________________________________
>> Associados mailing list
>> Associados em issa.org.br
>> http://lists.issa.org.br/cgi-bin/mailman/listinfo/associados
>
>_______________________________________________
>Associados mailing list
>Associados em issa.org.br
>http://lists.issa.org.br/cgi-bin/mailman/listinfo/associados
Mais detalhes sobre a lista de discussão Associados