Next Generation

Guia

Firewall
10 aspectos que devem ser avaliados

1 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 Índice
3| 11 |
7. Fornecer controles consistentes a todos os usuários,
Introdução independente do local ou tipo de dispositivo

4| 12 |
As 10 coisas que o seu próximo 8. Simplificar a segurança da rede com a adição
firewall deve fazer do controle de aplicativos

5| 13 |
1. Identificar e controlar os aplicativos, 9. Fornecer o mesmo rendimento e desempenho com
em todas as portas, o tempo todo controle de aplicativos totalmente ativado

6| 14 |
2. Identificar e controlar ferramentas 10. Fornecer exatamente as mesmas funções de firewall
de evasão da segurança em um fator de forma virtualizado e em hardware

7| 3. Descriptografar e inspecionar
SSL e controlar SSH 15 | Ciclo de vida de um ataque

8| 4. Fornecer controle sobre a

função nos aplicativos 16 | Sobre a Arcon

9| 5. Gerenciar o tráfego desconhecido

de forma sistemática 17 | Referências

10 | 6. Procurar por ameaças em todos os

aplicativos e em todas as portas

2 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 Introdução
O Next Generation Firewall foi definido pela Gartner como algo
novo e focado no mercado enterprise, “incorporando inspeção
de toda a pilha TCP/IP para oferecer suporte à prevenção contra
invasões, inspeção a nível de aplicativos e controle minucioso
de políticas”. Alguns fornecedores de segurança de rede estão
oferecendo controle e visibilidade de aplicativos, adicionando
assinaturas de aplicativo ao mecanismo IPS ou oferecendo uma
licença adicional para um módulo de controle de aplicativos.
Em ambos os casos, estas opções são adicionais a um firewall
baseado em porta e fazem pouco para ajudar a se focar nas tarefas
fundamentais que o seu firewall foi projetado para executar.
A eficiência operacional da sua empresa depende
dos aplicativos que seus funcionários usam e do
conteúdo contido neles. Apenas permitir alguns e
bloquear outros pode inibir o seu negócio.
3 | Next Generation Firewall . 10 aspectos que devem ser avaliados
Se sua equipe de segurança está buscando os recursos e capacidades
do NGF, o mais importante a considerar é se ele irá ou não capacitá-la
para permitir aplicativos com segurança para o benefício da organização.
Considere o seguinte:
• O NGF vai aumentar a visibilidade e a capacidade de entender o tráfego
de aplicativos da sua rede?
• As opções de resposta da política de controle de tráfego serão mais
abrangentes do que apenas permitir ou negar?
• Sua rede estará protegida de ameaças e ciberataques - tanto conhecidos
como desconhecidos?
• Você é capaz de identificar e gerenciar sistematicamente o tráfego
desconhecido?
• Você é capaz de implementar as políticas de segurança desejadas sem
comprometer o desempenho?
• Os esforços administrativos que sua equipe dedica ao gerenciamento
de firewall será reduzido?
• O trabalho de gerenciar riscos será mais fácil e efetivo?
• As políticas que você habilitar poderão ajudar a contribuir com os
resultados da empresa?
Se as respostas para as perguntas acima forem “sim”, então sua decisão
de mudar de firewalls de legado (ou tradicional) para firewalls de próxima
geração é fácil de justificar. A próxima etapa é considerar as soluções
alternativas oferecidas no mercado e lembre-se do seguinte: ao avaliá-
las, é importante considerar as diferenças arquitetônicas e os impactos
associados em termos de funções/recursos reais, operações e desempenho.
 As 10 coisas que o seu
próximo firewall deve fazer
Os critérios de seleção de um firewall se encaixam em três áreas:

FUNÇÕES DE SEGURANÇA OPERAÇÕES DESEMPENHO

Correspondem à eficácia dos A pergunta a ser considerada O firewall é capaz de fazer
controles de segurança e à aqui é: “onde está a política o que deve fazer de acordo
capacidade da sua equipe de de aplicativos e quão difícil com os requisitos de
gerenciar o risco associado com os e complicado é para sua rendimento da sua empresa?
aplicativos que passam pela sua rede. equipe gerenciá-la”?

Embora cada organização tenha requisitos e prioridades variadas nestes três

critérios de seleção, as 10 coisas que o seu próximo firewall deve fazer são:

4 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 1
Identificar e controlar os aplicativos,
em todas as portas, o tempo todo
Os desenvolvedores de aplicativos não aderem mais à metodologia padrão de
porta/protocolo/aplicativo. Cada vez mais aplicativos são capazes de operar em
portas não padrão ou pular portas (ex: aplicativos de mensagens instantâneas,
compartilhamento peer-to-peer ou VoIP). Além disso, os usuários estão cada vez
mais audaciosos para forçar a execução de aplicativos em portas não padrão
(Ex: RDP e SSH). Para aplicar políticas de firewall específicas para aplicativos Você deve assumir que qualquer
em que as portas são irrelevantes, o seu próximo firewall deve assumir que aplicativo pode ser executado em
qualquer aplicativo pode ser executado em qualquer porta. Esta, inclusive,
qualquer porta e o seu próximo
é uma das mudanças fundamentais no panorama de aplicativos que está
impulsionando a migração de firewalls baseados em portas para firewalls de firewall deve classificar o tráfego
próxima geração. por aplicativo em todas as portas,
Qualquer aplicativo em qualquer porta também ressalta o motivo pelo qual
a todo o momento, por padrão.
um modelo de controle negativo não é capaz de solucionar o problema. Se
um aplicativo pode ser movido para qualquer porta, um produto baseado
em controle negativo exigiria conhecimento de antemão ou a necessidade de
executar todas as assinaturas em todas as portas, a todo o momento.

5 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 2
Identificar e controlar ferramentas de
evasão da segurança
Um pequeno número de aplicativos na sua rede pode ser usado para
evitar, propositalmente, as políticas de segurança que estão em vigor para
proteger os ativos digitais da sua organização. Duas classes de aplicativos
se encaixam nas ferramentas de evasão da segurança: Independente da sua postura de política de
• Aqueles que são expressamente projeta¬dos para evitar a segurança segurança, o seu próximo firewall precisa
(ex: proxies externos e túneis criptografados não relacionados à VPN)
• Aqueles que podem ser adaptados para alcançar com facilidade o ter técnicas específicas para identificar
mesmo objetivo (ex: ferramentas de gerenciamento de desktop/ e controlar todos esses aplicativos,
servidor remoto)
independentemente da porta, protocolo,
Nem todos estes aplicativos possuem os mesmos riscos; aplicativos de criptografia ou outra tática de evasão.
acesso remoto apresentam uso legítimo, assim como muitos aplicativos de Importante, também, saber com que
túnel criptografado. Entretanto, essas mesmas ferramentas estão cada vez
mais sendo adotadas por criminosos como parte de ataques persistentes
frequência a inteligência de aplicativos do
contínuos. Sem a capacidade de controlar essas ferramentas de evasão da firewall é atualizada e mantida.
segurança, as organizações não podem aplicar suas políticas, expondo-se
aos riscos que consideravam estar mitigando.

6 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 3
Descriptografar e inspecionar SSL
e controlar SSH
25% dos aplicativos usam SSL de uma forma ou de outra nas redes
corporativas atuais. Dado o aumento da adoção de HTTPS por vários
aplicativos de alto risco e alta recompensa empregados pelos usuários
finais (Ex: Gmail e Facebook) e a capacidade do usuário de forçar SSL em A capacidade de descriptografar SSL é um elemento
vários websites, sua equipe de segurança tem um enorme e crescente ponto fundamental - não somente porque compõe um
cego sem a capacidade de descriptografar, classificar, controlar e verificar o
tráfego SSL criptografado.
percentual significativo e cada vez maior do tráfego
empresarial, como também porque permite alguns
Por isso, um firewall de próxima geração precisa ser flexível o suficiente para outros recursos importantes que seriam incompletos
permitir determinados tipos de tráfego SSL criptografado - como tráfego da
web proveniente de serviços financeiros ou organizações de cuidado com a
ou ineficientes sem a capacidade de descriptografar
saúde -, e poder descriptografar outros tipos de tráfego através de políticas. o SSL. O conhecimento sobre como o SSH está sendo
O SSH é usado quase que universalmente e pode ser configurado com utilizado pode ser traduzido, inclusive, em políticas
facilidade por usuários finais para finalidades não relacionadas ao trabalho,
da mesma forma que uma ferramenta de desktop remoto é utilizada. O fato de segurança apropriadas.
de que o SSH é criptografado também o torna uma ferramenta útil para
ocultar atividade não relacionada ao trabalho.

7 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 4
Fornecer controle sobre
a função nos aplicativos

Desenvolvedores de plataformas de aplicativos

fornecem aos usuários um conjunto avançado de
recursos e funções que ajudam a garantir a lealdade
O seu próximo firewall deve classificar de forma contínua cada
do usuário, mas que podem representar perfis de aplicativo, monitorando alterações que podem indicar que uma
risco muito diferentes. função diferente está sendo utilizada. O rastreamento contínuo
Exemplo: Permitir o WebEx pode ser uma valiosa do estado para compreender as diferentes funções suportadas
ferramenta de negócios, mas usar o WebEx Desktop por cada aplicativo e os diferentes riscos associados é um
Sharing para assumir o desktop do seu funcionário a
partir de uma fonte externa pode ser uma violação de
requisito crítico do seu próximo firewall.
conformidade interna ou regulatória.

8 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 5
Gerenciar o tráfego desconhecido de
forma sistemática
O tráfego desconhecido existe em pequenas quantidades em
todas as redes, mas ainda representa um risco significativo
para sua empresa. Existem vários elementos importantes
para considerar com o tráfego desconhecido: ele é Por padrão, o seu próximo firewall deve classificar todo o tráfico,
classificado? É possível reduzi-lo através de um controle por em todas as portas. Modelos positivos (negar por padrão)
políticas? O seu firewall é capaz de classificar com facilidade
aplicativos personalizados para que sejam “conhecidos” na classificam tudo, modelos negativos (permitir por padrão)
sua política de segurança? O seu firewall ajuda a determinar classificam apenas o que são solicitados a classificar. Classificar
se o tráfego desconhecido é uma ameaça?
tudo é apenas uma pequena parte do desafio introduzido pelo
O tráfego desconhecido também está fortemente tráfego desconhecido. O seu próximo firewall deve permitir ver
vinculado a ameaças na rede. Os criminosos geralmente todo o tráfego desconhecido, em todas a portas, em um local de
são forçados a modificar um protocolo para explorar um
aplicativo alvo. Por exemplo: para atacar um servidor
gerenciamento e analisar rapidamente o tráfego para determinar
da web, um criminoso pode precisar modificar tanto se (1) é um aplicativo interno ou personalizado, (2) é um aplicativo
um cabeçalho HTTP que o tráfego resultante não é mais comercial sem uma assinatura ou (3) é uma ameaça.
identificado como um tráfego da web. Tal anormalidade
pode ser uma indicação prévia de um ataque.

9 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 6
Procurar por ameaças em todos
os aplicativos e em todas as portas

As empresas continuam a adotar uma ampla variedade

de aplicativos para viabilizar seus negócios, e eles podem Bloquear o aplicativo não é apropriado, mas também
ser hospedados internamente ou fora do seu local físico.
não é possível permitir cegamente os aplicativos
Independentemente de ser um aplicativo hospedado no
SharePoint, Box.net, Google Docs, Microsoft Office365 ou com os (possíveis) riscos associados ao negócio e à
um aplicativo extranet hospedado por um parceiro, muitas cibersegurança. O ideal talvez seja limitar um serviço
precisam usar aplicativos capazes de usar portas não padrão,
SSL ou compartilhar arquivos. Em suma: estes aplicativos
destes, para nível corporativo, entender sua arquitetura e
podem viabilizar os negócios, mas também podem atuar implementar controles onde for necessário.
como vetores de ciberameaças.

10 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 7
Fornecer controles consistentes a
todos os usuários, independente
do local ou tipo de dispositivo

A mobilidade está, mais do que nunca, presente

no dia a dia corporativo, com colaboradores
Conceitualmente, isso é simples - o seu próximo firewall deve ter
acessando a rede da empresa através de visibilidade e controle consistente sobre o tráfego, seja qual for o
smartphones ou tablets. Independente de onde local em que o usuário esteja. No entanto, isso não quer dizer que a
o usuário ou o aplicativo que ele utiliza esteja,
o mesmo padrão de controle de firewall deve
sua organização terá exatamente as mesmas políticas para ambos.
ser aplicado. Se o seu próximo firewall permitir Essa diferenciação deve ser alcançada sem introduzir latência
visibilidade e controle de aplicativos no tráfego
significativa para o usuário final, sem impor problemas operacionais
dentro das dependências da empresa, mas não
fora dela, isso é um problema. para o administrador nem tampouco custos para a organização.

11 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 8
Simplificar a segurança da rede com a
adição do controle de aplicativos

Muitas empresas têm dificuldade em incorporar mais feeds de informação,

mais políticas e mais gerenciamento em pessoas e processos de segurança.
Ou seja, quanto mais distribuída é a política (ex: um firewall baseado em
porta permite tráfego pela porta 80, IPS procura/bloqueia ameaças e O contexto compartilhado por aplicativos,
aplicativos, gateway web seguro aplica filtros de URL), mais difícil é gerenciar
usuários e conteúdos em todos os
a política. Que política sua equipe de segurança utiliza para possibilitar o
WebEx? De que forma eles determinam e resolvem conflitos de políticas em aspectos - visibilidade, controle de
diferentes dispositivos? políticas, geração de logs e relatórios -
Já que instalações típicas de firewalls baseados em portas apresentam
ajudará a simplificar significativamente a
bases de regras que incluem milhares de regras, adicionar milhares de sua infraestrutura de segurança.
assinaturas de aplicativos em dezenas de milhares de portas aumentará
exponencialmente a complexidade.

12 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 9
Fornecer o mesmo rendimento
e desempenho com controle de
aplicativos totalmente ativado

A importância da arquitetura também é bastante óbvia aqui—de uma

Muitas organizações têm dificuldade com o
compromisso em fornecer desempenho e
segurança. Com demasiada frequência, ativar
recursos de segurança no firewall significa
aceitar rendimento e desempenho menores.
forma diferente. Utilizar em conjunto um firewall baseado em porta
e outras funções de segurança de diferentes origens tecnológicas
geralmente significa que há camadas de rede redundantes,
mecanismos de verificação e políticas - o que pode ser interpretado
como baixo desempenho. Da perspectiva de software, o firewall
deve ser projetado para fazer isso desde o início.

13 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 10
Fornecer exatamente as mesmas
funções de firewall em um fator de
forma virtualizado e em hardware

O crescimento explosivo da virtualização e

computação em nuvem introduz novos desafios
de segurança que são difíceis (ou impossíveis) É imprescindível que o seu próximo firewall forneça profunda
para o firewall de legado gerenciar de forma
efetiva devido à funcionalidade inconsistente,
integração com os ambientes de virtualização para agilizar a
gerenciamento desigual e falta de pontos de criação de políticas centralizadas nos aplicativos conforme novos
integração com o ambiente virtualizado. Para aplicativos e máquinas virtuais são consolidados e desativados. Esta
proteger o tráfego que entra e sai do datacenter,
bem como o tráfego dos ambientes virtualizados,
é a única forma de garantir o suporte de arquiteturas de datacenter
o seu próximo firewall deve oferecer suporte em evolução com flexibilidade operacional e, ao mesmo tempo,
exatamente às mesmas funcionalidades em um
abordar riscos e requisitos de conformidade.
fator de forma virtualizado e em hardware.

14 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 Ciclo de vida de um ataque
Todos os ataques têm várias etapas sequenciais que formam o ciclo de vida do ataque. Contudo, todas elas devem
ser bem-sucedidas antes que o invasor atinja seu objetivo. De forma macro, as principais etapas nas quais existe a
oportunidade de impedir o ataque são:

TRANSMISSÃO EXPLORAÇÃO INSTALAÇÃO COMANDO E CONTROLE

Os invasores determinam o
modo de envio de ameaças
para uma rede, como phishing
e watering holes utilizando
arquivos aparentemente
inofensivos como PDF. Já em
ataques direcionados, definem
entregáveis para capturar os
interesses específicos de um
indivíduo.
Ferramentas de segurança
como anti-malware,
sandboxing e filtragem de
URL ou proxies podem ajudar
a prevenir a transmissão, se
monitorarem e defenderem
contra todo o tráfego em
todas as portas.
Uma vez que os invasores
ganham acesso à uma
organização, ativam o código
de ataque no host da vítima e,
em última análise, assumem o
controle da máquina-alvo. Esta
ação abre a porta para que
se movimentem lateralmente
dentro da rede.
Ferramentas como
dispositivos IPS e agentes
de proteção de terminais
podem ser usadas para
bloquear a exploração. Além
disso, arquiteturas de rede
altamente segmentadas
também ajudam a limitar os
sistemas e dispositivos que os
ataques podem explorar.
Os invasores buscarão firmar
operações privilegiadas,
intensificar o acesso e
estabelecer a persistência
instalando seu próprio malware,
como um rootkit, na máquina
da vítima. Esta etapa somente é
aplicada se o malware for usado
no ataque. Em geral, o comando
e controle acontece durante a
instalação para baixar cargas
adicionais de uma página Web
ou servidor controlados pelo
invasor.
Agentes de proteção de
terminais, filtragem de URL
e tecnologia anti-malware
são usados para proteger os
dispositivos contra a instalação.
Os invasores estabelecem de
novo um canal de comando
através da Internet para um
servidor específico, a fim de
poderem comunicar e enviar ou
receber dados entre dispositivos
infectados e servidores
controlados pelos invasores.
O comando e controle ocorre
várias vezes durante um ataque,
frequentemente para buscar
cargas adicionais, receber novas
instruções do invasor por meio
da atualização do código e extrair
dados de uma organização.
Os serviços de reputação IP e
proteção DNS podem ajudar a
bloquear o tráfego de comando
e controle.

15 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 Sobre a Arcon
Atuando no mercado nacional desde 1995, a Arcon é especializada em cibersegurança com foco em serviços
gerenciados de segurança (MSS – Managed Security Services). Com um completo portfólio e sólidas parcerias
com os principais fabricantes do mundo, a empresa monitora e gerencia ambientes, mitiga os riscos e
previne incidentes em empresas de grande porte. A partir de seus SOCs, a Arcon processa +3 bilhões de
eventos por dia, protege mais de 600.000 ativos e possui inteligência de segurança única na América Latina.

É a única empresa de serviços gerenciados de segurança no ranking Exame PME 2016 das empresas que
mais crescem no Brasil. Nos últimos anos, firmou-se como líder no mercado brasileiro de MSS, tendo
conquistado, o primeiro lugar em MSS no ranking Anuário Outsourcing por 4 anos consecutivos.

www.arcon.com.br

16 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 Referências:
• “Magic Quadrant for Enterprise Network Firewalls “ – Gartner | Maio de 2016
• “10 coisas que seu próximo firewall deve fazer” – Palo Alto Networks
• “Segurança Cibernética: O guia definitivo para avaliar soluções” – Palo Alto Networks

17 | Next Generation Firewall . 10 aspectos que devem ser avaliados

 www.arcon.com.br

São Paulo Rio de Janeiro

Av. Ibirapuera, 2.332 | 5º andar | Torre 2 Av. Presidente Vargas, 3131 | 16º andar
04.028-002 . Moema 20.210-911 . Cidade Nova
Tel: 11 3525-1800 Tel: 21 3293-1000

Brasília
SCN Qd.02 Bl A | 5º andar
70.712-900 . Corporate Financial Center
Tel: 61 3329-6081

18 | Next Generation Firewall . 10 aspectos que devem ser avaliados