Entenda o porquê

com Rodrigo Larrabure

O uso de aplicações na nuvem (SaaS) traz uma série de benefícios, como simplicidade operacional, acesso a partir de qualquer lugar e dispositivo, agilidade na contratação e na implantação e custo variável de acordo com a demanda. Entretanto, traz também uma série de desafios para os times de segurança e governança. As organizações com equipes mais maduras já têm essa preocupação – mesmo que ainda não tenham encontrado a solução adequada –, mas a maioria ainda não acordou para estes novos riscos. As ferramentas e processos tradicionais de Governança, Visibilidade, Segurança de Dados e Proteção contra Ameaças não vão alcançar as aplicações consumidas no formato SaaS.

A possibilidade de acessar o Office 365 corporativo através do notebook, utilizando a rede wi-fi gratuita do aeroporto, traz um ganho de produtividade incontestável. Ao mesmo tempo, expõe o usuário ao roubo de credenciais com técnicas como man in the middle, clickjacking, DNS spoofing ou session hijacking. Ao conceder uma credencial de acesso ao ServiceNow para uma subcontratada receber e atualizar Ordens de Serviço, a empresa aumenta o risco de comprometimento do perímetro pelo compartilhamento voluntário de senhas, phishing, engenharia social e ataque de exploit a um SO desatualizado. O uso do DropBox como meio de armazenamento e compartilhamento de arquivos dentro de um departamento é simples, ágil e, segundo a crença popular, elimina a necessidade de um procedimento de backup. Ao mesmo tempo, permite que um usuário menos experiente exponha dados sensíveis ao criar, por engano, um compartilhamento público na internet.

Em um ambiente com aplicações sob o controle da corporação, estejam elas rodando em servidores locais ou hospedadas numa cloud pública, o administrador de segurança dispõe de muitos recursos para lidar com essas ameaças, que devem ser abordadas dentro de uma perspectiva que engloba tanto processos robustos e bem desenhados quanto recursos tecnológicos como NGFW, DNS Firewall, NAC, DLP, Virtual Patching, mecanismos avançados de AAA, campanhas de conscientização, rotinas de backup, cofres de senhas, gerenciamento e proteção do acesso aos bancos de dados, sandboxing e muitos outros.

Na aplicação fornecida através do modelo SaaS, por outro lado, o gestor de segurança fica limitado às opções fornecidas pelo provedor do serviço. Se algumas aplicações permitem habilitar duplo fator de autenticação com apenas um clique, outras demandam uma complexa integração com o AD. Enquanto todas criptografam os dados no trajeto entre a aplicação e o computador do usuário, poucas têm o recurso de armazenar os dados de forma encriptada – e muitas vezes isso é cobrado como um adicional. Muitas têm recursos para limitar o acesso aos dados através da definição de perfis ou outros tipos de política, mas talvez nenhuma disponha de dispositivos capazes de alertar caso algum uso indevido esteja sendo feito pelo próprio usuário que detém os direitos de administração da ferramenta.

Para lidar com a ausência e com a falta de uniformidade nos recursos de Segurança e Governança, surgiram diversas ferramentas especializadas, batizadas de CASB, sigla para Cloud Access Security Broker ou, numa tradução livre, Agente de Segurança para o Acesso à Nuvem.

Os CASBs surgiram às dezenas em 2011 e nos últimos anos o mercado começou a se consolidar. Muitas startups desapareceram ou foram compradas por outras empresas, e grandes fabricantes começaram a desenvolver ferramentas próprias, com diferentes graus de integração com seus sistemas legados.

O CASB atua como um gateway de acesso aos serviços SaaS, permitindo a aplicação de políticas centralizadas de segurança e controle, restringindo o vazamento de dados e provendo visibilidade.

Neste momento, estamos vendo uma convergência de 3 fatores: adoção massiva de aplicações SaaS, as primeiras ferramentas maduras de CASB se destacando e usuários cada vez mais conscientizados em relação à cibersegurança. Talvez isso explique por que o Gartner, que criou o termo CASB, tenha identificado esta como sendo a categoria de produtos de cibersegurança com crescimento mais rápido na história, prevendo que, até 2020, a tecnologia estará presente em 60% das grandes corporações.