A infraestrutura herdada ainda é uma parte importante das empresas em muitos setores: nas organizações médicas que ainda usam o sistema Windows XP, nos bancos de dados Oracle executados nos antigos servidores do sistema operacional Solaris, em vários negócios. aplicativos que requerem o sistema Linux RHEL4 e caixas eletrônicos com versões do sistema Windows desatualizadas há dez anos. Até acontece que muitas organizações ainda usam servidores herdados nos sistemas Windows 2008.
A infraestrutura herdada é muito comum em data centers, especialmente em grandes empresas. Por exemplo, é possível ver com frequência como os computadores mais antigos que possuem o sistema operacional AIX executam operações críticas para processar grandes quantidades de dados de transações em bancos ou terminais, como caixas eletrônicos, dispositivos médicos e sistemas de terminais para compras neles sistemas operacionais usados com freqüência, cuja vida útil expirou há muito tempo. A atualização dos aplicativos usados nessa infraestrutura é um processo constante e difícil, que geralmente leva anos.
Sistemas legados inseguros comprometem seu data center
O risco para a organização associado à proteção inadequada dos sistemas legados é muito alto e vai além das cargas de trabalho desses sistemas. Por exemplo, um dispositivo sem patch executando o sistema Windows XP pode ser facilmente usado para obter acesso a qualquer data center. No início deste mês, recebemos um lembrete de um risco semelhante quando a Microsoft lançou uma atualização de segurança para uma séria vulnerabilidade do sistema que permitia a execução remota de código em sistemas operacionais mais antigos, como Windows XP e Windows Server 2003.
Se os invasores obtiverem acesso a uma máquina desprotegida (o que é muito mais fácil do que invadir um servidor moderno e bem corrigido), eles poderão obter acesso direto à rede usando movimentos laterais. À medida que os data centers se tornam mais complexos, expanda a possibilidade de usar servidores de armazenamento em nuvem acessíveis ao público e usar as tecnologias mais recentes, como “contêineres”, o risco de hackers aumenta. As interdependências entre diferentes aplicativos de negócios (herdados e não) estão se tornando mais complexas e dinâmicas, o que do ponto de vista da segurança dificulta o gerenciamento de modelos de tráfego. Isso dá aos atacantes mais liberdade para se moverem de maneira transparente por várias partes da infraestrutura.
Infraestrutura antiga, novo risco
Os sistemas legados estão conosco há anos, mas os riscos à segurança que eles representam estão aumentando constantemente. À medida que as organizações passam pelo processo de transformação digital, modernizam sua infraestrutura e data centers e passam para sistemas híbridos de armazenamento em nuvem, os atacantes terão mais oportunidades de obter acesso a aplicativos internos de missão crítica.
Um aplicativo de negócios instalado localmente em um sistema legado que já foi usado por apenas um pequeno número de outros aplicativos instalados localmente agora pode ser usado por um grande número de aplicativos locais e na nuvem. O uso de sistemas legados com um número crescente de aplicativos e ambientes está expandindo a área para possíveis hackers.
Portanto, a questão é: como podemos reduzir esse risco? Como mantemos a segurança dos componentes herdados, mas ainda críticos para os negócios, garantindo ao mesmo tempo que novos aplicativos possam ser implantados rapidamente na infraestrutura atual?
Identificação de riscos
O primeiro passo é identificar e quantificar corretamente o risco. Usar os sistemas de inventário existentes e o chamado "conhecimento tribal" provavelmente não é suficiente - você deve sempre se esforçar para obter uma visão completa, precisa e atual do seu ambiente. Para sistemas legados, obter as informações corretas pode ser uma tarefa particularmente difícil, pois o conhecimento desses sistemas em uma organização tende a diminuir com o tempo.
A equipe de segurança deve usar uma boa ferramenta de análise e visualização para fornecer um plano que responda às seguintes perguntas:
- Quais servidores e terminais estão executando sistemas operacionais herdados?
- A quais ambientes e aplicativos de negócios essas cargas de trabalho estão relacionadas?
- Como essas cargas de trabalho interagem com outros aplicativos e ambientes? Quais portas? Usando quais processos? Para que finalidade comercial?
Responder a essas perguntas importantes é o ponto de partida para diminuir os riscos à segurança. Eles mostram quais cargas de trabalho representam o maior risco para a organização, quais processos de negócios podem ser danificados durante um ataque de invasores e quais rotas de rede podem ser usadas pelos atacantes quando se deslocam de lado entre sistemas herdados e não herdados por meio de armazenamento em nuvem e data centers. Os usuários geralmente ficam surpresos ao ver fluxos inesperados de dados chegando às máquinas herdadas e quando os dados são enviados repentinamente, o que leva a mais perguntas sobre status e riscos de segurança.
Uma boa ferramenta de análise e visualização também ajudará a identificar e analisar sistemas que precisam ser movidos para outros ambientes. Mais importante, o mapa visual dos fluxos de informações permite planejar e usar facilmente uma política estrita para segmentar esses recursos. Uma política bem planejada reduz significativamente o risco a que essas máquinas mais antigas estão expostas.
Redução de Risco de Microssegmentação
A segmentação de rede é amplamente usada como uma maneira econômica de reduzir riscos em data centers e armazenamento em nuvem. Em particular, usando a microssegmentação, os usuários podem criar uma política de um sistema de segurança modular rígido, o que limita significativamente a capacidade de um invasor se mover lateralmente entre cargas de trabalho, aplicativos e ambientes.
Ao trabalhar com infraestrutura herdada, o valor de uma boa ferramenta para análise e microssegmentação se torna ainda mais claro. Métodos antigos de segmentação, como VLANs, são difíceis de explorar e geralmente colocam todos os sistemas legados semelhantes em um segmento, deixando todo o grupo aberto a ataques no caso de um único hack. Além disso, as regras de gateway entre VLANs herdadas e outras partes do data center são difíceis de manter, levando a políticas de autorização excessiva que aumentam o risco geral. Com a visualização adequada das cargas de trabalho herdadas e modernas, a equipe de segurança pode planejar uma política no nível do servidor que permita apenas fluxos específicos estreitos entre sistemas herdados, bem como entre ambientes herdados e mais modernos.
Os limites de cobertura são fundamentais
Ao escolher uma solução para microssegmentação, verifique se a solução escolhida pode ser usada facilmente em toda a sua infraestrutura, para cobrir todos os tipos de cargas de trabalho em data centers ou armazenamentos em nuvem. Ao segmentar aplicativos modernos, deixando sistemas legados sem supervisão, você está deixando um grande buraco na segurança de sua infraestrutura.
Pessoalmente, acredito que os provedores de segurança devem assumir a tarefa de cobrir toda a infraestrutura para poder ajudar seus clientes a lidar com essa ameaça crescente. Embora alguns fornecedores se concentrem apenas na infraestrutura moderna, recusando-se a oferecer suporte a sistemas operacionais antigos, acredito que plataformas de segurança boas e avançadas devem abranger todos os espectros de infra-estruturas.
Supere as dificuldades dos sistemas legados
Os sistemas herdados apresentam um problema único para as organizações: eles são críticos para os negócios, mas são mais difíceis de manter e não estão adequadamente protegidos. À medida que as organizações migram para o armazenamento em nuvem híbrida e ganham espaço para possíveis ataques, deve-se tomar um cuidado especial para proteger aplicativos herdados. Para fazer isso, a equipe de segurança deve identificar com precisão os servidores herdados, entender as interdependências com outros aplicativos e ambientes, controlar os riscos criando uma política de segmentação rígida. Os principais fornecedores de microssegmentação devem poder cobrir sistemas legados sem sacrificar qualquer outro tipo de infraestrutura. A plataforma Guardicore Centra oferece a capacidade de analisar, visualizar e microssegmentar toda a infraestrutura - antiga e nova, poupando o ônus de processar pontos cegos.