O Poder do Proxy: Lidando com a ameaça do e-mail (de saída)

Uma estatística recente (tipo, bem recente) diz que 80% dos e-mails recebidos são lixo eletrônico. Isso se baseia em evidências anedóticas de observar minhas pastas de "lixo eletrônico" e "spam" encherem muito mais rápido do que os e-mails válidos que ficam na minha caixa de entrada, então não tenho certeza se você quer citar isso como absoluto, mas aposto que a maioria das pessoas estimaria a mesma porcentagem de lixo eletrônico válido em suas próprias caixas de entrada.

Entre o lixo eletrônico, invariavelmente, reside uma parcela menor de e-mails maliciosos. O tipo que nada mais é do que uma tentativa de phishing para enviar um vírus ou me coagir a compartilhar minhas credenciais com eles. Menor, porque nós (como o Nós corporativo), como a maioria das organizações, aproveitamos os serviços de mitigação de SPAM. Essa é uma estatística real, do nosso relatório State of Application Delivery, a propósito.

Parece, então, que entre a tecnologia e a educação incansável das equipes de segurança, o e-mail é muito mais seguro do que a maioria dos aplicativos colaborativos.

Exceto quando não é.

Foi exatamente isso que a CloudLock descobriu recentemente em seu Relatório de Segurança Cibernética do 3º trimestre , entre outras informações interessantes. O que realmente me chamou a atenção foi a informação sobre “compartilhamento” de e-mail. A CloudLock descobriu que as organizações colaboram, em média, com 865 partes externas. Apenas 25 deles são responsáveis por 75% do compartilhamento baseado em nuvem por organização. Mas 70% do compartilhamento ocorre com endereços de e-mail não corporativos sobre os quais as equipes de segurança têm pouco controle. 

Em outras palavras, o e-mail de saída é um risco real para a segurança corporativa. Não necessariamente porque todos que compartilham dados corporativos com um endereço de e-mail externo e não corporativo têm intenções maliciosas, mas por causa dos riscos desconhecidos associados ao armazenamento desses dados fora das instalações. Está criptografado? Provavelmente não. Ele está protegido contra varreduras e olhares curiosos de funcionários do provedor de e-mail? Provavelmente não.

E, no entanto, como aponta a CloudLock, as equipes de segurança têm pouco controle sobre esse tipo de atividade.

Embora isso seja verdade, há alguém que talvez tenha controle (ou a capacidade de controlar) esse tipo de atividade: a equipe de rede.

Vamos supor por um momento que seu sistema de e-mail corporativo esteja no local. Embora muitos não o sejam hoje, ainda há muitos outros que o são, devido a regulamentações e esforços de conformidade que simplesmente não podem ser aplicados adequadamente fora do local. Então, todos usam um serviço que está no seu data center, na sua rede e sob seu controle.

É aqui que um proxy programável pode fornecer o controle (oferecendo visibilidade) que você precisa para interromper (se esse for seu desejo) o compartilhamento de dados corporativos com endereços de e-mail não corporativos.

Veja, um proxy reverso fica na frente de um serviço. Normalmente é um servidor web e o proxy está fornecendo serviços de balanceamento de carga. Nesse caso, o proxy ficará na frente do seu serviço SMTP (como o Exchange) e fornecerá um serviço de limpeza de saída. Como isso acontece, você pergunta? Inspecionando cada “ENVIO” e determinando se o destino é “corporativo” ou não, e se contém alguns dados confidenciais.

Acredite em mim, a primeira opção é mais fácil que a segunda. SMTP é um protocolo bem conhecido e amplamente descrito. A programabilidade do caminho de dados oferece a capacidade de analisar esse protocolo e determinar facilmente o que é "corporativo" e o que é "não corporativo" . Afinal, você conhece os domínios para os quais gerencia e-mails. Essas são corporativas. Algo mais? Não corporativo.

Descobrir se anexos ou dados incorporados podem conter informações ou dados confidenciais (ou arriscados) é um pouco mais complicado. Mas, vendo que você tem acesso a toda a carga útil – incluindo anexos – você pode começar usando as mesmas técnicas usadas por firewalls de aplicativos da web para “escanear e limpar” dados confidenciais provenientes de aplicativos. Você também pode usar o nome do arquivo do anexo como uma pista. Talvez você simplesmente bloqueie qualquer coisa que seja um .zip ou um .xls. Você pode permitir o compartilhamento válido com endereços de e-mail não corporativos, permitindo aqueles que podem enviar para endereços não corporativos ou uma lista de endereços não corporativos aprovados que podem receber.

Basicamente, depende de você. Quão rigorosamente você deseja controlar esse possível vazamento de informações? Quão importante é abordar essa ameaça específica?

O poder do proxy (programável) é praticamente infinito porque, quando você combina a visibilidade com o código, você obtém opções. Você pode implementar soluções exclusivas para problemas que surgem sem precisar depender de novos softwares ou soluções que introduzam desafios arquitetônicos e operacionais adicionais. É por isso que você precisa de um proxy de aplicativo moderno com programabilidade, desempenho e (suporte para muitos) protocolos; porque visibilidade + programabilidade = vitória.