O proxy é um componente-chave para o futuro da segurança
À medida que avançamos em direção à terceira fase da transformação digital , a coleta e a análise de dados e telemetria de cada ponto do caminho do código até o aplicativo do cliente são essenciais. As empresas dependem muito de análises com aprendizado de máquina que fornecem todos os tipos de dados, como padrões de uso do consumidor, rastreamento de estoque e variações sazonais que melhoram o desempenho, criam eficiências e aumentam a vantagem competitiva. Ao mesmo tempo, o aprendizado de máquina também é essencial para combater as ameaças avançadas de segurança que as empresas enfrentam hoje e continuarão a enfrentar no futuro.
No entanto, ainda há um debate sobre arquitetura de segurança essencial para a compreensão do valor do aprendizado de máquina: filtragem de pacotes ou proxy? Esse debate estava acontecendo há quase vinte anos, quando eu era estagiário no grupo de inovação em segurança no Gabinete do CTO da Cisco, e continua até hoje.
No início, a filtragem de pacotes de rede parecia vencer devido ao foco em velocidades e feeds. As abordagens de filtragem de pacotes operam em pacotes individuais, o que no passado muitas vezes as tornava mais rápidas do que seus primos proxy orientados à conexão. Soluções de segurança construídas em abordagens de filtragem de pacotes evoluíram para mecanismos mais stateful, tornando-se "conscientes de aplicativos", colocando um foco maior em aplicativos e identidade. Ainda assim, a proposta de valor central da segurança baseada em filtragem de pacotes dependia muito da inspeção de pacotes individuais em alta velocidade.
Eventualmente, no entanto, os proxies programáveis ‘fluentes em aplicações’ evoluíram para fornecer valor que eclipsou as vantagens iniciais da filtragem de pacotes. A chave para esse valor é dupla: Primeiro, os proxies fornecem visibilidade em cada interação – do usuário ao aplicativo, da rede ao aplicativo e em todos os fluxos lógicos de negócios, o que permite detectar ataques avançados. E segundo, um proxy programável pode injetar código, enriquecer cabeçalhos e inserir dados de rastreamento para instrumentar dinamicamente clientes e aplicativos. Em outras palavras, a inspeção não era mais suficiente – os proxies fornecem a capacidade crítica de instrumentar interações com a amplitude e a profundidade de dados necessárias para descobrir padrões e produzir insights de segurança acionáveis.
O poder da inspeção e instrumentação
Ainda há claramente uma necessidade de filtrar o tráfego ruim e concentrar as capacidades de inspeção no tráfego bom. Isso dá às organizações a capacidade de ir tanto de forma ampla quanto profunda, com uma arquitetura que se alinha com uma abordagem de design de "confiança zero" ao conectar a identidade do usuário com outras políticas de controle de acesso.
Além disso, a sofisticação dos ataques ultrapassou os ataques rudimentares detectados com uma análise de "ponto no tempo" de uma conexão com um único dispositivo em linha, como um WAF. A detecção e mitigação de ataques avançados exigem correlação de múltiplos sinais ou pontos de dados ao longo de um período de tempo em todo o caminho de dados.
O futuro da segurança depende da telemetria, que é mais do que pontos de dados técnicos selecionados de pacotes. Requer uma visão holística das interações, do cliente à aplicação e ao comportamento. O aprendizado de máquina requer enormes quantidades de dados para estabelecer e reconhecer padrões. É por isso que os proxies programáveis são uma parte tão crítica de uma abordagem de segurança avançada. Os dados de alta fidelidade recebidos da instrumentação garantem dados ricos que permitem proteção contra – e até mesmo previsão de – ataques a aplicativos.
No final das contas, as empresas terão muita dificuldade em perceber as melhorias de desempenho, eficiências e vantagens competitivas que podem advir do aprendizado de máquina se estiverem constantemente combatendo ataques avançados usando metade das ferramentas disponíveis.