[GTER] LGPD

Luiz Fernando Mizael Meier lfmmeier at gmail.com
Thu Jan 14 20:27:25 -03 2021 

Pessoal, Boa Noite!

Vou fazer um apanhado das questões de todos os colegas. Antes de tudo,
entendo o posicionamento de vocês quando olhamos somente como operadores de
tráfego/administradores de rede.

"como você define *tipo de tráfego*?

e o que vocẽ faz com isso? vale o esforço?"
- Quando digo tipo de tráfego, quero dizer a aplicação. Dentro das
tecnologias de NGFW hoje, o filtro de aplicação é uma engine separada
dentro do firewall, assim como antivírus, IPS, DLP e filtro de URL. Os
sensores de aplicação são um set de "aplicações" que se baseiam em várias
características para balizar e classificar aquele conteúdo. O seu firewall
vai se utilizar inteligência da base do fabricante, domínio, URL, porta e
características do payload para fazer este processo. É o proceso mais
oneroso da caixa, mas entendo que vale sim o esforço. Convido visitar
https://www.fortiguard.com/appcontrol e dar uma olhada. Existem outros
players, como Palo Alto, CheckPoint...
De novo, como isso me ajuda na prática?
a) Enriquece a qualidade do meu sensor de IPS. Se eu ignoro o que tem
dentro de um payload criptografado, simplemente por estar criptografado, a
chance de eu deixar passar uma ameaça é enorme, se eu só me basear no fato
do meu Squidão dizer que a URL é quente. Ela é, mas pode estar
comprometida, e acontece o tempo todo.
b) Me dá mais granularidade quanto ao nível de acesso que eu posso dar ao
meu usuário. Eu posso, por exemplo, deixar o Juquinha acessar o Facebook,
mas sem postar nada. Ou então deixar o Marketing usar o Facebook para suas
campanhas, mas sem deixar que ele curta outras páginas ou tenha a opção de
curtir um post (sim, chega-se nesse nível). Ou então, para quem trabalha
com isso, sabe o sofrimento que é fechar um Gmail da vida sem quebrar
outras aplicações do Google. Ou, pra terminar, posso definir qual é o
tenant do meu Office 365 (e não o hotmail pessoal dele) ao qual o meu
usuário pode se conectar.
É fato que filtro somente por URL não atende mais.
c) Me dá mais visibilidade para saber onde minha banda está sendo mais
utilizada.
d) Me protege de tentativas maliciosas através de portas conhecidas. O cara
pode tentar subir um servidor na porta 53, mas se o tráfego que passar ali
não for "comportalmentalmente" DNS, posso prevenir. Isso é controle de
aplicação também (sem inspeção de SSL), mas usa a mesma engine. Imagine o
mesmo caso para SSH: atacante sobe um servidor SSH na porta 80 em casa
porque sabe que é comum uma empresa ter alguém com acesso full ou
privilegiado (ou comprometeu e levantou esse servidor dentro de um
fornecedor quente). Seu controle por porta/protocolo/destino, nem vai ver
que o tráfego não é HTTP.

"
Essa obsessão por controle me parece mais procrastinação tecnológica, que
desperdiça tempo e recursos para acumular Big Data que nunca será
convertido em valor. Ainda há o agravante do se tornou quase uma teologia:
"o fim justifica os meios""
- Eu me permito discordar, porque com o que você chama de "acúmulo de Big
Data", consigo ver como o cara está usando o tráfego. O endereço é do ASN
XPTO? Legal, mas qual em qual produto? Download? Upload? Post? Like?


"E traz métricas muito mais relevantes.
Se um "colaborador" estiver fazendo uploads muito fora do esperado para um
ASN desconhecido, isso vai alarmar bem antes de uma "inspeção" (que ninguém
explicou como se faz o processamento dessa massa de dados)."
- Marco, a massa de dados é o menor dos benefícios. O intuito é proteção.

Att,

Luiz

Em ter., 12 de jan. de 2021 às 16:41, Marco <marcodefreitas at gmail.com>
escreveu:

> Informações relevantes são obtidas sem infringir o artigo 154-A:
> um Flow classifica o tráfego por ASN, por origem, protocolo, porta, tráfego
> etc.;
> melhor ainda com IPv6;
>
> Talvez seja apenas o velho martelo tratando todos os problemas como pregos.
>
>
> Em seg., 11 de jan. de 2021 às 12:06, Luiz Fernando Mizael Meier <
> lfmmeier at gmail.com> escreveu:
>
> > Danton,
> >
> > Em uma das minhas primeiras mensagens eu explicitei o uso da inspeção
> SSL.
> > Não se trata somente de ter logs ou ficar lendo (alguém faz isso?) o que
> o
> > usuário está fazendo.
> >
> > Hoje, a inspeção SSL é importante ferramenta para análise e controle de
> > tráfego. Através dela você consegue classificar, por aplicação, o tipo de
> > tráfego, mesmo todos sendo via HTTPS.
> >
> > Isso pra citar somente um dos usos.
> >
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list