Segurança cibernética para provedores de serviços de comunicações
Tráfego de rede de alto desempenho
Os provedores de serviços de comunicação (CSPs) enfrentam um desafio difícil para proteger suas redes. As redes de telecomunicações são distribuídas globalmente e diversificadas, abrangendo centro de dados locais, implantações de nuvem pública e privada e locais de varejo tradicionais. Esses locais geralmente incluem redes sem fio para convidados e dispositivos de Internet das Coisas (IoT) conectados à rede de longa distância (WAN) da empresa.
Para um CSP, a segurança cibernética é uma preocupação primordial. Todo o tráfego de clientes passa pelos centro de dados da organização, tornando-os um alvo principal para ataques. Os sistemas de ponto de venda (POS) em suas lojas físicas também são comumente alvo de criminosos cibernéticos. Os CSPs não devem apenas proteger os dados confidenciais confiados a eles de acordo com os padrões aplicáveis, como o PCI DSS (Payment Card Industry Data Security Standard) e a SSF (PCI Software Security Framework), mas também proteger contra ataques criados para degradar os serviços que fornecem aos seus clientes. Para isso, é necessário ter visibilidade centralizada e proteção de segurança abrangente que não afete negativamente o desempenho da rede e a experiência do cliente.
A rede da sede de um provedor de serviços de comunicação (CSP) é essencial para suas operações e contém grandes quantidades de informações confidenciais. As informações de cartão de pagamento e faturamento coletadas dos clientes passam e são armazenadas nesta rede. O tráfego dos clientes é roteado e processado nos centro de dados corporativos, fornecendo uma riqueza de dados valiosos para qualquer invasor capaz de obter acesso. A empresa deve ser capaz de proteger todos esses dados e manter a conformidade com os regulamentos aplicáveis.
No entanto, a exposição a ameaças cibernéticas de um CSP não se limita ao roubo de dados. Um ataque distribuído de negação de serviço (DDoS) ou uma infecção por ransomware poderia derrubar serviços críticos off-line. Ao fazer isso, um invasor que comprometeu a rede corporativa pode explorar e usar incorretamente dispositivos de monitoramento conectados à internet na rede.
A inovação digital leva muitos CSPs a expandir suas WANs para incluir nuvens públicas e privadas, além dos centro de dados corporativos existentes. A proteção de um ambiente de rede heterogêneo requer uma solução de segurança cibernética totalmente integrada e abrangente. O FortiManager, o FortiSIEM e o FortiAnalyzer permitem que as equipes de segurança obtenham visibilidade e controle centralizados em toda a rede e executem relatórios de conformidade com facilidade. O FortiClient e o FortiEDR (detecção e resposta de endpoint) fornecem soluções de segurança de endpoint integradas e avançadas para estações de trabalho de funcionários e sistemas de ponto de venda (POS). O FortiWeb e o FortiNAC fornecem segurança de site e identificação automática e varredura de vulnerabilidade de dispositivos de Internet das Coisas (IoT) conectados à rede, com o FortiAuthenticator simplificando o gerenciamento de identidade.
Para CSPs, as soluções da Fortinet facilitam a carga de proteger redes complexas e distribuídas com recursos como:
O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é uma grande preocupação para provedores de serviços de comunicação (CSPs). Com os pontos de venda espalhados pelo país, é complexo rastrear e proteger os dados dos cartões de pagamento dos consumidores. Após o lançamento da próxima Estrutura de Segurança de Software (SSF) do PCI, esses requisitos serão mais fortemente aplicados, e a complexidade de alcançar e manter a conformidade crescerá.
Alcançar e manter a conformidade requer uma abordagem integrada e intencional para a conformidade. Muitas organizações tentam implementar controles de segurança especificamente para atender aos requisitos regulatórios. Isso muitas vezes resulta em uma confusão de soluções de segurança de ponto sem estrutura subjacente, o que fornece pouco ou nenhum benefício real de segurança.
À medida que a rede de lojas de varejo de uma empresa se expande e os requisitos de PCI se tornam mais complexos, torna-se cada vez mais difícil alcançar a visibilidade em toda a rede e o gerenciamento centralizado necessário para manter e demonstrar a conformidade regulatória. As iniciativas de inovação digital aumentam a carga sobre as equipes de TI e segurança à medida que novos dispositivos são adicionados à rede e a presença digital da empresa se expande para a nuvem. Isso é ainda mais exacerbado com o crescimento da computação em nuvem, onde as organizações são obrigadas a proteger e controlar adequadamente o acesso a dados protegidos processados e armazenados na infraestrutura de nuvem, que não está sob seu controle total.
Com o Fortinet Security Fabric, os CSPs podem obter a visibilidade e o controle centralizados necessários para PCI DSS/SSF e outras áreas de conformidade. O Security Fabric inclui 12 conectores Fabric e mais de 135 interfaces de programação de aplicativos (APIs) do Fabric para integração pronta para uso com soluções de terceiros. Um ecossistema de API aberto, colaboração com mais de 30 organizações de compartilhamento de ameaças e integração com mais de 100 produtos de fornecedores terceirizados permitem integração sem dor e gerenciamento centralizado de qualquer solução de segurança.
A integração de segurança fornecida pelo Fortinet Security Fabric fornece uma variedade de soluções focadas em conformidade para CSPs, como:
As filiais dos provedores de serviços de comunicação (CSPs) precisam de acesso a conectividade de rede rápida, confiável e escalável. Frequentemente, os locais de varejo devem realizar solução de problemas e reparos para seus clientes, o que exige que eles tenham acesso rápido aos dados do cliente e a capacidade de realizar testes de diagnóstico que precisam de uma conexão de rede estável e confiável.
Implantar essa conectividade por meio de linhas tradicionais de comutação de rótulos multiprotocolo (MPLS) é uma solução cara e inflexível. Em comparação, a rede de longa distância definida por software (SD-WAN) fornece as garantias de confiabilidade do MPLS, mas opera por uma conexão de banda larga. Ao otimizar o uso de várias mídias de transporte, a SD-WAN oferece velocidades de conexão mais rápidas com um custo total de propriedade (TCO) mais baixo. A otimização da infraestrutura de rede melhora o desempenho da rede e diminui a carga no centro de dados corporativo, aumentando a eficiência operacional. Isso permite que os CSPs cumpram seus acordos de nível de serviço (SLAs), minimizando as despesas operacionais (OpEx).
Uma consideração ao implantar a SD-WAN é que ela requer disposições de segurança adicionais. Para aproveitar ao máximo os recursos do SD-WAN, é necessário implantar segurança na borda da rede que resulta em vários produtos pontuais. Isso é desnecessário com o Fortinet Secure SD-WAN, uma solução de SD-WAN diferente de outras soluções no mercado, que oferece uma solução completa para SD-WAN que inclui proteção robusta contra ameaças de SD-WAN. O firewall de próxima geração (NGFW) integrado fornece controles de segurança para a Camada 3 a Camada 7 e desempenho líder do setor em um dispositivo com o primeiro chip ASIC (circuito integrado específico do aplicativo) SD-WAN do setor. O dispositivo Fortinet Secure SD-WAN também inclui um sistema integrado de prevenção de intrusão (IPS), fornecendo inspeção completa do tráfego na filial. Isso permite que o tráfego seja roteado diretamente para seu destino, melhorando o desempenho da rede, especialmente do tráfego na nuvem, sem sacrificar a segurança.
O Fortinet Secure SD-Branch estabelece as bases para estender a segurança da localização de filiais com o Fortinet SD-Branch. O Fortinet SD-Branch centraliza a visibilidade e o gerenciamento da infraestrutura de segurança nas filiais, desde a Internet até a camada de comutação. Isso aumenta a eficiência das operações de segurança, simplifica a aplicação do controle de segurança e a coleta de dados para atividades de conformidade e melhora a visibilidade e a segurança da WAN corporativa. Isso permite que os CSPs diminuam a sobrecarga e otimizem o OpEx. Parte do Fortinet SD-Branch, os pontos de acesso sem fio FortiAP fornecem conectividade de rede segura e de alto desempenho para redes de negócios e de convidados, enquanto o FortiNAC fornece identificação automatizada e controle de acesso para todos os dispositivos que se conectam à rede.
Com a conectividade de rede confiável e segura fornecida pelo Fortinet Secure SD-WAN, as filiais também podem implantar Voz sobre IP (VoIP) no lugar de um serviço de telefone separado sem preocupações com o consumo de largura de banda, disponibilidade ou qualidade de experiência. Aqui, o FortiVoice oferece uma solução VoIP facilmente configurada e flexível que pode ser isolada de outras redes Wi-Fi comerciais e públicas usando os recursos de comutação e controle de acesso integrados ao Fortinet SD-Branch. Para garantir a conectividade no caso de uma interrupção da rede, o FortiExtender oferece uma solução de backup 3G/4G/LTE/5G.
Ao selecionar uma solução de rede, os CSPs exigem uma solução que lhes permita atender aos seus parâmetros de desempenho e segurança, fornecendo recursos como:
O Fortinet SD-Branch permite que os CSPs expandam sua visibilidade e gerenciamento de segurança centralizados para filiais com recursos como:
Os provedores de serviços de comunicação (CSPs) são um alvo comum para ataques de malware. Uma base na rede de um CSP é usada para espalhar malware para seus clientes, aproveitando seu relacionamento de confiança. Os CSPs precisam ser capazes de detectar e bloquear malwares que operam em suas redes. No entanto, de acordo com a análise realizada pelo FortiGuard Labs, 40% do novo malware detectado a cada dia é de dia zero ou anteriormente desconhecido.
A proteção avançada contra ameaças requer uma defesa multicamadas, incluindo recursos como:
Usando dados derivados da análise de mais de 10 bilhões de eventos de segurança por dia, o FortiGuard Labs coleta, analisa e classifica rapidamente ameaças com um grau extremamente alto de precisão. Ele utiliza IA e ML para gravar assinaturas de malware e publicá-las em toda a Fortinet Security Fabric. A integração fornecida pelo Fortinet Security Fabric em toda a rede da organização também permite que as equipes de segurança aproveitem o que há de mais recente em orquestração, automação e resposta de segurança (SOAR).
As redes amplamente distribuídas de CSPs oferecem muitas possibilidades de ameaças desconhecidas para obter acesso, incluindo Wi-Fi público, dispositivos móveis e dispositivos conectados de Internet das Coisas (IoT). Qualquer conteúdo suspeito detectado por um firewall de próxima geração (NGFW) do FortiGate é encaminhado para o FortiSandbox para quarentena e inspeção, incluindo a descriptografia de conteúdo de camada de soquetes seguros (SSL)/segurança de camada de transporte (TLS), antes de chegar à rede. A inteligência de ameaças gerada pelo FortiSandbox é compartilhada com outros elementos de segurança por meio do Fortinet Security Fabric. A proteção avançada de endpoint do FortiEDR (detecção e resposta de endpoint) fornece proteção avançada de endpoint — com uma pegada leve — com garantias de alta disponibilidade, tornando-o capaz de proteger até mesmo sistemas críticos para os negócios.
É claro que as ameaças cibernéticas não se limitam a atacantes externos. Usando o FortiDeceptor, uma organização pode identificar pessoas maliciosas ou atacantes que obtiveram acesso à rede. Os recursos de análise de comportamento de usuário e entidade (UEBA) do FortiInsight ajudam a identificar comportamento anômalo, não compatível ou suspeito por endpoints ou usuários que podem ameaçar o negócio.
As organizações estão cada vez mais adotando serviços em nuvem para armazenamento de dados críticos para os negócios e aplicativos, e esses recursos exigem segurança robusta. Embora a maioria dos provedores de serviços em nuvem ofereça configurações de segurança integradas, elas geralmente são configuradas incorretamente pelas organizações, deixando dados confidenciais vulneráveis a vazamentos. Uma causa comum disso são mal-entendidos do modelo de responsabilidade compartilhada na nuvem, que descreve as responsabilidades de segurança atribuídas ao provedor de serviços em nuvem, ao cliente e o que é compartilhado entre eles.
Alcançar visibilidade centralizada e gerenciamento de configuração de segurança consistente também é complexo na nuvem, com cada fornecedor de nuvem oferecendo diferentes interfaces e controles de segurança integrados. Proteger a nuvem requer visibilidade centralizada em implantações locais e em nuvem e soluções de segurança que são projetadas para fornecer segurança consistente e gerenciamento de políticas para aplicativos baseados em nuvem em ambientes multinuvem.
O primeiro passo para proteger uma rede multinuvem requer visibilidade em toda a rede e gerenciamento de configuração centralizado. O Fortinet Security Fabric integra-se nativamente com os principais provedores de nuvem e mais de 250 soluções de segurança de terceiros. Isso permite que ele destrua os silos entre diferentes implantações na nuvem, oferecendo visibilidade centralizada e aplicação de políticas de segurança em toda a rede. Esse controle centralizado torna desnecessário que as equipes de segurança definam manualmente as configurações de segurança oferecidas por cada provedor de serviços em nuvem.
Uma vez que a visibilidade total da implantação da nuvem de uma organização tenha sido alcançada, a próxima etapa é proteger aplicativos baseados em nuvem. Muitos regulamentos, como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), exigem um firewall de aplicativo web (WAF). De acordo com o Requisito 6.6 do PCI DSS, um WAF é necessário em ambientes DevOps, a menos que uma organização realize uma revisão completa do código em cada modificação em um aplicativo.
O WAF, como resultado, é uma parte vital da implantação de segurança em nuvem de uma empresa. O FortiWeb WAF está disponível como um dispositivo físico, uma máquina virtual (VM) ou como uma oferta de Software como Serviço (SaaS) para proteção nativa da nuvem dos sites, portais de pagamento e interfaces de programação de aplicativos da web (APIs) da organização.
As organizações também devem gerenciar o acesso às suas implantações de nuvem como um todo. O FortiCASB e o FortiCWP fornecem controle de acesso nativo da nuvem e proteção da carga de trabalho, simplificando a visibilidade e o gerenciamento de segurança em implantações multinuvem. Finalmente, Firewall de próxima geração (NGFW) FortiGate) estão disponíveis em um formato de infraestrutura como serviço (IaaS) nativo da nuvem, oferecendo segurança escalável para qualquer ambiente de implantação.
Aplicativos e armazenamento de dados não são os únicos ativos baseados em nuvem que uma organização precisa proteger. As organizações estão cada vez mais aproveitando as soluções de e-mail SaaS baseadas na nuvem, como Google Mail ou Microsoft Office 365. O FortiMail permite que uma organização proteja implantações de e-mail SaaS e no local com o mesmo gateway de e-mail.
Em resumo, as soluções de segurança em nuvem adaptável da Fortinet incluem os recursos necessários para proteger até mesmo ambientes multinuvem, como:
Os clientes esperam alto desempenho das redes do CSP, quer estejam usando acesso sem fio na loja em um local de varejo ou esperando que seu tráfego seja roteado através do centro de dados corporativo. Se a tecnologia de segurança diminuir o desempenho da rede, isso afetará negativamente a experiência do cliente.
Proteger a vasta rede de um CSP requer vários elementos de segurança diferentes. Se essas soluções de segurança não estiverem integradas, os fluxos de trabalho de segurança devem ser gerenciados manualmente. Essas ineficiências operacionais retardam a detecção, prevenção e resposta a ameaças, criam redundância e aumentam os custos de despesas operacionais (OpEx).
Os CSPs têm redes diversas, incluindo centro de dados no local, implantações em nuvem e locais de varejo com sistemas de ponto de venda (POS) conectados à internet. Proteger essas redes heterogêneas requer visibilidade em toda a rede. No entanto, os produtos de segurança de pontos implantados para proteger contra ataques sofisticados e multifacetados criam silos que prejudicam a visibilidade.
Os centro de dados da CSP e os dispositivos de PDV implantados em seus locais de varejo são um alvo atrativo para criminosos cibernéticos. Roubo dos dados nesses dispositivos ou negação de acesso a serviços críticos por meio de ataques distribuídos de negação de serviço (DDoS) ou ataques de ransomware negam acesso a sistemas críticos, o que pode prejudicar a capacidade de um CSP de cumprir contratos de nível de serviço (SLAs). E à medida que a inovação digital cria novos vetores de ataque, incluindo redes sem fio de convidados em locais de varejo e implantação de dispositivos IoT, a proteção contra essas ameaças se torna cada vez mais difícil.
Os CSPs coletam cartões de pagamento e outros dados confidenciais dos clientes, tanto em lojas físicas quanto por meio de portais on-line. Esses dados confidenciais são armazenados e processados em toda a rede da organização, tanto em centro de dados locais quanto em nuvens públicas e privadas, incluindo aplicativos de Software como Serviço (SaaS). Proteger esses dados de acordo com os padrões regulatórios, como o PCI DSS, torna-se mais desafiador à medida que a rede da organização cresce em complexidade.
Os CSPs têm uma série de escritórios remotos que processam dados confidenciais do usuário ao integrar clientes e solucionar problemas. Essas filiais podem ser um alvo para os invasores que tentam obter acesso a dados confidenciais ou usá-los como um ponto de partida para o acesso à rede da sede.
O Fortinet Security Fabric, que oferece integração pronta para uso com mais de 250 soluções de segurança de terceiros, permite que os CSPs obtenham visibilidade e gerenciamento de configuração em um único painel para elementos de segurança em toda a rede. Isso permite a aplicação consistente de políticas de segurança, mesmo em ambientes de nuvem, enquanto acelera a detecção e a resposta a ameaças. A integração rigorosa permite que os CSPs minimizem as despesas operacionais (OpEx) enquanto atendem aos SLAs.
As soluções da Fortinet permitem o que há de mais recente em recursos de orquestração, automação e resposta de segurança (SOAR). Isso fortalece a segurança de um CSP em toda a empresa e permite que essas empresas dimensionem e abordem as restrições de recursos, maximizando a eficácia do pessoal qualificado disponível. O gerenciamento centralizado de segurança permite a aplicação de políticas em toda a rede e a geração automatizada de relatórios para reguladores, C-suite e o conselho.
A inteligência de ameaças gerada por inteligência artificial (IA) e aprendizado de máquina (ML) no FortiGuard Labs é comunicada aos dispositivos de segurança em tempo real por meio do Fortinet Security Fabric. Isso fornece proteção abrangente contra ameaças conhecidas e desconhecidas em toda a rede, desde os sistemas de PDV de uma organização até sua infraestrutura baseada em nuvem.
Os Firewall de próxima geração (NGFW) FortiGate com testes de desempenho comprovados pelo NSS Labs, oferecem a menor latência do setor. O circuito integrado específico de aplicativo (ASIC) personalizado altamente eficiente do FortiGate, bem como o primeiro ASIC de rede de área ampla (SD-WAN) definido por software do mundo, permite que a Fortinet forneça segurança de alto desempenho na borda da WAN e em toda a rede. Além disso, ativar recursos avançados como inspeção de criptografia de camada de soquetes seguros/segurança de camada de transporte (SSL/TLS) não afeta o desempenho da rede em velocidade ou taxa de transferência. Além disso, a série FortiGate VM suporta tecnologias de aceleração de pacotes, como o kit de desenvolvimento de plano de dados (DPDK), virtualização de entrada/saída de raiz única (SR-IOV) e a tecnologia Intel QuickAssist (QAT), juntamente com a tecnologia de unidade de processamento de segurança virtual (vSPU) da Fortinet, para fornecer o melhor desempenho necessário nos centro de dados dos CSPs, seja no local ou em uma nuvem privada ou pública.