X

Precisa de computação em nuvem? Comece agora mesmo

Logotipo da Akamai
+1-8774252624
+1-8774252624
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem
Experimente a Akamai
Você está sob ataque?
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem

Como a CMC Markets mitiga os ataques de dia zero

Altamente regulamentada com clientes online globalmente, a CMC Markets usa uma abordagem exclusiva para ataques de dia zero

Quando sua empresa contém elementos de serviços financeiros, varejo e jogos, você precisa de uma abordagem ágil para a segurança que combine recursos internos e soluções de terceiros. A empresa de comércio online CMC Markets não é exceção.

Em uma conversa recente com a Akamai, Philip Yeo, diretor de segurança na CMC Markets, explicou como a empresa combina vigilância ininterrupta com reações ultrarrápidas quando ocorre um incidente de dia zero. 

Ele também fala sobre o papel que a Akamai desempenha na proteção das empresas e como os reguladores e as seguradoras estão respondendo à ameaça contínua de ataques de dia zero.  

Para ler a conversa completa, consulte a transcrição abaixo.

Natalie Billingham: Estou muito feliz por ter a companhia de Phil Yeo, responsável pela segurança na CMC Markets. Phil, você quer se apresentar e nos contar um pouco mais sobre o que você faz?

Philip Yeo: Claro, obrigado. Sou Chefe de Segurança na CMC Markets. Somos uma empresa global de comércio de varejo online. Em relação à segurança, somos um pouco parecidos com o varejo, porque temos muitos usuários finais que acessam nossos serviços de vários tipos diferentes de dispositivos. Somos também um pouco parecidos com as fintechs porque somos regulamentados como empresas de serviços financeiros. E somos um pouco parecidos com os jogos, no sentido de que muita interação dos nossos usuários é muito sensível ao tempo. Uma queda da conexão ou desconexão resultaria em uma experiência insatisfatória. 

NB: Como você começou sua jornada na Akamai?

PY: A CMC Markets já existe há algum tempo e desenvolveu sua tecnologia, plataforma e produtos no Reino Unido. Agora temos clientes de muitos países na Ásia e na Europa, bem como na Austrália e no Canadá. Esses clientes querem streaming e gráficos de preços em tempo real e a capacidade de fazer negociações intradiárias. A qualidade da conexão e o desempenho geral são realmente importantes para nós.

Tivemos uma implementação inicial de uma CDN (Rede de Entrega de Conteúdo) de outro fornecedor que não correu bem. Mas aprendemos que não queremos lidar com redes de edge nós mesmos. A Akamai também se juntou a nós em um momento em que estávamos construindo nossas tecnologias WAF. As vulnerabilidades de DDoS e de DNS (Sistema de Nomes de Domínio) também estavam nos meus planos. Quando analisamos a Akamai, vimos que poderíamos obter a plataforma de entrega de conteúdo, o data center, a proteção contra DDoS, o Site Shield e o WAF como um serviço gerenciado. Foi realmente uma escolha óbvia.

Para começar, nos concentramos em proteger alguns produtos destinados aos mercados do Reino Unido e da Austrália. Mas da forma como o contrato funcionou, depois que realizamos as partes complicadas, pudemos fazer com que a camada de segurança da Akamai protegesse tudo. Fizemos com que nossa política padrão fosse que tudo que a Internet e o público enfrentassem estivesse por trás da Akamai. 

O pessoal da Web, de marketing e de SEO não teve problemas porque nosso desempenho foi mais consistente e houve uma redução nas reclamações dos nossos clientes internos. Essa é a melhor coisa do ponto de vista da segurança interna. Quando o pessoal de marketing e o pessoal de produtos não reclamam da segurança, é uma vitória!  

O departamento de Serviços gerenciados da Akamai também nos ajudou a chegar lá. Durante os ajustes mensais, eles mostraram um entendimento claro do nosso perfil de risco. Especialmente ao nos ajudar a evitar falsos positivos, o que pode ser um grande problema se você acabar bloqueando um cliente idôneo e de alto valor. 

NB: Quando você pensa em outros desafios de cibersegurança enfrentados pelo setor financeiro, quais são as coisas que vêm à mente?

PY: Há tantas coisas que podem dar errado. A ameaça de ransomware é real. Estamos tentando impedir que as pessoas vítimas de phishing e de malware entrem no nosso ambiente. Então a pressão regulatória está sempre presente, e o regime de auditoria parece meio ininterrupto. 

NB: Há algumas pressões especialmente rigorosas enfrentadas no mundo dos serviços financeiros. Sem revelar nada confidencial, como você as supera? 

PY: Acho que a ideologia Zero Trust faz muito sentido. Pensamos em implantar algum tipo de gerenciamento de acesso privilegiado, mas isso dá muito trabalho e é preciso mais de uma solução para concretizá-lo. Não há soluções mágicas para nós. Mas se alguém souber, por favor, me diga!

O que é mais positivo é que há um legado de desenvolvimento interno e de data centers locais que precisam ser gerenciados. Mas quando passamos por uma transformação que adota tecnologias de nuvem e uma situação em que diferentes unidades de negócios estão lançando produtos o mais rápido possível, isso representa outro desafio de segurança.  

Como podemos melhorar se quisermos uma segurança excelente? E como fazemos isso sem desacelerar o ciclo de vida do desenvolvimento? Há muitas coisas que você pode incorporar à autoconformidade para impor políticas de governança e de segurança em todo o pipeline de entrega. Então podemos colocar a plataforma de edge WAF da Akamai sobre o topo. 

NB: Há muita coisa acontecendo o tempo todo. Especialmente quando você se estende por tantos mercados e empresas diferentes. Embora você esteja no setor de serviços financeiros, como mencionado anteriormente, você está próximo do segmento de jogos. Como você lida com eventos intensos e picos na atividade do consumidor?  

PY: Tivemos que priorizar a capacidade porque, se você não estiver online, seus clientes poderão procurar outro lugar. Temos alguns grandes profissionais que fazem o monitoramento da capacidade, e eles estão olhando para os momentos mais movimentados do dia, para a latência das negociações e para a capacidade de que precisamos. Fizemos muita modelagem de capacidade e nos certificamos de obter ajuda externa com a CDN e a proteção contra DDoS.

NB: E você mencionou antes sobre as pessoas. Uma das coisas que todos nós vimos no setor de segurança é o desafio de encontrar pessoas boas na área. Como a Akamai o ajudou a liberar recursos internos para que você pudesse se concentrar em mais projetos de alta prioridade?

PY: Com nosso provedor anterior, perguntávamos o seguinte: quem gerenciaria a política em todas as aplicações? Pensei que poderíamos fazer isso. Mas chegamos ao estágio em que estávamos falando sobre deixar as equipes de desenvolvimento gerenciarem algumas dessas políticas, e percebemos que isso não era viável. Esse foi o ponto crítico que nos moveu para o Kona Site Defender como um serviço gerenciado, para que não precisássemos nos concentrar em ajustar as coisas. 

Analisei bastante os provedores de serviços terceirizados e gerenciados com meu chefe ao longo dos anos. É necessário encontrar algo certo para você porque você confia em outras pessoas para cuidar da sua segurança. 

Queríamos encontrar áreas em que poderíamos terceirizar ou fazer parcerias com um provedor de serviços que agregasse valor, mas onde não perdêssemos o controle de que precisamos para permanecer responsivos. Se houvesse um problema, queríamos colocar as pessoas no telefone imediatamente.

NB: Sim, muitas vezes é algo que falamos com os clientes. Eles querem controle, serviços e intimidade com o cliente. Mas também querem manter sua própria agilidade e capacidade de execução. À medida que a pilha de segurança se torna mais complexa e mais especializada, essa parceria confiável se torna mais importante.

PY: Sem dúvida. Estamos encontrando isso com algumas das outras áreas que consideramos para terceirização. Queremos poder substituir, implantar ou reverter sempre que quisermos. Se não pudermos fazer isso, não será muito confortável. Por outro lado, não temos as habilidades completas para todos os produtos. 

NB: Esse é um bom conselho. Se houver outros clientes da Akamai na sala, o que eles devem nos pedir ou a qualquer fornecedor para construir essa confiança? 

PY: A Akamai tem credibilidade global. Você teve um incidente no ano passado e, embora isso tenha nos afetado um pouco, a maneira como você o controlou, a descrição pós-incidente e a transparência geral. Há toda uma carga de coisas em vigor agora que nos mostra que você leva isso a sério. Você também estava lá sentindo a dor.

NB: E quando você pensa em seu cenário de fornecedores em geral para segurança, há áreas específicas nas quais você se concentra?

PY: Estou na área de segurança da informação há 15 anos, e a retórica de vendas é por vezes inverídica. Você não vai oferecer 100% de proteção com zero falso positivo. Isso é simplesmente irreal. Isso não é útil. Precisamos que os fornecedores apoiem suas reivindicações ou nos deem o que precisamos para tentar e avaliar.

NB: Penso que se trata de encontrar o que é adequado para o seu próprio negócio, não é? Já que estamos entrando nesta área de aconselhamento, os últimos dois anos foram um pouco incomuns de muitas formas. O que você aprendeu? Que conselho você daria aos seus colegas?

PY: Tenho certeza de que não há nada que você ainda não tenha ouvido! O ritmo de resposta está subindo. Conversamos com um de nossos corretores de seguros sobre a situação atual e foi interessante porque às vezes parece que os reguladores estão dizendo uma coisa e os padrões estão dizendo outra. É como as seguradoras estão pagando por ataques de ransomware, e você sabe que elas estão pagando. Elas fazem perguntas bem direcionadas sobre nossas medidas de segurança. 

Uma das coisas que eles disseram ter visto é uma enorme redução no tempo entre uma rede ser comprometida e as coisas ruins que aconteceram. É preciso responder mais rapidamente. 

É preciso detectar uma invasão o mais cedo possível quando ela ocorre. E se você não puder dar uma resposta dentro de um período de tempo razoável, isso não é bom. O tempo disponível para limitar os danos está ficando cada vez mais curto.

Isso ajuda se você puder aproveitar a sabedoria da comunidade mais ampla de pessoas inteligentes da segurança da informação. Nisso, o Twitter às vezes é útil. Quem foi afetado primeiro? Você descobriu? Você tem uma regra para isso? Posso implantá-la? O Log4j seria um bom exemplo de onde isso foi sofrido. Mas tínhamos nosso WAF (Web Application Firewall) da Akamai instalado e entramos em contato com você, e isso nos deu algum espaço para respirar.

NB: É muita coisa para lidar, não é? Tentar ser responsivo, em particular em relação a ransomware. Especialmente com o tempo para responder diminuindo e as seguradoras pressionando.

PY: E durante a pandemia, todos dedicaram horas e horas. Você está acordando mais cedo, trabalhando o dia todo e então as pessoas começaram a perceber: "Espere um pouco, há um elemento humano nisso". Estamos estruturando as nossas equipes de forma que possam responder rapidamente e estar sempre atentas. Mas como também tomamos medidas de modo que as pessoas não fiquem esgotadas?

NB: E como você está abordando isso?

PY: Eu continuo tendo essas conversas com a gerência. Eu digo a eles: "Quantas vezes você pode sair ileso de um quase acidente com apenas alguns indivíduos agindo como super-heróis?" Queremos capacitar mais pessoas, desenvolver pessoas, orientar pessoas e aprender com outras pessoas. 

NB: Isso faz sentido. Se olharmos para o futuro, o que você vê no horizonte?

PY: Os erros básicos ainda estão acontecendo. Não há nenhuma barreira para ser um desenvolvedor Web. Os erros cometidos há 30 anos ainda estão acontecendo. O limite superior está ficando mais difícil e mais complexo. 

Você está falando sobre segurança e seguro cibernético, o que é estranho porque, no mundo físico, você pensa: "Eu não deveria me preocupar em ser roubado e não poder fazer nada sobre isso?" Mas quais governos estão se unindo para mudar esse cenário? Na verdade, há muitas empresas de tecnologia conduzindo, o que é interessante. Mas você realmente deseja que suas normas sejam estabelecidas por empresas de tecnologia? Não sei. 

NB: Sim, há muito trabalho sendo feito em torno da formulação de políticas públicas. E os regulamentos entre a UE, o Reino Unido e os EUA são diferentes. É uma área fascinante no momento, dada a situação com a guerra na Ucrânia. Existem tecnologias específicas que você está pensando em usar quando olha para o futuro?

PY: Depende do que estamos olhando. Se eu tivesse um projeto greenfield, começaria de novo de forma muito diferente. Penso muito sobre o Zero Trust, especialmente a microssegmentação. Tenho interesse em falar sobre o que pode ser feito com cargas de trabalho sem servidor também.

NB: Alguém no público tem alguma pergunta para o Phil? 

Público: Em relação à automação e à inteligência artificial, quão confortável você está seguindo a rota da automação? Até onde isso pode avançar no cenário de segurança?

PY: Não temos medo disso. Estamos falando de modelos heurísticos de machine learning que são apenas aproximações matemáticas. Se você sabe o que está usando e onde está usando, isso pode ser sensível ou não. Depende da situação. Você pode ter uma regra rígida ou uma regra mais complicada. A correspondência de padrões é boa para algumas situações e uma má ideia para outras. 

O que estamos fazendo internamente como empresa será proprietário. Mas estamos à procura de fornecedores para áreas em que possam ir mais fundo e treinar. Passamos horas tentando detectar o que é anômalo, e isso é uma ajuda real na prevenção de falhas e na capacidade. 

Um dos meus colegas criou muitas ferramentas de monitoramento que procuram anomalias. Não precisamos de modelos clássicos de machine learning para ir além disso. Sendo assim, acredito que ainda exista um elemento de alarde em torno da tecnologia. Mas, em geral, eu não ficaria assustado com um serviço que usa machine learning.  

Público: Você mencionou a forma como se comunica com outras pessoas em situações de crise usando o Twitter. Que importância você acha que essa comunidade terá no futuro e qual é a função que você vê para um fornecedor como a Akamai?

PY: O Twitter é ótimo. Não sou um usuário particularmente relevante, mas falo com pessoas que conheço usando esses canais. Adoro quando alguém encontra algo como uma cadeia mal-intencionada e pode compartilhar isso com o resto da comunidade. Há fornecedores reunindo informações, fazendo o que eles podem. Muitos analistas de segurança são excelentes. Eles acompanham de perto a situação. Quero aprender com qualquer pessoa que já tenha resolvido um problema. Do nosso lado, queremos compartilhar quando houver algo que possa beneficiar a comunidade.

NB: Phil, obrigado por reservar um tempo para conversar conosco. Ficamos realmente gratos. 

PY: Obrigado.

 

Histórias de clientes relacionadas

Bot Manager

A Yatra oferece uma experiência superior de pesquisa com a Akamai

A Yatra oferece uma experiência superior em pesquisa de viagens para clientes B2B (Business-to-business) e B2C (Business-to-consumer) e investiu nas principais soluções de Web Performance e segurança de aplicações da Akamai para isso.
Leia mais
Download Delivery

Business Standard

O jornal indiano Business Standard precisava formar seu público de leitores com conteúdo rápido, dinâmico e em abundância; e a Akamai o ajudou a atingir esse objetivo.
Leia mais
Entrega de conteúdo

Airbnb

Descubra como a Akamai ajudou o Airbnb a escalonar globalmente e a entregar uma experiência de alto nível ao usuário tanto na Web quanto em dispositivos móveis.
Leia mais