Defesa em profundidade: como aplicar esta estratégia de defesa de redes em qualquer ambiente

Uma forma diferente de pensar a defesa de uma rede pode ser a diferença entre receber ataques e ser invadido. Veja quais as principais soluções de segurança que podem ser aplicadas em cada ponto de rede e como pode torná-las ainda mais efetivas contra hackers

Proteger redes, equipamentos e utilizadores é sempre uma tarefa árdua e diversos caminhos podem ser percorridos para alcançar este objetivo. Um destes caminhos é a defesa em profundidade.

O caminho do hacker

É importante ter dois pontos em consideração no momento de proteger um ambiente tecnológico, o caminho que um hacker pode fazer quando tentar comprometer o ambiente e quais seriam os seus possíveis objetivos.

Tendo isso em mente é possível preparar a estrutura, preferencialmente em todos os pontos passíveis de ataque, para proteger, identificar ameaças e responder às mesmas caso ocorram.

Tomaremos a imagem abaixo como exemplo para ilustrarmos boas práticas de segurança da informação que têm um papel fundamental para impedir que ataques sejam bem-sucedidos e, caso sejam, haja uma resposta adequada para que a ameaça seja contida ou interrompida.

A imagem utilizada para demonstrar a rede é meramente ilustrativa e possui pontos chave que quase todos os ambientes de rede empresariais possuem, sendo assim, todas as informações passadas neste texto poderão ser aplicadas aos mais variados ambientes.IMAGEM: Topologia de rede simples

Soluções de Segurança para redes

Ainda que não seja possível ter todos os tipos de soluções de segurança, é imprescindível que todos os pontos principais do ambiente estejam protegidos. Para cada um dos pontos de uma estrutura existe uma ou mais soluções de segurança capaz de os proteger. Referimos de seguida alguns dos principais pontos a considerar na proteção da sua rede.

Firewall

Para a maioria dos ambientes empresariais, a firewall é a primeira linha de defesa. Com o passar do tempo as soluções de firewall ganharam recursos que permitiram análises dos pacotes de diferentes formas, mas ainda assim é preciso configurá-la adequadamente. Uma das formas de configuração mais seguras para uma firewall é negar todos (Deny all) os acessos por defeito e fazer algumas exceções apenas para o que for realmente necessário para o ambiente. Para impedir que o tráfego de rede menos próprio passe de uma rede para outra é importante que a firewall seja o ponto divisor entre cada uma delas.

IDS/IPS

As soluções de IDS (Intrusion Detection System) e IPS (Intrusion Prevention System) são baseadas em assinatura. Todos os tipos de tráfego de rede que passarem por um destes sistemas irá gerar alertas ou bloqueios caso sejam considerados maliciosos. É uma solução de segurança muito eficiente e as suas assinaturas precisam estar sempre atualizadas. Assim como a Firewall, colocá-las em cada um dos caminhos entre as redes fará com que a sua inspeção faça uma análise a todo o tráfego, podendo mesmo bloqueá-lo quando configurado para tal.

Endpoint Security

Apenas um antivírus nas estações de trabalho já não é suficiente para parar ameaças. É recomendado concentrar soluções de proteção de host a fim de evitar que possíveis ataques sejam bem-sucedidos. Para evitar que os ataques mais comuns sejam efetivos é imprescindível que soluções de antivírus, antispyware e antiphishing estejam presentes, além e claro de um sistema operativo atualizado com as devidas atualizações de segurança instaladas. As soluções de segurança para endpoint precisam de estar instaladas em todos os equipamentos, sem exceção, pois uma única estação sem proteção será a porta de entrada perfeita para criminosos.

E-mail Security

O e-mail ainda é o principal meio de comunicação empresarial, e criminosos aproveitam-se disso para chegar aos utilizadores internos da rede e atraí-los para que disponham arquivos ou cliquem em links específicos. As funções dos links e arquivos variam de acordo com a intenção do criminoso. Diminuir ou impedir que e-mails desse tipo cheguem às caixas de e-mail dos utilizadores diminui significativamente a ocorrência de infeções no ambiente. As soluções que mitigam estes tipos de ataque são antispam e antiphishing, e normalmente são dispostas no próprio servidor de email ou num servidor intermediário.

DLP

As notícias de roubo de informações pessoais são cada vez mais comuns. Alguns desses roubos e vulnerabilidades são originados por funcionários que visam prejudicar a empresa, e outros descuidados que enviam demasiadas informações para onde não deveriam.

Data Loss Prevention é uma solução totalmente capaz de ser personalizada que visa impedir que dados de caracter sigiloso sejam enviados de forma indevida, impedindo que surjam vulnerabilidades na segurança.

Não há um padrão para implementação de DLP, algumas empresas optam por colocá-lo para monitorizar os e-mails, estações de trabalho, servidores de arquivos ou todos eles.

Segregação da rede

Este ponto, normalmente, não precisa de nada além do que uma rede empresrial já possui e auxilia muito (muito mesmo) a conter os eventuais ataques ao segmento de rede em que os mesmos ocorreram. Para exemplificar, vamos pensar que na empresa X existe um link de internet ligado a uma firewall, esta firewall por sua vez é ligada a um switch e esse switch recebe ligações de todos os desktops, servidores e impressoras dessa empresa. Se apenas o computador de um utilizador for invadido, o atacante conseguiria ter acesso a todos os dispositivos de rede de uma vez só, por isso é tão importante segregar as redes.

Uma boa prática para segregação é manter as estações de trabalho numa rede, os servidores que recebem ligações diretas da internet noutra (também chamada de DMZ) e os demais servidores numa terceira rede. Se a mesma invasão no equipamento do utilizador acontecesse neste segundo cenário o atacante teria acesso imediato apenas aos equipamentos dos outros utilizadores, minimizando a sua área de atuação e as informações sensíveis que conseguisse obter.

Proxy + Filtro de conteúdo

Usado por uma boa parte das empresas, os filtros de conteúdo web funcionam como uma primeira barreira. Na sua aplicação mais comum consegue inibir o acesso a páginas web consideradas não adequadas, como por exemplo páginas que possuam conteúdo malicioso, páginas de pornografia, que geralmente contém muitas ameaças ocultas, e alguns dos endereços dos servidores de controlo usados por criminosos para se comunicarem com os equipamentos invadidos.

Segregação de Acessos/Funções

A utilização adequada dos acessos pode ser obtida sem a necessidade de qualquer ferramenta ou solução de segurança adicional, bastando para tal configurar adequadamente tudo que já existe no ambiente de rede em questão. Para que o ambiente de rede se torne mais seguro cada um dos utilizadores deve ter o mínimo acesso necessário para desempenhar as suas funções. Por exemplo, um funcionário do departamento comercial não precisa ter acesso aos documentos da contabilidade, um gerente/diretor não precisa ter permissões para instalação de software no seu equipamento, e assim por diante. Tenha sempre em mente que, geralmente, quanto maior o cargo hierárquico do funcionário mais informações sensíveis ficam acessíveis. Como boa prática, para manipular informações sensíveis de forma mais segura, é necessário que mais meios de proteção sejam adotados e acessos mais restritos sejam concedidos.

Dispositivos IoT

Dispositivos com capacidade de comunicação com a Internet (IoT Internet of Things) estão cada vez mais presentes no nosso dia a dia, e devem ser tratados com cautela. As configurações de fábrica devem ser alteradas, principalmente no que se refere a senhas de acesso, e estes dispositivos devem, preferencialmente, estar numa rede separada dos demais dispositivos, seguindo uma estrutura similar à sugerida no item “Segregação de Rede”.

Proteção de Aplicações

Proteger aplicações é uma tarefa trabalhosa que também pode ser implementada sem a necessidade de ferramentas externas. Para que uma aplicação tenha um bom nível de segurança alguns pontos devem ser levados em consideração:

  1. Sistema operativo atualizado com patches de segurança instalado;
  2. Manter sempre a quantidade mínima de software instalados no servidor apenas o necessário para o funcionamento da aplicação;
  3. Assegurar que a aplicação foi desenvolvida tendo em consideração as boas práticas de desenvolvimento seguro;
  4. Possuir uma rotina de backup/restore periódica.

Por diversos motivos, nem todas as empresas conseguem alterar o código ou as configurações das suas aplicações e acabam por adotar soluções intermediárias de proteção, como sejam as Firewalls de Aplicação (WAF – Web Application Firewall). As WAF são soluções de segurança que ficam entre o utilizador e a aplicação, e o seu conjunto de configurações impedem que hackers se aproveitem das falhas de segurança que não puderam ser corrigidas na aplicação.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

*