Segurança de rede
Segurança de rede é um termo genérico que engloba as medidas de segurança que são tomadas para proteger os sistemas de computador, os dados que eles armazenam, transportam e utilizam, e também as pessoas que usam e cuidam desses sistemas e dados. Ela se preocupa com o hardware, o software e as políticas que ajudam na busca pela proteção de redes de computadores, especialmente quando informações confidenciais estão envolvidas. A Segurança de Rede, portanto, visa impedir o acesso não autorizado, a perda de dados ou qualquer atividade, maliciosa ou acidental, que possa levar ao comprometimento da confidencialidade, integridade e disponibilidade dos recursos da rede. Isso significa que a segurança de rede não envolve apenas ferramentas e tecnologia.
Por que a segurança de rede é importante
Os sistemas e redes de computadores tendem a ser heterogêneos na constituição, o que significa que eles vêm em diferentes formas, usam diferentes meios de comunicação e estão disponíveis em diferentes fornecedores. Esses fornecedores podem se especializar em um ou mais aspectos, como serviços, hardware, software, com fio ou sem fio. Como resultado, os sistemas de computadores e redes devem estar em conformidade com certos padrões e protocolos de interoperabilidade, especialmente a interoperabilidade da Internet. Um problema fundamental é que alguns dos principais padrões e protocolos em uso atualmente foram desenvolvidos em uma época em que os sistemas e redes de computadores estavam em sua infância e a segurança da rede não era uma consideração crucial.
Com o passar do tempo, a adoção da computação se generalizou e passou do domínio principalmente de governos e grandes organizações para o nível do consumidor, rapidamente aprimorada pela introdução do computador pessoal. Mais ou menos na mesma época, as organizações também começaram a armazenar e transportar dados mais confidenciais usando sistemas e redes de computadores. Então ficou claro que a segurança da rede deveria ser um elemento fundamental no uso e manutenção de redes de computadores.
Outro problema decorre do design da rede. Tradicionalmente, a maioria das redes era projetada como layouts planos em termos de comunicação e, portanto, qualquer computador podia se comunicar com qualquer outro computador. Havia muito pouca segmentação efetiva e, de fato, protocolos como o Dynamic Host Configuration Protocol (DHCP) e a rede Windows em geral funcionam mais facilmente nesses projetos de rede. No entanto, em termos de segurança, isso está longe de ser ideal, pois um ataque ou infecção é capaz de se espalhar facilmente pela rede — o problema do movimento lateral.
Por onde começar com a segurança de rede
A segurança de rede envolve muito mais do que apenas a implantação de ferramentas e tecnologias. Como ponto de partida, algumas considerações importantes devem ser que as estratégias, políticas e procedimentos corretos sejam implementados antes que qualquer tecnologia correspondente seja cuidadosamente selecionada para facilitar e automatizar as estratégias, políticas e procedimentos. Uma boa maneira de ver isso como ponto de partida será a seguinte:
- Políticas e conformidade
- Conhecimento da Rede
- Treinamento — Conhecimento técnico e do usuário
- Ferramentas e tecnologia
Um bem definido política de segurança que prescreve o uso de sistemas e recursos computacionais é um bom ponto de partida. Idealmente, essa política deve estar alinhada com todas as obrigações de conformidade que devam ser cumpridas. Em seguida, uma linha de base precisa da rede e dos sistemas de rede deve estar disponível para que o que é normal seja conhecido para a rede, incluindo ativos, dispositivos, direitos de acesso do usuário e mapeamento de comunicação.
O treinamento adequado e oportuno para administradores técnicos e usuários finais deve ser realizado com frequência para que as vulnerabilidades de configuração e do lado do usuário final sejam eliminadas. E, finalmente, tudo isso deve ser sustentado pelas ferramentas e tecnologias certas, com recursos de automação e orquestração, quando necessário. Esses conceitos são elaborados posteriormente neste artigo.
Ameaças à segurança de rede
Atualmente, a segurança de rede é parte integrante da estratégia cibernética de muitas organizações, especialmente para aquelas em que a conformidade com determinados padrões regulatórios e de segurança é obrigatória. É importante porque as ameaças cibernéticas cresceram em sofisticação e eficiência ao longo dos anos, assim como a importância e o valor dos dados aumentaram. Qualquer combinação de agentes de ameaças pode representar uma ameaça à segurança da rede:
- Hackers
- Buscadores de resgate
- Estados nacionais
- Espionagem cibernética
- Crime organizado
- Hacktivistas
- Insiders (maliciosos e acidentais)
- Script Kiddies
As ameaças de segurança de rede correspondentes também podem vir em qualquer combinação das seguintes opções:
- Engenharia social
- Malware (Mercadoria)
- Ameaças persistentes avançadas (APT)
- Explorações
- Negação de serviço (DOS e DDOS)
- Ataques de canal lateral
- Intrusão física
- Danos criminais
Esses desafios de segurança de rede parecem crescer cada vez mais à medida que usuários e organizações continuam esperando e esperando cada vez mais do mundo cibernético nas atividades diárias de trabalho, lazer, serviços de entretenimento e comércio.
Proteções de segurança de rede
Em resposta ao problema da segurança de rede, há uma infinidade de tecnologias que tentam fornecer várias soluções, especialmente com a atual expansão do uso da Internet e da computação em nuvem. Isso então leva a uma questão importante que continua na mente daqueles que têm a tarefa de garantir a segurança da rede.
Estamos devidamente protegidos?
Para ser respondida de forma eficaz, essa pergunta exige uma avaliação contínua da postura de segurança de rede para usuários e locais de rede locais, na nuvem e remotos.
- Políticas e conformidade
As políticas e a conformidade abrangem as estratégias e táticas que definem como a organização deve lidar com a segurança da rede e como elas podem medir a conformidade. Nesse caso, as políticas provavelmente serão adaptadas a uma organização específica de acordo com várias diretivas de conformidade, mas as diretivas de conformidade em si tendem a ser independentes da organização, mas provavelmente específicas do setor ou da vertical. - Conhecimento do meio ambiente
A segurança de rede envolve diferentes partes e componentes de uma rede de computadores. Como resultado disso, o primeiro e mais importante ponto de importância é saber quais são essas peças e componentes e onde estão localizados. Um inventário atualizado do estado atual de sua rede contribuirá muito para um julgamento útil sobre onde a organização está em seu regime de proteção. Nem é preciso dizer que você não pode realmente proteger o que não conhece. A segurança da rede é ainda mais agravada pela velocidade e agilidade que se tornaram disponíveis com a computação móvel e as nuvens públicas. Essas tecnologias ampliaram ainda mais o perímetro da rede tradicional, de modo que a segurança da rede não está mais concentrada no perímetro da rede tradicional. Para esse fim, a visibilidade contínua também é muito importante. A proteção eficaz deve começar com a capacidade de visualizar as informações de dispositivos e aplicativos e as dependências de comunicação em tempo real ou, pelo menos, quase em tempo real. Isso abre caminho para uma linha de base de segurança de rede, de modo que as anomalias se destaquem claramente das normas estabelecidas e esperadas. - Treinamento — Conhecimento técnico e do usuário
O treinamento deve ser focado nos administradores e usuários técnicos e não técnicos da rede, sistemas de rede e aplicativos. Algumas das seguintes perguntas devem ser respondidas adequadamente:
Temos o conhecimento técnico necessário para configurar e manter nossas tecnologias de segurança agora e no futuro?
Nossos usuários estão adequadamente treinados em conscientização sobre cibersegurança?
Nosso pessoal tem o conhecimento correto de detecção e emissão de relatórios para responder adequadamente a um incidente e manter a conformidade?
Treinamento técnico de TI para administradores de TI e segurança e treinamento de conscientização sobre cibersegurança para todos os funcionários. Isso inclui treinamento prático de administradores de TI sobre o uso dos sistemas de segurança adquiridos. - Tecnologia
A peça final é então garantir que as ferramentas e tecnologias certas sejam colocadas para proteger adequadamente contra ameaças de segurança de rede conhecidas e desconhecidas. A tecnologia deve estar em vigor para evitar incidentes de segurança de rede e conter incidentes de segurança de rede. Não obstante, é impossível garantir proteção completa o tempo todo, portanto, também deve haver recursos adequados de detecção e resposta para responder adequadamente a um incidente, caso ocorra.
Ferramentas e tecnologia de segurança de rede
Esses quatro princípios orientadores podem servir como um guia inicial útil para a política de segurança da organização em geral e a escolha das tecnologias certas para serem específicas. Há pouca vantagem a ser obtida com o acúmulo de novas tecnologias quando há pouco conhecimento sobre o que requer proteção ou por que a proteção é necessária em primeiro lugar.
Selecionar as ferramentas e tecnologias certas pode ser uma tarefa difícil, mas, novamente, isso deve ser abordado de forma estratégica e sistemática, usando os requisitos de política e conformidade da organização, o conhecimento da rede e os recursos de treinamento como guia. Em alguns casos, aspectos deles podem ser terceirizados se houver falta de capacidade interna e provavelmente apresentarem uma fraqueza de segurança, como falta de habilidades ou de pessoal. Ferramentas e tecnologias podem ser examinadas e selecionadas usando o seguinte como guia inicial:
- Segurança perimetral
- Segurança da comunicação — e-mail, mensagens, documentos
- Segurança de terminais e dispositivos
- Identidade e segurança de rede interna
- Automação, monitoramento contínuo e contexto
1. Segurança perimetral
Serviços em nuvem, dispositivos móveis e TI paralela contribuíram para mover o perímetro da rede para além de um local físico fixo. Os usuários podem utilizar vários dispositivos móveis para acessar dados pessoais e corporativos de diferentes locais e trabalhos. No entanto, quando o perímetro da rede precisa ser protegido, como no caso de um data center ou ambiente de nuvem, as seguintes proteções devem ser consideradas em seus equivalentes físicos ou virtuais:
- Firewall (Stateful, de última geração, compatível com API)
- Anti-Botnet e detecção de atividade de botnet
- Antimalware
- IPS — Sistema de Prevenção de Intrusões
- Descriptografia de conteúdo criptografado (por exemplo, inspeção de HTTPS)
- Segurança na Web — Controle da Web e de Aplicativos
- Sandboxing e emulação
2. Segurança da comunicação — e-mail, mensagens, documentos
- Antispam e antimalware
- Antiphishing e detecção de links maliciosos
- Prevenção de BEC (Business Email Compromise) com capacidade de inteligência
- Segurança de e-mail
- Segurança de mensagens
- Segurança de documentos
- Segurança de sistemas de arquivamento físico
3. Segurança de terminais e dispositivos
Na maioria dos casos, os sistemas de proteção de terminais servem como a última linha de defesa na estratégia de segurança de rede. As medidas de segurança implementadas no endpoint, portanto, precisam ter contexto, inteligência e tomada de decisão em tempo real para lidar com ameaças conhecidas e desconhecidas, por mais sofisticadas que sejam. Alguns dos recursos mais úteis devem ser:
- Controle de aplicativos (lista padrão de negação de permissão)
- Detecção e resposta com IA
- Criptografia de disco
- Prevenção de exploração
- Firewall (camadas de rede e aplicativos)
- Capacidade forense
- Segurança de portas e mídias
- Heurística e sandboxing
- Microssegmentação baseada em host
- Gerenciamento de dispositivos móveis
- Segurança de hospedagem na web
4. Identidade e segurança de rede interna
Em muitos casos, as violações começam com algumas credenciais comprometidas e/ou com uma vulnerabilidade em um sistema alvo. A verificação e autorização da identidade do usuário e do dispositivo, independentemente da localização, devem ser um componente essencial, no qual o usuário só é permitido se a identidade correta for apresentada e o dispositivo também for verificado. Além disso, a autorização não é para toda a rede, mas para o recurso específico solicitado. Um exemplo é a Autorização de Pacote Único (SPA). No caso de vulnerabilidades, elas podem ser inerentes ao sistema ou uma configuração incorreta do usuário do sistema. A configuração incorreta ocorre em situações em que as melhores práticas não foram seguidas ou não há conhecimento do administrador no uso da tecnologia. Algumas das proteções sob o escopo de Identidade e Segurança de Rede Interna serão:
- Inventário de ativos e
- Gerenciamento de identidade e acesso
- Segurança e criptografia de dados (dados em repouso, dados em movimento e dados em uso)
- Sistema de mapeamento de contexto e comunicação de host a host (mapeamento de dependência de aplicativos)
- MAC - Controle de acesso à rede
- Caça a ameaças (proativa e passiva)
- Gerenciamento de vulnerabilidades e patches
- Segurança física (cartões magnéticos, fechaduras automáticas, sistemas de alarme, CFTV)
5. Automação, monitoramento contínuo e contexto
Os problemas enfrentados pela cibersegurança nos dias de hoje são tanto um problema de falta de visualização com contexto quanto de ferramentas. Visibilidade, monitoramento contínuo e definição básica do comportamento normal são fundamentais para que o comportamento anômalo seja facilmente detectado.
- Análise (SIEM e análise de segurança)
- Automação e orquestração
- Cibernético Inteligência de ameaças
- Visibilidade
- Visualização do inventário de ativos
- Mapeamento de dependências de aplicativos
- Pontuação de risco
- Mapeamento de ameaças
Os exemplos de recursos e tecnologias detalhados acima não pretendem ser uma lista exaustiva, mas apenas um guia na seleção das ferramentas e tecnologias certas. Sempre que possível e eficiente, é aconselhável consolidar os recursos em uma única oferta. Por exemplo, uma solução de segmentação baseada em host também deve ser capaz de fornecer mapeamento de dependências de aplicativos e integrações de terceiros em uma solução de gerenciamento de eventos e informações de segurança (SIEM) ou banco de dados de gerenciamento de configuração (CMDB). Outro exemplo é que um firewall de perímetro também deve ser capaz de consolidar recursos de IPS, emulação de ameaças, antimalware e prevenção de botnets.
Conclusão
A segurança da rede deve fazer parte da cultura organizacional, da sala de diretoria ao chão de fábrica, estendendo-se além do perímetro tradicional até o trabalhador remoto. Princípios de arquitetura moderna, como o Zero Trust, buscam levar a segurança de rede do perímetro legado e dos conceitos de confiança implícita para princípios de verificação e autorização mais dinâmicos, automatizados e contínuos. É importante que esses princípios não sejam considerados em um silo, mas planejados e implantados como um sistema de princípios relacionados envolvendo pessoas, processos e tecnologia.