Prevenção e detecção de intrusão
Muitos são os objetivos da implementação de ferramentas (hardware e software) de segurança para um ambiente de rede. Para cada objetivo, há uma ferramenta mais adequada. Alguns objetivos básicos são:
- Proteger os endpoints de ataques de malware: é fundamental manter seus sistemas operacionais atualizados, bem como as aplicações instaladas. Como soma, é necessário instalar suites de proteção antimalwares, ampliando o nível de segurança individual no acesso à internet e na utilização de e-mails contra ataques laterais na rede e controle dos aplicativos em execução. É aconselhável a implementação de políticas restritivas com controle de tráfego entre a rede interna e os servidores de aplicação e criptografia.
- Proteger a rede corporativa contra invasões externas: a proteção de redes corporativas acontece em várias camadas. A primeira barreira está no provedor de acesso à internet. É no roteador fornecido pelo ISP que está a primeira linha de defesa de todo perímetro. Além disso, é a ACL configurada que diz com quais redes o seu roteador pode conversar. Em algumas topologias de rede, os administradores incluem um IDS dedicado, entre o firewall de borda e o roteador. Embora trabalhe em modo passivo, é uma importante fonte de informação sobre ataques em curso, dando ao administrador da rede tempo de reforçar as configurações de seu firewall, para evitar ou minimizar efeitos de um possível ataque – o que torna o firewall a principal camada de proteção, apesar de não ser a primeira. Invasões externas podem estar em andamento, e, para combatê-las, tecnologias como SIEM, EDR e Sandbox servem para análise, prevenção de danos, contenção e eliminação ativa de artefatos maliciosos já existentes, em execução nas redes ou em fase inicial de descoberta de vulnerabilidades a serem exploradas.
- Evitar o vazamento de informações confidenciais da organização: o vazamento ou a extração de informações confidenciais de uma organização pode ocorrer por vários meios: elas podem ser gravadas em um pen drive e o mesmo ser perdido; impressas e esquecidas em algum lugar; carregadas para um local de armazenamento na cloud; ou anexadas a um e-mail; entre outros.
Diversas soluções de proteção, oferecidas em appliances físicos ou virtuais devem ser utilizadas para possibilitar a restrição do maior número possível de meios de vazamento. Algumas possibilidades que auxiliam a atingir este objetivo são: solução de antispam com recurso de criptografia, protegendo a informação contra interceptação de ponta a ponta; solução de criptografia para os dispositivos USB (por exemplo, pen drives) e notebooks, evitando acesso às informações em caso de extravio ou perda; e soluções de DLP para monitorar, alertar ou bloquear a fuga, voluntária ou involuntária, de informações carregadas ou fornecidas para a internet.
Citamos abaixo alguns níveis básicos de segurança de rede e tipos de hardware e software que oferecem algum tipo de proteção. Existem alguns mais complexos, dependendo da topologia, para se implementar segurança de rede.
- Rede interna (local): a proteção no endpoint pode ser realizada por softwares, tais como suite de solução antivírus, agente de firewall para inspeção de tráfego SSL e autenticação SSO, agente de solução DLP e criptografia total de disco. Ou ainda pode ser seccionada por V-Lan com Switch Layer 3, fazendo contenção de broadcast e configurando portas em modo down.
- DMZ: a proteção pode ser feita, de modo geral, entre dois firewalls, físicos ou virtuais, sendo um para rede interna e outro para a externa.
- Correlacionamento de eventos (SIEM): dispositivo de segurança que pode ficar na rede interna ou na DMZ. O objetivo é que ele receba detalhes de todos os eventos de rede originados por dispositivos de segurança, de logs do Windows aos logs dos firewalls, passando pelo proxy e antispam, dentre outros.
- Rede externa (internet): o primeiro nível de proteção à conexão via internet é o roteador (hardware). O provedor de acesso realiza a ACL como primeira configuração para uma empresa. O segundo é realizado pelo firewall de borda.