Segurança de rede é um termo amplo usado para descrever a proteção de todos os recursos de computação contra ataques e falhas de disponibilidade, confidencialidade e integridade. Isso envolve anti-malware, firewalls, detecção de intrusão, tecnologia de prevenção de perda de dados e outras proteções.
A segurança da rede envolve controles de proteção específicos que são adicionados a uma rede. Esses controles evoluíram ao longo dos anos e continuarão a crescer à medida que aprendemos mais sobre como defender uma rede e os atacantes aprendem novas maneiras de atacar.
Para garantir que você tenha os melhores controles adicionados para proteção, é necessário primeiro entender o cenário de ameaças e as vulnerabilidades da rede. Também é importante entender quais tipos de controles estão disponíveis para que você possa aplicar os fornecedores, soluções e configurações corretos à sua rede.
Ameaças são violações potenciais que afetam o recurso de forma confidencial, disponibilidade ou integridade. As ameaças podem incluir divulgação de dados confidenciais, alteração de dados ou mesmo negação de acesso a um serviço.
O cenário de ameaças consiste em informações disponíveis sobre ameaças, agentes de ameaças e o vetor de ameaças que permite a ocorrência de um ataque. O agente da ameaça é uma pessoa ou grupo de pessoas que pretende causar danos usando as ameaças existentes.
Por exemplo, no caso de um laptop roubado, o agente da ameaça é o ladrão. O vetor de ameaça é o caminho do ataque, como uma porta destrancada e um laptop que não está devidamente preso a uma mesa.
Para que uma ameaça seja percebida, deve haver uma vulnerabilidade explorável. Uma vulnerabilidade é uma fraqueza ou falha que os agentes da ameaça podem usar para violar as políticas de segurança.
Continuando nosso exemplo de laptop, design leve, portabilidade e conveniência são recursos que atraem muitos clientes. Ao mesmo tempo, esses mesmos recursos são pontos fracos que aumentam a probabilidade de roubo. Os controles de segurança, como travas de portas ou cabos, desaceleram o agente da ameaça e reduzem a probabilidade de roubo, o que diminui o risco geral.
Confidencialidade, integridade e disponibilidade (CIA) são os principais atributos que definem o objetivo de qualquer processo de segurança da informação. Existem muitas estratégias e atividades envolvidas no processo, e cada uma se enquadra em uma das três fases: prevenção, detecção e resposta.
Os pilares da fase de prevenção são os seguintes e são executados por meio de uma política bem documentada:
A detecção é sobre o emprego de recursos que monitoram e registram a atividade do sistema. No caso de uma possível violação ou atividade maliciosa, os sistemas de detecção devem notificar a parte ou pessoa responsável. O processo de detecção só tem valor quando seguido por uma resposta planejada e oportuna.
A resposta é uma correção bem planejada para um incidente que abrange a interrupção de um ataque em andamento, a atualização de um sistema com o patch mais recente ou a alteração da configuração em um firewall.
É importante entender os conceitos críticos em segurança de rede. Se você, um cara legal, não está ciente das vulnerabilidades e dos agentes de ameaça, não saberá quais são os melhores controles de segurança para implementar. Um exemplo é entender que a identidade do usuário precisa ser verificada antes de acessar o sistema. Esse é um conhecimento essencial que permite identificar o fornecedor e a solução corretos.
O controle de acesso é um tipo de controle de segurança com o qual quase todos estão familiarizados. A maioria das pessoas hoje em dia usa uma senha para fazer login em um computador, possivelmente alguns minutos atrás. Você pode ter usado uma senha para acessar uma rede, um aplicativo ou um arquivo. A pessoa média tem pelo menos 10 senhas para rastrear.
A implementação do controle de acesso é dividida em quatro partes: identificação, autenticação, autorização e contabilidade (IAAA). Este processo confirma a identidade do usuário por meio de um identificador exclusivo, como ID de usuário, nome de usuário ou número de conta.
O sistema autentica a identidade do usuário, verificando as credenciais conhecidas pelo usuário, como nome de usuário e senha. Ou eles podem estar em posse do usuário, como um cartão de identificação ou uma senha única. Depois que o sistema verifica um usuário, a autorização é o processo de concessão de permissão de acesso.
A parte final – contabilidade – envolve o rastreamento da atividade do usuário para responsabilizar aqueles com acesso por suas ações em um sistema. As senhas não são a única escolha hoje. Existem muitas opções, incluindo hardware ou software de geração de senha única, cartões inteligentes e biometria. A escolha da opção correta para qualquer recurso de rede requer uma consideração cuidadosa.
A segmentação de rede está dividindo uma rede em partes lógicas menores para que os controles possam ser adicionados entre elas. Isso melhora o desempenho e melhora a segurança. As redes locais virtuais (VLANs) são um método de segmentação de rede comum executado no local ou usando a infraestrutura em nuvem. Quando usados para a nuvem, eles são chamados de nuvens privadas virtuais (VPCs).
A rede tradicional em um data center físico tinha um perímetro claramente definido. Era o ponto em que o data center tinha uma conexão com o mundo exterior. Hoje, os perímetros são mais difíceis de definir, mas ainda usamos muito da mesma tecnologia.
Isso inclui firewalls (FW), sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS). Ao definir um perímetro, é necessário determinar quais dados, voz e vídeo podem passar. Depois de entender que tipo de tráfego deve fluir, os mecanismos de controle podem ser configurados de acordo.
A criptografia garante a confidencialidade e integridade dos dados em trânsito ou em repouso, convertendo-os em criptografia usando uma chave. A criptografia simétrica e assimétrica são os dois tipos básicos de criptografia.
Os antigos egípcios usavam criptografia simétrica para fins de confidencialidade. Hoje usamos o mesmo conceito, mas empregamos algoritmos muito mais complexos. Por exemplo, se quiser manter a confidencialidade de uma sessão de banco on-line, você deve criptografá-la com criptografia simétrica. Para garantir a autenticidade do site do banco, você usaria criptografia assimétrica para trocar com segurança as chaves pela criptografia simétrica daquela sessão.
O hash usa um algoritmo para gerar uma string de comprimento fixo de caracteres aleatórios, convertendo a mensagem ou os dados originais em um valor curto. Isso serve como uma chave para garantir a integridade da mesma mensagem ou dados.
Algoritmos de hash são uma forma de verificar a integridade de uma comunicação. É tão simples quanto ler esta frase. Como você sabe com certeza se foi isso que foi digitado? Foi alterado acidentalmente ou maliciosamente?
Algoritmos de hash são usados para provar que as letras ou bits não foram alterados acidentalmente. Ter o hash protegido com criptografia ajuda você a saber que um criminoso não alterou o texto de forma mal-intencionada. O hash é amplamente usado para armazenar senhas com segurança, monitorar arquivos e garantir a integridade da comunicação.
Pessoas, operações e tecnologia são os principais elementos que contribuem para a segurança de rede de defesa em profundidade. Depois de identificar e avaliar os riscos que ameaçam seus negócios, você pode determinar suas necessidades de segurança de rede. Isso inclui o tipo de tecnologia que você precisa empregar para segurança de perímetro, respostas a alertas gerados de firewalls, detecção e prevenção de intrusão e logs. Vamos começar com firewalls.
Os firewalls são uma medida de segurança muito tradicional que foi adicionada a redes e sistemas finais por mais de 25 anos. Para um firewall, o tráfego cai em uma de duas categorias: tráfego desejável para passar e tráfego indesejável para bloquear. O filtro de pacotes foi um dos primeiros firewalls a filtrar o tráfego indesejado.
Os fornecedores encontraram muitas maneiras diferentes para os firewalls analisarem e categorizarem automaticamente o tráfego, levando a diferentes variações de firewall. Isso inclui os primeiros filtros de pacote, firewalls de próxima geração e agora firewalls de geração em nuvem.
Ao contrário dos firewalls, um sistema de detecção e prevenção de intrusão (IDPS) monitora a rede em busca de atividades maliciosas, relatando e respondendo a incidentes de segurança de rede e ameaças potenciais. Um firewall procura o tráfego desejado e bloqueia o resto.
Um sistema de detecção de intrusão (IDS) procura o tráfego que não deveria estar lá. Ele se concentra em encontrar tráfego de um criminoso ou outro agente nefasto. Conforme a tecnologia avançava, alguém deve ter feito uma boa pergunta: Se sabemos que o tráfego é de um criminoso, por que estamos apenas registrando no log? Por que não descartamos esse tráfego assim que ele é identificado? A partir daí, a tecnologia evoluiu para sistemas de prevenção de intrusão (IPSs).
Um IPS é ativo por natureza. Quando ele percebe que o tráfego que está passando é de um criminoso, ele executa uma ação e destrói esse tráfego. Parece um plano brilhante. No mundo real, esses sistemas são complicados de ajustar corretamente. Se não estiverem ajustados corretamente, eles descartam o tráfego bom e deixam o tráfego do criminoso entrar. Portanto, a maioria das empresas pára no IDS e possui logs, um gerenciador de eventos de informações de segurança (SIEM) e planos e equipes de resposta a incidentes.
Uma rede privada virtual (VPN) protege a confidencialidade dos dados à medida que eles passam pela rede. O núcleo da VPN é a criptografia, embora também use autenticação. Existem três opções de criptografia para uma VPN, especialmente para as aplicações que os usuários têm em seus laptops ou telefones para se conectar ao escritório remotamente. As três opções são IPSec, SSL/TLS e SSH. Esses três protocolos de criptografia também são usados para outras aplicações.
O IPSec é um protocolo de criptografia que pode ser usado em praticamente qualquer cenário, pois funciona na camada 3 do modelo Open System Interconnect (OSI) da International Standards Organization (ISO). A camada 3 é a camada de rede que leva dados, voz ou vídeo ao seu destino de rede correto. Portanto, se você adicionar IPSec, ele levará seus dados ao seu destino em um formato criptografado e confidencial. Um uso comum diferente de VPNs é para conectividade site a site entre locais de negócios.
O Transport Layer Security (TLS) é a atualização para SSL. Teria sido chamado de SSL 4.0 se sua propriedade não tivesse sido transferida da Netscape para a International Engineering Task Force (IETF) em 1999. O TLS oferece uma opção de criptografia para VPNs, mas também para qualquer conexão baseada na web. Essas conexões podem ser uma conexão baseada em navegador para um banco, Amazon ou qualquer outro site que tenha um cadeado no canto do seu navegador.
Secure Shell (SSH) é usado principalmente para conexões remotas de um computador para outro. É comumente usado por administradores de rede para se conectar a servidores, roteadores e switches para fins administrativos. Essas conexões são para configuração e monitoramento.
Quando sua empresa possui conteúdos, livros, manuais, etc. que você deseja compartilhar com seus clientes de forma controlada, o gerenciamento de direitos digitais (DRM) é a solução. O software DRM é familiar para a maioria das pessoas que tem um computador atualmente.
Se você assiste a vídeos principais da Netflix ou Amazon ou ouve música no Spotify ou iTunes, você viu DRM. Se você lê um livro no Kindle, não pode compartilhá-lo aleatoriamente com ninguém. O software DRM do aplicativo Kindle geralmente não permite isso, mas depende dos direitos do livro.
Se sua empresa está preocupada que os usuários enviem um e-mail contendo informações confidenciais, como um número de cartão de crédito, para alguém de fora da empresa, a prevenção de vazamento de dados (DLP) é a solução.
As ferramentas DLP vigiam o tráfego que não deve sair de uma empresa, o que seria um vazamento, e interrompe essa transmissão. Pelo menos essa é a ideia. O DLP é muito difícil de configurar corretamente, mas vale a pena tentar proteger sua empresa contra vazamentos acidentais de dados.
O controle mais importante a ser adicionado a todos os negócios é o monitoramento. É importante estar atento a ataques, ameaças, violações, criminosos, etc. Em segurança, é melhor presumir que sua empresa será hackeada e que os usuários cometerão erros. Em seguida, observe os ataques e esteja preparado para responder. Um dos maiores problemas para a empresa média é que ela nem sabe que foi atacada.
Os dispositivos precisam registrar eventos para que você saiba o que aconteceu e o que está acontecendo em sua rede. Assim que os eventos forem registrados, eles devem ser enviados a um servidor syslog central para análise.
A ferramenta de análise é chamada de Security Information Event Manager (SIEM). Tem a função de correlacionar eventos e procurar indicações de compromisso (IOC). Se houver um IOC, alguém deve revisar o evento e determinar se uma ação precisa ser tomada para interromper um ataque ou reparar e restaurar os sistemas após um ataque.