Capítulo 4

Prévia do material em texto

Capítulo 4: Proteção da empresa
Este capítulo aborda algumas tecnologias e processos utilizados por profissionais de segurança cibernética para proteger a rede, o equipamento e os dados da empresa. Primeiro, ele abrange brevemente muitos tipos de firewalls, equipamentos de segurança e software que são usados no momento, incluindo as melhores práticas.
Em seguida, explica botnets, Kill Chain, a segurança baseada em comportamento e o uso do NetFlow para monitorar uma rede.
A terceira seção discute a segurança cibernética da Cisco, incluindo a equipe CSIRT e o manual de segurança. Resume brevemente as ferramentas que os profissionais de segurança cibernética usam para detectar e prevenir ataques à rede.
Tipos de firewall
O firewall é uma parede ou partição projetada para impedir que o fogo se espalhe de uma parte de um edifício para outra. Em redes de computador, um firewall controla ou quais comunicações podem entrar ou sair de um dispositivo ou uma rede, como mostrado na figura. Um firewall pode ser instalado em um único computador com o objetivo de protegê-lo (firewall baseado em host), ou pode ser um dispositivo de rede autônomo que protege uma rede de computadores e todos os dispositivos hospedados na rede (firewall pela rede).
Ao longo dos anos, à medida que os ataques à rede e aos computadores tornaram-se mais sofisticados, novos tipos de firewalls foram desenvolvidos para propósitos diferentes na proteção de uma rede. Esta é uma lista dos tipos comuns de firewall:
· Firewall de camada de rede – filtragem baseada em endereços IP de origem e destino
· Firewall de camada de transporte – filtragem baseada em portas de origem e destino de dados e em estados de conexão
· Firewall de camada de aplicação – filtragem baseada em aplicativo, programa ou serviço
· Firewall de aplicação com reconhecimento de contexto – filtragem baseada em usuário, dispositivo, função, tipo de aplicativo e perfil de ameaça
· Servidor proxy – filtragem de solicitações de conteúdo da Web, como URL, domínio, mídia etc.
· Servidor proxy reverso – colocado na frente de servidores da Web, os servidores proxy protegem, ocultam, fazem o offload e distribuem o acesso a servidores da Web
· Firewall Network Address Translation (NAT) – oculta ou disfarça os endereços privados de hosts de rede
· Firewall baseado em host – filtragem de portas e chamadas de serviço do sistema em um sistema operacional de computador único
Varredura de porta
A varredura de porta é um processo de sondagem de um computador, servidor ou outro host de rede em busca de portas abertas. Na rede, cada aplicativo em execução em um dispositivo recebe um identificador ou número de porta. Esse número da porta é usado em ambas as extremidades da transmissão para que os dados certos sejam passados ao aplicativo correto. A varredura de porta pode ser usada de forma mal-intencionada como uma ferramenta de reconhecimento para identificar o sistema operacional e os serviços em execução em um host ou computador, ou pode ser usada por um administrador de rede, sem causar danos, para verificar as políticas de segurança da rede.
Para avaliar a segurança de porta e o firewall da rede do computador, use uma ferramenta de varredura de porta, como Nmap, para localizar todas as portas abertas na rede. A varredura de porta pode ser considerada como um precursor para um ataque à rede e, portanto, não deve ser feita em servidores públicos na Internet ou em uma rede corporativa sem permissão.
Para executar uma varredura de porta Nmap de um computador na rede domiciliar local, baixe e inicialize um programa como o Zenmap, forneça o endereço IP de destino do computador que você gostaria de verificar, escolha um perfil de varredura padrão e inicie a varredura. A varredura Nmap relatará quaisquer serviços em execução (por exemplo, serviços da Web, serviços de e-mail etc.) e os números de porta. A varredura de uma porta geralmente resulta em uma destas três respostas:
· Aberta ou aceita – o host respondeu indicando que um serviço está escutando na porta.
· Fechada, negada ou não escutando – o host respondeu indicando que as conexões serão negadas à porta.
· Filtrada, descartada ou bloqueada – não houve resposta do host.
Para executar uma varredura de porta da rede a partir de fora da rede, inicie a varredura de fora da rede. Isto implicará na execução de uma varredura de porta Nmap no seu firewall ou endereço IP público do roteador. Para descobrir seu endereço IP público, use um mecanismo de pesquisa, como o Google, com a consulta "qual é o meu endereço IP". O mecanismo de pesquisa retornará seu endereço IP público.
Para executar uma varredura de seis portas comuns no seu roteador domiciliar ou firewall, vá para o scanner de porta Nmap on-line em https://hackertarget.com/nmap-online-port-scanner/ e digite o endereço IP público na caixa de entrada: endereço IP a ser verificado… e pressione Quick Nmap Scan (Varredura Nmap rápida). Se a resposta for open para qualquer uma das portas: 21, 22, 25, 80, 443 ou 3389, então provavelmente o encaminhamento de portas foi habilitado em seu roteador ou firewall, e você está executando servidores na sua rede privada, como mostrado na figura.
Equipamentos de segurança
Atualmente, não há equipamentos de segurança ou tecnologia que solucionará todas as necessidades de segurança da rede. Como há uma variedade de equipamentos de segurança e ferramentas que precisa ser implementada, é importante que todos eles trabalhem juntos. Equipamentos de segurança são mais eficazes quando fazem parte de um sistema.
Equipamentos de segurança podem ser dispositivos autônomos, como um roteador ou firewall, uma placa que pode ser instalada em um dispositivo de rede ou um módulo com seu próprio processador e memória em cache. Equipamentos de segurança também podem ser ferramentas de software executadas em um dispositivo de rede. Os equipamentos de segurança enquadram-se nestas categorias gerais:
Roteadores - o Cisco Integrated Services Router (ISR), mostrado na Figura 1, tem muitos recursos de firewall, além de funções apenas de roteamento, incluindo a filtragem de tráfego, a capacidade de executar um IPS (sistema de prevenção de intrusão), a criptografia e os recursos de VPN para tunelamento criptografado seguro.
Firewalls - firewalls de última geração da Cisco têm todos os recursos de um roteador ISR, bem como gerenciamento avançado de redes e análise. O Cisco Adaptive Security Appliance (ASA) com recursos de firewall é mostrado na Figura 2.
IPS - dispositivos IPS de última geração da Cisco, mostrados na Figura 3, são dedicados à prevenção de intrusão.
VPN - os equipamentos de segurança da Cisco são equipados com tecnologias de cliente e servidor de uma rede privada virtual (VPN). Eles são projetados para tunelamento criptografado seguro.
Malware/antivírus - O Cisco Advanced Malware Protection (AMP) vem na próxima geração de roteadores, firewalls, dispositivos IPS, dispositivos de segurança da Web e e-mail da Cisco e também pode ser instalado como um software em computadores host.
Outros dispositivos de segurança – esta categoria inclui dispositivos de segurança de e-mail e Web, dispositivos de decriptografia, servidores de controle de acesso para cliente e sistemas de gerenciamento de segurança.
Detecção de ataques em tempo real
O software não é perfeito. Quando um hacker explora uma falha em uma parte do software antes do criador poder corrigi-la, isso é conhecido como um ataque de dia zero. Devido à sofisticação e à grande quantidade de ataques de dia zero que ocorrem atualmente, os ataques à rede estão se tornando comuns e uma defesa bem-sucedida é avaliada de acordo com a velocidade em que uma rede pode responder a um ataque. A capacidade de detectar ataques, como eles acontecem em tempo real, bem como parar os ataques imediatamente, ou dentro de minutos da ocorrência, é o objetivo ideal. Infelizmente, muitas empresas são incapazes de detectar ataques, em até dias ou mesmo meses depois que eles ocorreram.
· Varredura em tempo real da borda para o endpoint - a detecçãode ataques em tempo real requer a varredura ativa de ataques usando firewall e dispositivos de rede IDS/IPS. A detecção de malware de cliente/servidor de última geração com conexões a centros de ameaças on-line globais também deve ser usada. Atualmente, os softwares e dispositivos de varredura ativos devem detectar anomalias de rede usando a detecção de comportamento e análise baseada em contexto.
· Ataques de DDoS e resposta em tempo real - DDoS é a maior ameaça de ataque, que exige resposta e detecção em tempo real. É extremamente difícil se defender de ataques de DDoS, pois eles originam centenas ou milhares de hosts zumbis e aparecem como tráfego legítimo, conforme mostrado na figura. Para muitas empresas, os ataques de DDoS que ocorrem regularmente prejudicam os servidores de Internet e a disponibilidade de rede. A capacidade de detectar e responder a ataques de DDoS em tempo real é crucial.
Proteção contra malware
Como você oferece defesa contra a constante presença de ataques de dia zero, bem como ameaças persistentes avançadas (APT) que roubam dados por longos períodos? Use uma solução de detecção de malware de nível empresarial avançada que oferece a detecção de malware em tempo real.
Os administradores da rede devem monitorá-la constantemente para detectar sinais de malware ou comportamentos que revelam a presença de um APT. A Cisco tem uma Proteção avançada contra malware (AMP) que analisa milhões de arquivos com segurança e correlaciona-os a centenas de milhões de outros artefatos de malware analisados. Isso proporciona uma visão geral de ataques, de campanhas e de distribuição de malware. O AMP é um software de servidor/cliente, implantado em dispositivos finais (endpoints), como um servidor autônomo, ou em outros dispositivos de segurança de rede. A figura mostra os benefícios do AMP Threat Grid.
Práticas recomendadas de segurança
Muitas empresas e profissionais publicaram listas das melhores práticas de segurança. Esta é uma lista das melhores práticas de segurança:
· Realizar a avaliação de risco – Saber o valor do que você está protegendo ajudará a justificar as despesas de segurança.
· Criar uma política de segurança – Criar uma política que define claramente as regras da empresa, os deveres e as expectativas do trabalho.
· Medidas de segurança física – Restringir o acesso a racks de rede, locais de servidor, bem como supressão de fogo.
· Medidas de segurança de recursos humanos – Os antecedentes dos funcionários devem ser devidamente pesquisados.
· Executar e testar backups – Fazer backups regulares e teste de recuperação de dados de backups.
· Manter atualizações e patches de segurança – Atualizar regularmente o servidor e os sistemas operacionais e programas de dispositivos de rede e do cliente.
· Empregar controles de acesso – Configurar funções de usuário e níveis de privilégio, bem como autenticação forte ao usuário.
· Testar regularmente a resposta a incidentes – Empregar uma equipe de resposta a incidentes e testar cenários de resposta a emergências.
· Implementar uma rede de monitoramento, análise e ferramenta de gerenciamento - Escolher uma solução de gerenciamento de segurança que se integra a outras tecnologias.
· Implementar dispositivos de segurança de rede – Use roteadores next generation, firewalls e outros dispositivos de segurança.
· Implementar uma solução abrangente de segurança de endpoint – Use software antivírus e antimalware de nível corporativo.
· Treinar os usuários – Treinar os usuários e funcionários nos procedimentos de segurança.
· Criptografar dados – Criptografar todos os dados confidenciais da empresa, incluindo e-mail.
Algumas das orientações mais úteis são encontradas nos repositórios corporativos, tais como o Centro de recursos de segurança em computação do Instituto Nacional de Padrões e Tecnologia (NIST), conforme mostrado na figura.
Uma das empresas mais conhecidas e respeitadas para o treinamento de segurança cibernética é o Instituto SANS. Clique aqui para saber mais sobre SANS e os tipos de treinamento e certificações disponíveis.
Botnet
Uma botnet é um grupo de robôs (bots), conectados pela Internet, com a capacidade de ser controlado por um indivíduo ou grupo mal-intencionado. Um computador bot normalmente é infectado por visitar um site, abrir um anexo de e-mail ou abrir um arquivo de mídia infectado.
Uma botnet pode ter dezenas de milhares, ou até mesmo centenas de milhares, de robôs. Esses robôs podem ser ativados para distribuir malware, lançar ataques de DDoS, distribuir e-mail de spam ou executar ataques de senha de força bruta. Botnets são geralmente controlados por um servidor de comando e controle.
Os criminosos virtuais frequentemente alugam Botnets, por uma taxa, para terceiros com finalidade inapropriada.
A figura mostra como um filtro de tráfego de botnet é usado para informar a comunidade de segurança em todo o mundo sobre os botnet locais.
Kill Chain na defesa cibernética
Em segurança cibernética, a Kill Chain consiste nas etapas de um ataque de sistemas de informação. Desenvolvida pela Lockheed Martin como uma estrutura de segurança para detecção e resposta a incidente, a Cyber Kill Chain é composta das seguintes etapas:
Etapa 1. Reconhecimento - o invasor reúne informações sobre o alvo.
Etapa 2. Armamento - o invasor cria um exploit e payload mal-intencionado para enviar ao alvo.
Etapa 3. Entrega -o invasor envia o exploit e o payload mal-intencionado para o alvo por e-mail ou outro método.
Etapa 4. Exploração - o exploit é executado.
Etapa 5 Instalação - malware e backdoors são instalados no alvo.
Etapa 6. Comando e controle - controle remoto do alvo é adquirido por um servidor ou canal de comando e controle.
Etapa 7. Ação - o invasor executa ações mal-intencionadas, como roubo de informações, ou executa ataques adicionais em outros dispositivos de dentro da rede, percorrendo novamente as etapas da Kill Chain.
Para se defender contra a Kill Chain, as defesas de segurança de rede são projetadas contra essas etapas. Estas são algumas perguntas sobre as defesas de segurança da empresa, com base na Cyber Kill Chain:
• Quais são os indicadores de ataque em cada etapa da Kill Chain?
• Quais ferramentas de segurança são necessárias para detectar os indicadores de ataque em cada uma das etapas?
• Existem lacunas na capacidade de a empresa detectar um ataque?
De acordo com a Lockheed Martin, compreender as etapas de Kill Chain permitiu colocar obstáculos defensivos, retardar o ataque e, finalmente, evitar a perda de dados. A figura mostra como cada etapa de Kill Chain equivale a um aumento na quantidade de esforço e custo para inibir e remediar ataques.
Kill Chain na defesa cibernética
Em segurança cibernética, a Kill Chain consiste nas etapas de um ataque de sistemas de informação. Desenvolvida pela Lockheed Martin como uma estrutura de segurança para detecção e resposta a incidente, a Cyber Kill Chain é composta das seguintes etapas:
Etapa 1. Reconhecimento - o invasor reúne informações sobre o alvo.
Etapa 2. Armamento - o invasor cria um exploit e payload mal-intencionado para enviar ao alvo.
Etapa 3. Entrega -o invasor envia o exploit e o payload mal-intencionado para o alvo por e-mail ou outro método.
Etapa 4. Exploração - o exploit é executado.
Etapa 5 Instalação - malware e backdoors são instalados no alvo.
Etapa 6. Comando e controle - controle remoto do alvo é adquirido por um servidor ou canal de comando e controle.
Etapa 7. Ação - o invasor executa ações mal-intencionadas, como roubo de informações, ou executa ataques adicionais em outros dispositivos de dentro da rede, percorrendo novamente as etapas da Kill Chain.
Para se defender contra a Kill Chain, as defesas de segurança de rede são projetadas contra essas etapas. Estas são algumas perguntas sobre as defesas de segurança da empresa, com base na Cyber Kill Chain:
• Quais são os indicadores de ataque em cada etapa da Kill Chain?
• Quais ferramentas de segurança são necessárias para detectar os indicadores de ataque em cada uma das etapas?
• Existem lacunas nacapacidade de a empresa detectar um ataque?
De acordo com a Lockheed Martin, compreender as etapas de Kill Chain permitiu colocar obstáculos defensivos, retardar o ataque e, finalmente, evitar a perda de dados. A figura mostra como cada etapa de Kill Chain equivale a um aumento na quantidade de esforço e custo para inibir e remediar ataques.
Segurança baseada em comportamento
Segurança baseada em comportamento é uma forma de detecção de ameaças que não depende de assinaturas mal-intencionadas conhecidas, mas em vez disso, usa o contexto de informações para detectar anomalias na rede. A detecção baseada em comportamento envolve capturar e analisar o fluxo de comunicação entre um usuário na rede local e um destino local ou remoto. Estas comunicações, quando capturadas e analisadas, revelam o contexto e os padrões de comportamento que podem ser usados para detectar anomalias. A detecção baseada em comportamento pode descobrir a presença de um ataque por uma mudança no comportamento normal.
· Honeypots - a Honeypot é uma ferramenta de detecção baseada em comportamento que primeiro atrai o invasor apelando ao padrão previsto de comportamento malicioso, e então, quando dentro da honeypot, o administrador de rede pode capturar, registrar e analisar o comportamento do invasor. Isso permite que um administrador obtenha mais conhecimento e desenvolva uma defesa melhor.
· Arquitetura de soluções da Threat Defense Cyber da Cisco - esta é uma arquitetura de segurança que usa detecção baseada em comportamento e indicadores para fornecer maior visibilidade, contexto e controle. O objetivo é saber quem, o quê, onde, quando e como um ataque está ocorrendo. Essa arquitetura de segurança usa muitas tecnologias de segurança para atingir esse objetivo.
NetFlow
A Tecnologia NetFlow é usada para coletar informações sobre dados fluindo por uma rede. As informações do NetFlow podem ser comparadas a uma conta de telefone para seu tráfego de rede. Ele mostra quem e o que são dispositivos na sua rede, quando e como os usuários e dispositivos acessaram a sua rede. O NetFlow é um componente importante na análise e detecção baseada em comportamento. Switches, roteadores e firewalls equipados com NetFlow podem relatar informações sobre dados que entram, saem e se deslocam pela rede. As informações são enviadas para os coletores NetFlow que coletam, armazenam e analisam registros de NetFlow.
O NetFlow é capaz de coletar informações sobre o uso por muitas características diferentes de como os dados são movidos através da rede, como mostrado na figura. Ao coletar as informações sobre os fluxos de dados de rede, o NetFlow é capaz de estabelecer comportamentos de parâmetros em mais de 90 diferentes atributos.
CSIRT
Muitas empresas de grande porte têm uma Equipe de resposta a incidentes de segurança computacional (CSIRT) para recepção, análise e resposta de incidentes de segurança de computador, conforme mostrado na Figura 1. A principal missão da CSIRT é ajudar a garantir a preservação de dados, do sistema e da empresa pela realização de investigações abrangentes sobre incidentes de segurança computacional. Para evitar incidentes de segurança, a CSIRT da Cisco fornece avaliação proativa de riscos, planejamento de mitigação, análise de tendência de incidentes e revisão da arquitetura de segurança, conforme mostrado na Figura 2.
A CSIRT da Cisco colabora com a Forum of Incident Response and Security Teams (FIRST), National Safety Information Exchange (NSIE), Defense Security Information Exchange (DSIE) e o DNS Operations Analysis and Research Center (DNS-OARC).
Existem empresas de CSIRT nacionais e públicas, como a divisão de CERT do Instituto de Engenharia de Software na Universidade Carnegie Mellon, que estão disponíveis para ajudar empresas e CSIRTs nacionais a desenvolver, operar e melhorar os recursos de gerenciamento de incidentes.
Manual de segurança
A tecnologia está em constante mudança. Isso significa que os ataques cibernéticos estão evoluindo bastante. As novas vulnerabilidades e métodos de ataque são descobertos continuamente. A segurança está se tornando uma preocupação corporativa importante por causa da reputação resultante e o impacto financeiro de violações de segurança. Os ataques estão apontando redes importantes e dados confidenciais. As empresas devem ter planejamento, preparação, método e recuperação de uma violação.
Uma das melhores maneiras de se preparar para uma violação de segurança é evitá-la. Deve haver orientação para identificar o risco de segurança cibernética para sistemas, ativos, dados e recursos; proteger o sistema com a implementação de proteções e treinamento de pessoal; e detectar eventos de segurança cibernética o mais rápido possível. Quando é detectada uma violação de segurança, as ações apropriadas devem ser tomadas para minimizar o impacto e os danos. O plano de resposta deve ser flexível com várias opções de ação durante a violação. Depois de conter a violação e restaurar os sistemas e serviços comprometidos, as medidas e os processos de segurança devem ser atualizados para incluir as lições aprendidas durante a violação.
Todas estas informações devem ser compiladas em um manual de segurança. Um manual de segurança é uma coleção de consultas repetidas (relatórios) em fontes de dados de evento de segurança que levam à detecção e resposta a incidente. O manual de segurança deve realizar as seguintes ações:
· Detectar máquinas infectadas com malware.
· Detectar atividades suspeitas na rede.
· Detectar tentativas de autenticação irregulares.
· Descrever e compreender o tráfego de entrada e de saída.
· Fornecer informações resumidas, incluindo tendências, estatísticas e contagens.
· Dar acesso útil e rápido a estatísticas e métricas.
· Correlacionar eventos em todas as fontes de dados relevantes.
Ferramentas para prevenção e detecção de incidentes
Estas são algumas das ferramentas usadas para detectar e prevenir incidentes de segurança:
· SIEM – um sistema de informações de segurança e gerenciamento de eventos (SIEM) é um software que recolhe e analisa os alertas de segurança, registros e outros dados históricos e em tempo real dos dispositivos de segurança na rede.
· DLP – o software de prevenção de perda de dados (DLP) é um sistema de software ou hardware projetado para impedir que os dados confidenciais sejam roubados ou vazem de uma rede. Um sistema DLP pode abordar a autorização de acesso de arquivo, a troca de dados, cópia de dados, monitoramento das atividades do usuário e muito mais. Os sistemas DLP são projetados para monitorar e proteger dados em três estados diferentes: dados em uso, dados em movimento e dados em repouso. Dados em uso são focados no cliente, dados em movimento se referem aos dados em deslocamento pela rede e dados em repouso se referem ao armazenamento de dados.
· Cisco TrustSec e ISE – Cisco Identity Services Engine (Cisco ISE) e Cisco TrustSec executam o acesso aos recursos da rede através da criação de políticas de controle de acesso por função, que segmentam o acesso à rede (convidados, usuários de dispositivos móveis, funcionários) sem mais complexidade. A classificação de tráfego baseia-se na identidade do usuário ou dispositivo. Clique em Play (Reproduzir) na figura para obter mais informações sobre ISE.
· Clique aqui para ler a transcrição do vídeo
IDS e IPS
Um sistema de detecção de invasão (IDS), mostrado na figura, é um dispositivo de rede dedicado, ou uma das várias ferramentas em um servidor ou firewall que varre os dados em um banco de dados de regras ou de assinaturas de ataques, à procura de tráfego mal-intencionado. Se uma correspondência for detectada, o IDS registrará a detecção de registro e criará um alerta para um administrador de rede. O sistema de detecção de invasão não age quando uma correspondência é detectada, então não impede os ataques. O trabalho do IDS é apenas detectar, registrar e relatar.
A varredura realizada pelo IDS deixa a rede mais lenta (conhecido como latência). Para se prevenir contra o atraso de rede, um IDS é geralmentecolocado off-line, separado do tráfego de rede regular. Dados são copiados ou espelhados por um switch e então encaminhados para o IDS para a detecção off-line. Também existem ferramentas de IDS que podem ser instaladas sobre o sistema operacional do computador, como o Linux ou Windows.
Um IPS (sistema de prevenção de intrusão) tem a capacidade de bloquear ou negar o tráfego com base em uma correspondência de regra ou assinatura positiva. Um dos sistemas mais conhecidos de IPS/IDS é o Snort. A versão comercial do Snort é o Sourcefire da Cisco. O Sourcefire tem a capacidade de executar o tráfego em tempo real e análise de porta, gerar registros, buscar e corresponder conteúdo e pode detectar probes, ataques e varreduras de portas. Ele também se integra com outras ferramentas de terceiros para geração de relatórios, análise de desempenho e registro.
Capítulo 4: Proteção da empresa
Este capítulo começou discutindo algumas tecnologias e processos utilizados por profissionais de segurança cibernética para proteger a rede, o equipamento e os dados da empresa. Isto inclui tipos de firewalls, equipamentos de segurança e software.
Botnets, Kill Chain, a segurança baseada em comportamento e o uso do NetFlow para monitorar uma rede foram abordados.
Por fim, a abordagem da Cisco para segurança cibernética, incluindo a equipe CSIRT, e o manual de segurança foram explicados. Ele resume brevemente as ferramentas que os profissionais de segurança cibernética usam para detectar e prevenir ataques à rede, incluindo SIEM, DLP, Cisco ISE e TrustSec, além de sistemas IDS e IPS.
Se você quiser se aprofundar ainda mais nos conceitos deste capítulo, confira a página de Recursos e atividades adicionais nos Recursos do aluno.