Capítulo 7 Proteção de um domínio de segurança cibernética

Prévia do material em texto

Capítulo 7: Proteção de um domínio de segurança cibernética
A proteção do seu domínio é um processo contínuo para proteger a infraestrutura da rede da organização. Requer que os indivíduos permaneçam constantemente vigilantes com relação a ameaças e tomem medidas para evitar qualquer exposição ao risco. Este capítulo discute as tecnologias, processos e procedimentos que os profissionais de segurança cibernética usam para defender sistemas, dispositivos e dados que compõem a infraestrutura da rede.
Uma rede segura é tão forte quanto o seu elo mais fraco. É importante proteger os dispositivos finais que residem na rede. A segurança de endpoints inclui proteção dos dispositivos de infraestrutura da rede na LAN (Local Area Network, rede de área local) e sistemas finais, como estações de trabalho, servidores, telefones IP e access points.
A codificação dos dispositivos é uma tarefa crítica para a proteção da rede. Envolve a implementação de métodos comprovados para proteger, fisicamente, os dispositivos de rede. Alguns desses métodos envolvem a proteção do acesso administrativo, a manutenção de senhas e a implementação de comunicações seguras.
Software de sistema operacional
O sistema operacional desempenha um papel crítico na operação de um computador e é alvo de muitos ataques. A segurança do sistema operacional tem um efeito em cascata sobre a segurança geral de um computador.
Um administrador codifica um sistema operacional ao modificar a configuração padrão para torná-lo mais seguro em relação a ameaças externas. Esse processo inclui a remoção de programas e serviços desnecessários. Outro requisito crítico de codificação de sistemas operacionais é a aplicação de patches e atualizações de segurança. Patches e atualizações de segurança são correções que as empresas liberam, em uma tentativa de reduzir a vulnerabilidade e corrigir falhas em seus produtos.
Uma organização deve ter uma abordagem sistemática para endereçamento de atualizações do sistema:
· Estabelecendo procedimentos de monitoramento de informações relacionadas à segurança
· Avaliando as atualizações para aplicabilidade
· Planejamento da instalação de atualizações e patches de aplicativos
· Instalação de atualizações usando um plano documentado
Outro requisito fundamental de proteção dos sistemas operacionais é identificar possíveis vulnerabilidades. Isso pode ser feito por meio do estabelecimento de uma linha de base. Estabelecer uma linha de base permite que o administrador faça uma comparação de como um sistema está sendo executado versus suas expectativas geradas pela de linha de base.
O MBSA (Microsoft Baseline Security Analyzer, Analisador de segurança de parâmetro Microsoft) avalia as atualizações de segurança ausentes e problemas de configuração de segurança no Microsoft Windows. O MBSA verifica senhas em branco, simples ou inexistentes, configurações de firewall, status de conta de convidado, detalhes da conta de administrador, a auditoria de eventos de segurança, serviços desnecessários, compartilhamentos de rede e configurações do registro. Depois da codificação do sistema operacional, o administrador cria as políticas e procedimentos para manter um alto nível de segurança.
Antimalware
Malware inclui vírus, worms, cavalos de Troia, keyloggers, spyware, e adware. Todos eles invadem a privacidade, roubam informações, danificam o sistema ou excluem e corrompem os dados.
É importante proteger os computadores e dispositivos móveis com software antimalware de qualidade. Estão disponíveis os seguintes tipos de programas antimalware:
· Proteção antivírus - Programa que monitora, continuamente, por vírus. Quando detecta um vírus, o programa avisa o usuário e ele tenta colocar em quarentena ou excluir o vírus, como mostrado na Figura 1.
· Proteção contra adware – O programa procura continuamente por programas que exibem publicidade em um computador.
· Proteção contra phishing – O programa bloqueia endereços IP de sites de phishing conhecidos na web e avisa o usuário sobre sites suspeitos.
· Proteção contra spyware – Programa que varre o computador em busca de keyloggers e ouros tipos de spyware.
· Fontes confiáveis / não confiáveis – O programa avisa o usuário sobre programas ou sites não seguros que tentam se instalar, antes de um usuário visitá-los.
Pode ser necessário usar vários programas diferentes e fazer várias varreduras para remover completamente todos os softwares mal-intencionados. Execute apenas um programa de proteção contra malware por vez.
Várias empresas de segurança confiáveis, como McAfee, Symantec e Kaspersky, oferecem proteção completa contra malware para computadores e dispositivos móveis.
Desconfie de produtos antivírus falsos mal-intencionados que podem aparecer durante a navegação na Internet. A maioria desses produtos antivírus falso exibe um anúncio ou um pop-up que parece como uma janela de aviso real do Windows, como mostra a Figura 2. Geralmente, elas afirmam que o malware está infectando o computador e solicita ao usuário que o limpe. Clicar em qualquer lugar na janela pode iniciar o download e a instalação do malware.
Software não aprovado ou não compatível não é apenas um software que é instalado de forma não intencional em um computador. Também pode vir de usuários que queriam instalá-lo. Pode não ser mal-intencionado, mas ainda pode violar a política de segurança. Esse tipo de sistema não compatível pode interferir no software da empresa ou nos serviços de rede. Os usuários devem remover software não aprovado imediatamente.
Gerenciamento de patches
Os patches são atualizações de código que os fabricantes fornecem para evitar que um vírus ou um worm recém-descoberto façam um ataque bem-sucedido. De tempos em tempos, os fabricantes combinam patches e atualizações em uma aplicação completa de atualização chamada de service pack. Muitos ataques devastadores de vírus poderiam ter sido muito menos graves, se mais usuários tivessem baixado e instalado o service pack mais recente.
O Windows verifica, regularmente, o site Windows Update, por atualizações de alta prioridade e que podem ajudar a proteger o computador contra as mais recentes ameaças de segurança. Essas atualizações incluem atualizações de segurança, atualizações críticas e service packs. Dependendo da configuração escolhida, o Windows baixa e instala, automaticamente, todas as atualizações de alta prioridade que o computador precisa ou notifica o usuário conforme essas atualizações estiverem disponíveis.
Algumas organizações podem querer testar um patch antes de implantá-lo em toda a organização. A organização usaria um serviço para gerenciar patches localmente, em vez de usar o serviço de atualização on-line do fornecedor. Os benefícios de usar um serviço de atualização automática de patch incluem o seguinte:
· Os administradores podem aprovar ou recusar atualizações
· Os administradores podem forçar a atualização de sistemas para uma data específica
· Os administradores podem obter relatórios sobre a atualização necessária para cada sistema
· Cada computador não tem que se conectar ao serviço do fornecedor para baixar os patches. Um sistema obtém a atualização de um servidor local
· Os usuários não podem desativar ou contornar as atualizações
Um serviço de patches automáticos fornece aos administradores um ambiente mais controlado.
Firewalls baseados em host e sistemas de detecção de invasão
Uma solução baseada em host é uma aplicação de software que é executada em um computador local para protegê-lo. O software funciona com o sistema operacional para ajudar a evitar ataques.
Firewalls baseados em host
Um firewall de software é um programa que é executado em um computador para permitir ou negar tráfego entre o computador e outros computadores conectados. O firewall por software aplica um conjunto de regras a transmissões de dados por meio da inspeção e filtragem de pacotes de dados. O Firewall do Windows é um exemplo de firewall de software. O sistema operacional Windows o instala por padrão durante a instalação.
O usuário pode controlar o tipode dados enviados de e para o computador abrindo ou bloqueando as portas selecionadas. Os firewalls bloqueiam conexões de rede de entrada e de saída, a menos que sejam definidas exceções para abrir e fechar as portas necessárias para um programa.
Na Figura 1, o usuário seleciona regras de entrada para configurar os tipos de tráfego permitido no sistema. Configurar regras de entrada ajudará a proteger o sistema contra tráfego indesejado.
Sistemas de detecção de invasão do host
Um sistema de detecção de invasão do host (HIDS) é um software que é executado em um computador que monitora atividades suspeitas. Cada sistema de servidor ou de desktop que exibe proteção precisará ter o software instalado, conforme mostrado na Figura 2. O HIDS monitora chamadas do sistema e o acesso ao sistema de arquivos para garantir que as solicitações não sejam o resultado de uma atividade maliciosa. Ele também pode monitorar as configurações do registro do sistema. O registro mantém informações de configuração sobre o computador.
O HIDS armazena todos os dados de registro localmente. Ele também pode afetar o desempenho do sistema, pois é intensivo em recursos. Um sistema de detecção de invasão do host (HIDS) não pode monitorar nenhum tráfego de rede que não chegue ao sistema do host, mas monitora o sistema operacional e processos críticos do sistema específicos desse host.
Comunicações seguras
Ao se conectar à rede local e compartilhar arquivos, a comunicação entre computadores permanece dentro dessa rede. Os dados permanecem seguros porque são mantidos fora de outras redes e fora da Internet. Para comunicar e compartilhar recursos por uma rede que não seja segura, os usuários empregam uma rede privada virtual (VPN).
A VPN é uma rede privada que conecta usuários ou sites remotos por uma rede pública, como a Internet. O tipo mais comum de VPN acessa uma rede privada corporativa. A VPN usa conexões seguras dedicadas, roteadas pela Internet, da rede corporativa privada para o usuário remoto. Quando conectados à rede privada corporativa, os usuários se tornam parte dela e têm acesso a todos os serviços e recursos, como se estivessem fisicamente conectados à LAN corporativa.
Os usuários de acesso remoto devem ter o cliente VPN instalado em seus computadores para formar uma conexão segura com a rede privada corporativa. O software do cliente VPN criptografa os dados antes de enviá-los pela Internet para o gateway VPN na rede privada corporativa. Os gateways VPN estabelecem, gerenciam e controlam conexões VPN, também conhecidas como túneis VPN.
Os sistemas operacionais incluem um cliente VPN que o usuário configura para uma conexão VPN.
WEP
Um dos componentes mais importantes da computação moderna são os dispositivos móveis. A maioria dos dispositivos encontrados nas redes atuais são laptops, tablets, smartphones e outros dispositivos sem fio. Dispositivos móveis transmitem dados usando sinais de rádio que qualquer dispositivo com antena compatível pode receber. Por esse motivo, o setor de computadores desenvolveu um conjunto de padrões, produtos e dispositivos de segurança sem fio ou móveis. Esses padrões criptografam as informações transmitidas via ondas aéreas pelos dispositivos móveis.
WEP (Wired Equivalent Privacy, Privacidade equivalente por cabo) é um dos primeiros padrões de segurança Wi-Fi amplamente usado. O padrão WEP fornece autenticação e proteções por criptografia. Os padrões WEP são obsoletos, mas muitos dispositivos ainda suportam WEP para compatibilidade com versões anteriores. O padrão WEP se tornou um padrão de segurança Wi-Fi em 1999, quando a comunicação sem fio estava apenas engatinhando. Apesar de revisões no padrão e de um tamanho de chave maior, o WEP tinha inúmeras falhas de segurança. Os criminosos virtuais podem quebrar senhas WEP em minutos, usando software gratuito disponível. Apesar das melhorias, o WEP permanece altamente vulnerável e os usuários devem atualizar os sistemas que dependem do WEP.
WPA/WPA2
A próxima grande melhoria na segurança sem fio foi a introdução de WPA e WPA2. O WPA (Wi-Fi Protected Access, Acesso protegido por WiFi) foi a resposta do setor de computadores para a fraqueza do padrão WEP. A configuração mais comum de WPA é WPA-PSK (Pre-Shared Key, Chave pré-compartilhada). As chaves usadas pelo WPA são 256 bits, um aumento significativo sobre as chaves de 64 bits e 128 bits usadas no sistema WEP.
O padrão WPA forneceu várias melhorias de segurança. Primeiro, o WPA fornecia verificações de integridade da mensagem (Message Integrity Checks - MIC) que poderiam detectar se um invasor tinha capturado e alterado os dados transmitidos entre o ponto de acesso sem fio e um cliente sem fio. Outra melhoria importante de segurança foi o protocolo TKIP (Temporal Key Integrity Protocol, Protocolo de integridade da chave temporal). O padrão TKIP proporcionou a capacidade de tratar, proteger e alterar melhor as chaves de criptografia. O AES (Advanced Encryption Standard, Padrão de criptografia avançada) substituiu o TKIP por um melhor gerenciamento de chaves e proteção de criptografia..
O WPA, assim como seu antecessor, o WEP, incluiu várias vulnerabilidades amplamente reconhecidas. Como resultado, o lançamento do padrão WPA2 (Wi-Fi Protected Access II, Acesso protegido por Wi-Fi II) aconteceu em 2006. Uma das melhorias de segurança mais significativas do WPA para o WPA2 foi o uso obrigatório de algoritmos AES e a introdução do Modo de cifra do contador com protocolo de código de autenticação de mensagem de encadeamento de bloco (CCM) como um substituto para TKIP.
Autenticação mútua
Uma das grandes vulnerabilidades das redes sem fio é o uso de access points não autorizados. Access points são os dispositivos que se comunicam com os dispositivos sem fio e os conectam de volta à rede cabeada. Qualquer dispositivo que tenha uma interface transmissora sem fio e cabeada ligada a uma rede pode, possivelmente, agir como access point não autorizado. O access point não autorizado pode imitar um access point autorizado. O resultado é que os dispositivos sem fio na rede sem fio estabelecem comunicação com o access point não autorizado, em vez de com o access point autorizado.
O impostor pode receber solicitações de conexão, copiar os dados na solicitação e encaminhar os dados para o access point autorizado da rede. Esse tipo de ataque man in the middle é muito difícil de detectar e pode resultar em credenciais de logon roubadas e dados transmitidos. Para evitar access points não autorizados, o setor de computadores desenvolveu a autenticação mútua. A autenticação mútua, também chamada de autenticação bidirecional, é um processo ou tecnologia em que as duas entidades de um link de comunicação se autenticam. Em um ambiente de rede sem fio, o cliente faz a autenticação no access point e o access point autentica o cliente. Essa melhoria permitiu aos clientes detectar access points não autorizados, antes de se conectarem a esse dispositivo.
Controle de acesso de arquivos
As permissões são regras que você configura para limitar o acesso de um indivíduo ou de um grupo de usuários a uma pasta ou a um arquivo. A figura lista as permissões disponíveis para arquivos e pastas.
Princípio de Menos Privilégio
Os usuários devem ser limitados apenas aos recursos que precisam em um sistema computacional ou em uma rede. Por exemplo, não devem poder acessar todos os arquivos de um servidor se só precisarem acessar uma única pasta. Pode ser mais fácil fornecer acesso de usuários à unidade inteira, mas é mais seguro limitar o acesso somente à pasta que o usuário precisa para realizar seu trabalho. Esse é o princípio de menos privilégio. Limitar o acesso aos recursos também evita que os programas mal-intencionados acessem esses recursos, se o computador do usuário ficar infectado.
Restringindo Permissões de Usuário
Se um administrador negar permissões a um indivíduo ou a um grupo para um compartilhamento de rede, essa negação substituirá todas as outras configurações de permissões. Por exemplo, se o administrador negar a alguémpermissão para um compartilhamento de rede, o usuário não poderá acessar esse compartilhamento, mesmo se o usuário for o administrador ou fizer parte do grupo administrador. A política de segurança local deve descrever quais recursos e o tipo de acesso são permitidos para cada usuário e grupo.
Quando um usuário altera as permissões de uma pasta, tem a opção de aplicar as mesmas permissões para todas as subpastas. Isso se chama propagação de permissões. A propagação de permissões é uma maneira fácil de aplicar permissões rapidamente a vários arquivos e pastas. Depois que as permissões da pasta pai tiverem sido definidas, as pastas e os arquivos criados dentro da pasta pai herdam as permissões da pasta pai.
Além disso, o local dos dados e a ação realizada nos dados determinam a propagação das permissões:
· Os dados movidos para o mesmo volume manterão as permissões originais
· Os dados copiados para o mesmo volume herdarão novas permissões
· Os dados movidos para um volume diferente herdarão novas permissões
· Os dados copiados para um volume diferente herdarão novas permissões
Criptografia de arquivo
A criptografia é uma ferramenta usada para proteger os dados. A criptografia transforma os dados usando um algoritmo complicado para torná-los ilegíveis. Uma chave especial transforma as informações ilegíveis novamente em dados legíveis. Programas são usados para criptografar arquivos, pastas e, até mesmo, unidades inteiras.
O EFS (Encrypting File System, Sistema de Criptografia de Arquivos) é uma característica do Windows que pode criptografar dados. A implementação do Windows EFS leva-o diretamente para uma conta de usuário específica. Apenas o usuário que criptografou os dados poderá acessar os arquivos ou pastas criptografados.
Um usuário também pode escolher criptografar um disco rígido inteiro no Windows, usando um recurso chamado BitLocker. Para usar BitLocker, pelo menos dois volumes devem estar presentes em um disco rígido.
Antes de usar o BitLocker, o usuário precisa ativar o TPM (Trusted Platform Module, Módulo de plataforma confiável) na BIOS. O TPM é um chip especializado instalado na placa-mãe. O TPM armazena informações específicas do sistema host, como chaves de criptografia, certificados digitais e senhas. Os aplicativos, como o BitLocker, que usam criptografia, podem usar o chip de TPM. Clique em Administração do TPM para visualizar os detalhes do TPM, como mostrado na Figura.
O BitLocker To Go criptografa unidades removíveis. O BitLocker To Go não usa um chip de TPM, mas ainda fornece criptografia dos dados e exige uma senha.
Sistema e backups de dados
Uma organização pode perder dados se criminosos virtuais roubá-los, se houver falha do equipamento ou ocorrer um desastre. Por isso, é importante realizar, regularmente, um backup dos dados.
Um backup dos dados armazena uma cópia das informações de um computador na mídia de backup removível. O operador armazena a mídia de backup em um local seguro. Fazer backup de dados é uma das formas mais eficazes de proteção contra perda de dados. Se houver falha no hardware do computador, o usuário pode restaurar os dados do backup, depois que o sistema estiver funcional.
A política de segurança da organização deve incluir backups dos dados. Os usuários devem realizar backups dos dados regularmente. Os backups de dados são, normalmente, armazenados em outro local, para proteger a mídia de backup, se algo acontecer com a instalação principal.
Estas são algumas considerações para backup de dados:
· Frequência - Os backups podem levar muito tempo. Às vezes é mais fácil fazer um backup completo mensal ou semanal, e depois backups parciais frequentes de todos os dados que tiverem mudado, desde o último backup completo. No entanto, ter muitos backup parciais aumenta o tempo necessário para restaurar os dados.
· Armazenamento - Para segurança adicional, os backups devem ser transportados para um local de armazenamento externo aprovado em uma rotação diária, semanal ou mensal, conforme estipulado pela política de segurança.
· Segurança-Proteja os backups com senhas. Em seguida, o operador digita a senha, antes de restaurar os dados na mídia de backup.
· Validação - Valide sempre os backups para garantir a integridade dos dados.
Triagem e bloqueio de conteúdo
O software de controle de conteúdo restringe o conteúdo que um usuário pode acessar usando um navegador da Web na Internet. O software de controle de conteúdo pode bloquear sites que contenham certos tipos de material, como pornografia ou conteúdo controverso político ou religioso. Um pai pode implementar o software de controle de conteúdo no computador usado pelo filho. Escolas e bibliotecas também implementam o software para impedir o acesso a conteúdos considerados inadequados.
Um administrador pode implementar os seguintes tipos de filtros:
· Filtros baseados em navegador por meio de uma extensão de navegador de terceiros
· Filtros de e-mail por meio de um filtro baseado em cliente ou servidor
· Filtros de cliente instalados em um computador específico
· Filtros de conteúdo baseados no roteador que bloqueiam a entrada do tráfego na rede
· Filtros de conteúdo baseados em dispositivo semelhante ao baseado em roteador
· Filtragem de conteúdo baseado na nuvem
Os mecanismo de pesquisa, como o Google, oferecem a opção de ligar um filtro de segurança para excluir links inapropriados nos resultados da pesquisa.
Clique aqui para ver uma comparação dos fornecedores de software de controle de conteúdo.
Clonagem de disco e Deep Freeze
Muitos aplicativos de terceiros estão disponíveis para restaurar um sistema para um estado padrão. Isso permite que o administrador proteja o sistema operacional e os arquivos de configuração para um sistema.
A clonagem de disco copia o conteúdo do disco rígido do computador em um arquivo de imagem. Por exemplo, um administrador cria as partições necessárias em um sistema, formata a partição e, em seguida, instala o sistema operacional. Ele instala todos os softwares de aplicativo necessários e configura todo o hardware. Em seguida, o administrador usa um software de clonagem de disco para criar o arquivo de imagem O administrador pode usar a imagem clonada da seguinte forma:
· Para limpar automaticamente um sistema e restaurar uma imagem principal limpa
· Para implantar novos computadores dentro da organização
· Para fornecer um backup completo do sistema
Clique aqui para ver uma comparação de softwares de clonagem de disco.
Deep Freeze "congela" a partição do disco rígido. Quando um usuário reinicia o sistema, o sistema é revertido para sua configuração congelada. O sistema não salva as alterações que o usuário faz, portanto, todos os aplicativos instalados ou arquivos salvos são perdidos quando o sistema é reiniciado.
Se o administrador precisar alterar a configuração do sistema, deverá, primeiro, "descongelar" a partição protegida, desativando o Deep Freeze. Depois de fazer as alterações, deverá reativar o programa. O administrador pode configurar o Deep Freeze para reiniciar depois que um usuário fizer logoff, desligar depois de um período de inatividade ou desligar em um horário agendado.
Esses produtos não oferecem proteção em tempo real. Um sistema permanece vulnerável, até que o usuário ou um evento agendado reinicie o sistema. Um sistema infectado com código malicioso fica como novo, assim que o sistema é reiniciado.
Cabos e bloqueios de segurança
Existem vários métodos de proteger fisicamente o hardware:
· Use bloqueios de cabos nos equipamentos, como mostra a Figura 1.
· Mantenha as salas de telecomunicações trancadas.
· Use gaiolas de segurança ao redor do equipamento.
Muitos dispositivos portáteis e monitores de computadores caros têm um slot de segurança de suporte especial em aço construído para usar em conjunto com fechaduras de cabo de aço.
O tipo mais comum de trava da porta é uma trava de entrada com uma chave padrão. Ele não trava automaticamente quando a porta se fecha. Além disso, um indivíduo pode colocar um cartão de plástico fino, como um cartão de crédito,entre a fechadura e a porta, para forçar a porta a abrir. Fechaduras em edifícios comerciais são diferentes das fechaduras residenciais. Para segurança adicional, uma trava deadbolt oferece segurança extra. Qualquer fechadura que requeira uma chave, porém, apresenta uma vulnerabilidade, se as chaves forem perdidas, roubadas ou duplicadas.
Uma trava de cifra, mostrada na Figura 2, usa botões que um usuário pressiona em uma determinada sequência, para abrir a porta. É possível programar uma trava de cifra. Isso significa que o código de um usuário só pode funcionar durante certos dias ou em determinados momentos. Por exemplo, uma trava de cifra só pode permitir o acesso de Bob à sala do servidor entre as 7 horas e as 18 horas de segunda à sexta. Travas de cifra também podem manter um registro de quando a porta se abriu e do código usado para abri-la.
Temporizadores de logoff
Um funcionário se levanta e deixa o seu computador para fazer uma pausa. Se o funcionário não tomar nenhuma medida para proteger sua estação de trabalho, qualquer informação nesse sistema estará vulnerável a um usuário não autorizado. Uma organização pode tomar as seguintes medidas para impedir o acesso não autorizado:
Limite de Tempo de inatividade e Bloqueio de Tela
Os funcionários podem ou não podem fazer logoff do computador quando saem do local de trabalho. Portanto, é uma prática recomendada de segurança configurar um temporizador de inatividade que fará, automaticamente, o logoff do usuário e bloqueará a tela, depois de um período especificado. O usuário deve fazer login novamente para desbloquear a tela.
Horário de Login
Em algumas situações, uma organização pode querer que os funcionários façam logon durante horas específicas, como das 7 horas às 18 horas. O sistema bloqueia logons durante as horas que estão fora do horário de logon permitido.
Rastreamento de GPS
O GPS (Global Positioning System, Sistema de posicionamento Global) usa satélites e computadores para determinar a localização de um dispositivo. A tecnologia GPS é um recurso padrão em smartphones que fornece o rastreamento da posição em tempo real. O rastreamento por GPS pode identificar um local em até 100 metros. Essa tecnologia está disponível para rastrear as crianças, idosos, animais de estimação e veículos. Usar o GPS para localizar um telefone celular sem a permissão do usuário, porém, é uma invasão de privacidade e é ilegal.
Muitos aplicativos de celular usam rastreamento por GPS para rastrear a localização do telefone. Por exemplo, o Facebook permite aos usuários fazer check-in em um local, que, em seguida, fica visível para as pessoas em suas redes.
Inventário e etiquetas RFID
A RFID (Radio Frequency Identification, Identificação por radiofrequência) usa ondas de rádio para identificar e rastrear objetos. Os sistemas de inventário de RFID usam tags fixadas em todos os itens que uma empresa quer rastrear. Os identificadores contêm um circuito integrado que se conecta a uma antena. As etiquetas RFID são pequenas e exigem muito pouca energia e, portanto, não precisam de uma bateria para armazenar informações a serem trocadas com um leitor. A RFID pode ajudar a automatizar o rastreio de ativos ou o bloqueio/desbloqueio sem fio ou, ainda, a configurar dispositivos eletrônicos.
Os sistemas RFID operam em frequências diferentes. Sistemas de baixa frequência têm um intervalo de leitura mais curto e taxas de leitura de dados mais lentas, mas não são tão sensíveis à interferência de ondas de rádio causadas por líquidos e metais presentes. Frequências mais altas têm uma taxa de transferência de dados mais rápida e intervalos de leitura mais longos, mas são mais sensíveis à interferência de ondas de rádio.
Gerenciamento de acesso remoto
Acesso remoto refere-se a qualquer combinação de hardware e software que permite aos usuários acessar remotamente uma rede local interna.
Com o sistema operacional Windows, os técnicos podem usar o desktop remoto e a assistência remota para reparar e atualizar computadores. O desktop remoto, como mostrado na figura , permite que os técnicos visualizem e controlem um computador de um local remoto. A Assistência Remota permite que os técnicos ajudem os clientes com problemas de um local remoto. A assistência remota também permite que o cliente visualize o reparo ou atualização em tempo real na tela.
O processo de instalação do Windows não ativa o desktop remoto por padrão. Ativar esse recurso abre a porta 3389 e pode resultar em uma vulnerabilidade, se um usuário não precisar desse serviço.
Telnet, SSH e SCP
O Secure Shell (SSH) é um protocolo que fornece uma conexão de gerenciamento seguro (criptografado) a um dispositivo remoto. O SSH deve substituir o Telnet nas conexões de gerenciamento. O Telnet é um protocolo mais antigo que usa transmissão de texto não criptografado, não protegido, tanto para autenticação de logon (nome de usuário e senha) quanto para dados transmitidos entre os dispositivos de comunicação. O SSH fornece segurança para conexões remotas, proporcionando criptografia forte quando um dispositivo é autenticado (nome de usuário e senha) e também para a transmissão dos dados entre os dispositivos de comunicação. O SSH usa a porta TCP 22. Já o Telnet usa a porta 23.
Na Figura 1, os criminosos virtuais monitoram pacotes usando o Wireshark. Na Figura 2, os criminosos virtuais capturam o nome de usuário e a senha do administrador a partir da sessão Telnet de texto simples.
A figura 3 mostra a visão do Wireshark de uma sessão de SSH. Os criminosos virtuais rastreiam a sessão usando o endereço IP do dispositivo do administrador, mas na Figura 4, a sessão criptografa o nome de usuário e a senha.
A SCP (Secure Copy, cópia segura), transfere, com segurança, arquivos de computador entre dois sistemas remotos. O SCP usa o SSH para a transferência de dados (incluindo o elemento de autenticação), para que o SCP garanta a autenticidade e a confidencialidade dos dados em trânsito.
Proteção de portas e serviços
Os criminosos virtuais exploram os serviços em execução em um sistema, porque eles sabem que a maioria dos dispositivos executam mais serviços ou programas do que precisam. Um administrador deve olhar para cada serviço para verificar a sua necessidade e avaliar o risco. Remova todos os serviços desnecessários.
Um método simples aplicado por muitos administradores para proteger a rede contra acesso não autorizado consiste em desativar todas as portas não utilizadas em um switch. Por exemplo, se um switch tem 24 portas e há três conexões Fast Ethernet em uso, é boa prática desativar as 21 portas não utilizadas.
O processo de ativação e desativação de portas pode consumir muito tempo, mas aumenta a segurança na rede e compensa o esforço.
Contas privilegiadas
Os criminosos virtuais exploram as contas com privilégios, pois são as contas mais poderosas da organização. Contas com privilégios têm as credenciais para acessar sistemas e fornecem acesso elevado e irrestrito. Os administradores usam essas contas para implantar e gerenciar sistemas operacionais, aplicativos e dispositivos de rede. A figura resume os tipos de contas com privilégios.
A organização deve adotar as seguintes melhores práticas para proteger as contas com privilégios:
· Identificar e reduzir o número de contas com privilégios
· Aplicar o princípio de menor privilégio
· Estabelecer um processo de extinção dos direitos, quando os funcionários saem ou mudam de emprego
· Eliminar contas compartilhadas com senhas que não expiram
· Armazenar a senha de forma segura
· Eliminar as credenciais compartilhadas por vários administradores
· Alterar automaticamente as senhas de contas com privilégio a cada 30 ou 60 dias
· Registro de sessões com privilégios
· Implementar um processo para alterar senhas incorporadas para scripts e contas de serviço
· Registrar todas as atividades do usuário
· Gerar alertas para comportamento incomum
· Desativar contas inativas com privilégios
· Use a autenticação de vários fatores para todos os acessos administrativos
· Implementar um gatewayentre o usuário final e os recursos ativos sensíveis para limitar a exposição da rede ao malware
Bloquear contas com privilégios é fundamental para a segurança da organização. Proteger essas contas deve ser um processo contínuo. Uma organização deve avaliar esse processo para realizar os ajustes necessários para melhorar a segurança.
Políticas de grupo
Na maioria das redes que usam computadores Windows, um administrador configura o Active Directory com domínios em um Windows Server. Computadores Windows são membros de um domínio. O administrador configura uma política de segurança de domínio que se aplica a todos os computadores que participam do domínio. As diretivas de contas são configuradas automaticamente, quando um usuário faz login no Windows.
Quando um computador não faz parte de um domínio do Active Directory, o usuário configura políticas por meio da Política de Segurança Local do Windows Em todas as versões do Windows exceto na Home Edition, digite secpol. msc no comando Executar para abrir a ferramenta de Política de Segurança Local.
Um administrador configura políticas de conta de usuário, como políticas de senha e políticas de bloqueio, expandindo o menu Políticas de conta > Política de senha. Com as configurações mostradas na Figura 1, os usuários devem alterar suas senhas a cada 90 dias e usar essa nova senha por pelo menos um (1) dia. As senhas devem conter oito (8) caracteres e três das quatro categorias a seguir: letras maiúsculas, letras minúsculas, números e símbolos. Por último, o usuário pode reutilizar uma senha somente depois de 24 senhas exclusivas.
Uma política de bloqueio de conta bloqueia um computador por uma período configurado quando ocorrem muitas tentativas de logon incorretas. Por exemplo, a política mostrada na Figura 2 permite que o usuário digite o nome de usuário e/ou senha errados cinco vezes. Depois de cinco tentativas, a conta é bloqueada por 30 minutos. Depois de 30 minutos, o número de tentativas é redefinido para zero e o usuário pode tentar entrar novamente.
Mais configurações de segurança estão disponíveis ao expandir a pasta Políticas locais. Uma política de auditoria cria um arquivo de log de segurança usado para rastrear os eventos listados na Figura 3
Alimentação
Uma questão crítica na proteção de sistemas de informação são os sistemas de energia elétrica e as considerações sobre energia. Um fornecimento contínuo de energia elétrica é fundamental nas enormes instalações de armazenamento de dados e de servidores atuais. Aqui estão algumas regras gerais na construção de sistemas eficazes de alimentação elétrica:
· Data centers devem estar em uma fonte de alimentação diferente do resto do edifício
· Fontes de alimentação redundantes: dois ou mais feeds (fontes de alimentação) provenientes de duas ou mais subestações elétricas
· Condições de alimentação
· Backup de sistemas de energia são, muitas vezes, necessários
· Uma UPS deve estar disponível para sistemas de desligamento normais
Uma organização deve proteger-se de vários problemas, ao projetar seus sistemas de fornecimento de energia elétrica.
Excesso de energia
· Pico: alta tensão momentânea
· Sobrecarga: alta tensão prolongada
Perda de energia
· Falha: perda momentânea de energia
· Blackout - Perda completa de energia
Degradação de energia
· Sag/dip: baixa tensão momentânea
· Queda de energia: baixa tensão prolongada
· Corrente de Inrush (Pico de Corrente): sobrecarga inicial de energia
Aquecimento, ventilação e ar-condicionado (HVAC)
Sistemas HVAC são críticos para a segurança de pessoas e sistemas de informação nas instalações da empresa. Ao projetar instalações modernas de TI, esses sistemas desempenham um papel muito importante na segurança geral. Sistemas HVAC controlam o meio ambiente (temperatura, umidade, fluxo de ar e filtragem do ar) e devem ser planejados e operados juntamente com outros componentes do data center, como hardware de computação, cabeamento, armazenamento de dados, proteção contra incêndio, sistemas de segurança física e energia. Quase todos os dispositivos de hardware de computador físicos vêm com requisitos ambientais que incluem temperatura aceitável e faixas de umidade. Os requisitos ambientais estão em um documento de especificações do produto ou em um guia de planejamento físico. É fundamental manter esses requisitos ambientais para evitar falhas de sistema e prolongar a vida dos sistemas de TI. Sistemas HVAC comerciais e outros sistemas de gerenciamento de edifício agora se conectam à Internet para monitoramento e controle remotos. Eventos recentes mostraram que esses sistemas (geralmente chamados “sistemas inteligentes”) também criam grandes implicações de segurança.
Um dos riscos associados a sistemas inteligentes é que os indivíduos que acessam e gerenciam o sistema trabalham para um empreiteiro ou um fornecedor terceirizado. Como os técnicos de HVAC precisam conseguir encontrar informações rapidamente, dados vitais tendem ser armazenados em diferentes lugares, tornando-os acessíveis para um número ainda maior de pessoas. Essa situação permite que uma ampla gama de indivíduos, inclusive associados de empreiteiros, obtenham acesso às credenciais de um sistema HVAC. A interrupção desses sistemas pode representar um risco considerável para a segurança da informação da empresa.
Monitoramento de hardware
O monitoramento de hardware geralmente é encontrado em grandes parques de servidores (Server farm). Um parque de servidores (server farm) é uma instalação que abriga centenas ou milhares de servidores para empresas. A Google tem vários parques de servidores em todo o mundo para fornecer ótimos serviços. Mesmo as menores empresas estão construindo parques de servidores locais para abrigar o número crescente de servidores necessários para a realização de seus negócios. Sistemas de monitoramento de hardware são usados para monitorar a saúde desses sistemas e para minimizar o tempo de inatividade do servidor e do aplicativo. Sistemas de monitoramento de hardware modernos usam portas USB e portas de rede para transmitir a condição de temperatura da CPU, status da fonte de alimentação, velocidade e temperatura do ventilador, status da memória, espaço em disco e status da placa de rede. Sistemas de monitoramento de hardware permitem que um técnico monitore centenas ou milhares de sistemas em um único terminal. Como o número de parques de servidores continua a crescer, os sistemas de monitoramento de hardware se tornaram uma contramedida de segurança essencial.
Centros de operação
O NOC (Network Operation Center, Centro de operação de rede) é um ou mais locais que contêm as ferramentas que fornecem aos administradores um status detalhado da rede da empresa. O NOC é a base da solução de problemas de rede, monitoramento de desempenho, distribuição e atualizações de software e gerenciamento de dispositivo.
O SOC (Security Operation Center, Centro de operação de segurança) é um site dedicado que monitora, avalia e defende os sistemas de informação da empresa, como sites, aplicações, bancos de dados, data centers, redes, servidores e sistemas de usuários. Um SOC é uma equipe de analistas de segurança que detecta, analisa, responde, relata e previne incidentes de segurança cibernética.
Essas duas entidades usam uma estrutura de camadas hierárquicas para processar eventos. A primeira camada trata todos os eventos e escalona qualquer evento que não puder processar para a segunda camada. A equipe da camada 2 analisa o evento em detalhes para tentar resolvê-lo. Se não conseguirem, eles escalonam o evento para a Camada 3, os especialistas no assunto.
Para medir a eficácia geral de um centro de operação, uma empresa irá realizar exercícios e treinos realistas. Um exercício de simulação tabletop é um procedimento estruturado por uma equipe para simular um evento e avalia a eficácia do centro de operação. Uma medida mais eficaz é simular uma invasão completa, sem nenhum aviso. Isso envolve o uso de uma equipe vermelha (Red Team), um grupo de indivíduos independentes que desafia os processosdentro de uma empresa, para avaliar a eficácia da empresa. Por exemplo, a equipe vermelha deve atacar um sistema de missão crítica e incluir o reconhecimento e ataque, escalonamento de privilégios e acesso remoto.
Switches, roteadores e dispositivos de rede
Os dispositivos de rede são enviados sem senhas ou com senhas padrão. Altere as senhas padrão, antes de conectar qualquer dispositivo à rede. Documente as alterações nos dispositivos de rede e registre as alterações. Por fim, examine todos os logs de configuração.
As seções a seguir abordam várias medidas que um administrador pode tomar para proteger vários dispositivos de rede.
Switches
Switches de rede são o coração da rede de comunicação de dados moderna. A principal ameaça aos switches de rede são roubo, acesso remoto e invasão, ataques contra os protocolos de rede, como ARP/STP ou ataques contra o desempenho e a disponibilidade. Várias contramedidas e controles podem proteger switches de rede, incluindo a melhoria da segurança física, configuração avançada e a implementação de atualizações e patches adequados do sistema, conforme necessário. Outro controle eficaz é a implementação da segurança de porta. Um administrador deve proteger todas as portas do switch (interfaces), antes de implantar o switch para uso em produção. Uma maneira de proteger as portas consiste em implementar um recurso chamado segurança de portas. A segurança de portas limita o número de endereços MAC válidos permitidos em uma porta. O switch permite o acesso a dispositivos com endereços MAC legítimos, enquanto nega outros endereços MAC.
VLANs
As VLANs fornecem uma forma de agrupar dispositivos em uma LAN e em switches individuais. As VLANs usam conexões lógicas em vez de físicas. Portas individuais de um switch podem ser atribuídas a uma VLAN específica. Outras portas podem ser usadas para interconectar fisicamente os switches e permitir o tráfego de várias VLANs entre os switches. Essas portas são chamadas Trunks (troncos).
Por exemplo, o departamento de RH pode precisar proteger dados confidenciais. As VLANs permitem que um administrador segmente redes com base em fatores como função, equipe de projeto ou aplicação, sem considerar o local físico do usuário ou do dispositivo, conforme mostrado na Figura 1. Os dispositivos em uma VLAN atuam como se estivessem em sua própria rede independente, mesmo que compartilhem uma infraestrutura comum com outras VLANs. Uma VLAN pode separar grupos que têm dados confidenciais do resto da rede, diminuindo as chances de violações de informações confidenciais. Troncos permitem que indivíduos na VLAN do RH estejam conectados fisicamente a vários switches diferentes.
Existem muitos tipos diferentes de ataques e vulnerabilidades de VLANs. Eles podem incluir atacar a VLAN e os protocolos de transporte. Os detalhes desses ataques estão além do escopo deste curso. Os hackers podem atacar também a disponibilidade e o desempenho da VLAN. Contramedidas comuns incluem o monitoramento de alterações e do desempenho da VLAN, configurações avançadas e aplicações regulares de patches e atualizações do sistema no IOS.
Firewalls
Firewalls são soluções de hardware ou software que aplicam políticas de segurança de rede. Um firewall filtra a entrada de pacotes não autorizados ou possivelmente perigosos na rede (Figura 2). Um firewall simples fornece recursos básicos de filtragem de tráfego usando ACLs (Access Control Lists, Listas de controle de acesso). Administradores usam ACLs parar interromper o tráfego ou permitir somente o tráfego autorizado em suas redes. Uma ACL é uma lista sequencial de instruções de permissão ou de negação que se aplica a endereços ou protocolos. As ACLs são uma forma poderosa de controle de tráfego dentro e fora da rede. Os firewalls mantêm ataques fora de uma rede privada e são um alvo comum de hackers para derrotar as proteções de firewall. A principal ameaça aos firewalls são roubo, acesso remoto e hacker, ataques contra as ACLs ou ataques contra o desempenho e a disponibilidade. Várias contramedidas e controles podem proteger firewalls, incluindo a melhoria da segurança física, configuração avançada, acesso e autenticação remotos e atualizações e patches adequados do sistema são necessários.
Roteadores
Os roteadores formam o backbone da Internet e das comunicações entre redes diferentes. Os roteadores se comunicam para identificar o melhor caminho possível para entregar o tráfego em redes diferentes. Os roteadores usam protocolos de roteamento para tomar a decisão de roteamento. Os roteadores também podem integrar outros serviços, como recursos de switching e firewall. Essas operações fazem dos roteadores os alvos preferenciais. A principal ameaça aos switches de rede são roubo, acesso remoto e invasão, ataques contra os protocolos de roteamento, como RIP/OSPF ou ataques contra o desempenho e a disponibilidade. Várias contramedidas e controles podem proteger roteadores de rede, inclusive a melhoria da segurança física, definições de configurações avançadas, uso de protocolos de roteamento seguros com autenticação e atualizações e patches adequados do sistema, conforme necessário.
Dispositivos móveis e sem fio
Dispositivos móveis e sem fio se tornaram o tipo predominante de dispositivos na maioria das redes modernas. Eles fornecem mobilidade e conveniência, mas também representam uma série de vulnerabilidades. Essas vulnerabilidades incluem roubo, invasão e acesso remoto não autorizado, sniffing, ataques man in the middle e ataques contra o desempenho e a disponibilidade. A melhor forma de proteger uma rede sem fio é usar autenticação e criptografia. O padrão sem fio original, 801.11, introduziu dois tipos de autenticação, como mostrado na figura:
· Autenticação de sistema aberto – Qualquer dispositivo sem fio pode se conectar à rede sem fio. Use esse método em situações em que a segurança não seja uma preocupação.
· Autenticação de chave compartilhada – Fornece mecanismos para autenticar e criptografar dados entre um cliente sem fio e um AP ou um roteador sem fio.
Estas são as três técnicas de autenticação de chave compartilhada para WLANs:
· WEP (Wired Equivalent Privacy - Privacidade Equivalente à de Redes com Fios) – Era a especificação 802.11 original que protegia as WLANs. Entretanto, como a chave de criptografia nunca muda durante a troca de pacotes, é fácil de invadir.
· WPA (Wi-Fi Protected Access - Acesso Protegido a Wi-FI) – Este padrão usa WEP, mas protege os dados com um algoritmo de criptografia muito mais forte: o TKIP (Temporal Key Integrity Protocol - Protocolo de Integridade de Chave Temporal). O TKIP muda a chave para cada pacote, dificultando o trabalho dos hackers.
· IEEE 802.11i/WPA2 – O IEEE 802.11i é o padrão do setor em vigor para proteger WLANs. O 802.11i e o WPA2 usam o AES (Advanced Encryption Standard, Padrão de criptografia avançada) para criptografia, que atualmente é o protocolo de criptografia mais forte.
Desde 2006, qualquer dispositivo que utiliza o logo Wi-Fi Certified é um WPA2 certificado. Portanto, as WLANs modernas devem usar sempre o padrão 802.11i/WPA2. Outras contramedidas incluem melhoria na segurança física e atualizações e aplicações de patches do sistema regularmente nos dispositivos.
Serviços de rede e de roteamento
Os criminosos usam serviços de rede vulneráveis para atacar um dispositivo ou usá-lo como parte do ataque. Para verificar os serviços de rede não protegidos, verifique se um dispositivo tem portas abertas usando um scanner de porta. Um scanner de porta é um aplicativo que verifica se um dispositivo tem portas abertas, enviando uma mensagem para cada porta e esperando uma resposta. A resposta indica como a porta é usada. Os criminosos virtuais também irão usar scanners de porta pelo mesmo motivo. Proteger os serviços de rede garante que somente as portas necessárias estejam expostas e disponíveis.
Protocolo de Controle Dinâmico de Host (DHCP)
O DHCP usa um servidor para atribuir um endereço IP e outras informações de configuração automaticamente aos dispositivosde rede. Na realidade, o dispositivo está obtendo uma permissão do servidor DHCP para usar a rede. Os invasores podem direcionar os servidores DHCP para negar o acesso a dispositivos na rede. A Figura 1 fornece uma lista de verificação de segurança para DHCP.
Sistema de Nomes de Domínio (DNS)
O DNS resolve um endereço de URL (Uniform Resource Locator, Localizador de recursos uniformes) ou de site (http://www.cisco.com) para o endereço IP do site. Quando os usuários digitam um endereço da Web na barra de endereços eles dependem de servidores DNS para resolver o endereço IP real desse destino. Os invasores podem direcionar os servidores DNS para negar o acesso aos recursos da rede ou redirecionar o tráfego para sites falsos. Clique na Figura 2 para visualizar uma lista de verificação de segurança para o DNS. Use serviço e autenticação seguros entre servidores DNS para protegê-los contra esses ataques.
protocolo ICMP
Dispositivos de rede usam ICMP para enviar mensagens de erro como quando um serviço solicitado não está disponível ou se o host não pode acessar o roteador. O comando ping é um utilitário de rede que usa o ICMP para testar a acessibilidade de um host em uma rede. O ping envia mensagens ICMP para o host e aguarda uma resposta. Os criminosos virtuais podem alterar o uso de ICMP para as finalidades erradas listadas na Figura 3. Ataques de negação de serviço usam ICMP e, por isso, tantas redes filtram determinadas solicitações ICMP para impedir esses ataques.
Protocolo de Informação de Roteamento (RIP)
O RIP limita o número de saltos permitidos em um caminho em uma rede do dispositivo de origem para o destino. O número máximo de saltos permitidos para o RIP é 15. O RIP é um protocolo de roteamento usado para trocar informações de roteamento sobre quais redes cada roteador pode acessar e a que distância estão essas redes. O RIP calcula a melhor rota, com base na contagem de saltos. A Figura 4 lista as vulnerabilidades do RIP e as defesas contra ataques ao RIP. Os hackers podem direcionar roteadores e o protocolo RIP. Ataques em serviços de roteamento podem afetar o desempenho e a disponibilidade. Alguns ataques podem resultar, até mesmo, em redirecionamento de tráfego. Use os serviços seguros com autenticação e implemente patches e atualizações de sistema para proteger serviços de roteamento como o RIP.
Network Time Protocol (NTP)
É importante ter o horário correto nas redes. Carimbos de data e hora corretos são necessários para rastrear com precisão os eventos da rede, como as violações de segurança. Além disso, a sincronização do relógio é fundamental para a interpretação correta dos eventos nos arquivos de dados syslog, bem como para os certificados digitais.
O NTP (Network Time Protocol, Protocolo de tempo de rede) é um protocolo que sincroniza os relógios de sistemas de computadores em redes de dados. O NTP permite que os dispositivos de rede sincronizem as configurações de hora com um servidor NTP. A Figura 5 lista os vários métodos usados para fornecer horário seguro para a rede. Os criminosos virtuais atacam servidores de tempo para interromper a comunicação segura que depende de certificados digitais e esconder informações do ataque, como carimbos de data e hora.
Equipamento VoIP
Voz sobre IP (VoIP) usa redes como a Internet para fazer e receber chamadas de telefone. O equipamento necessário para VoIP inclui uma conexão com a Internet e um telefone. Várias opções estão disponíveis como configuração do telefone:
· Um telefone tradicional, com um adaptador (o adaptador atua como uma interface de hardware entre um telefone tradicional, analógico e uma linha digital VoIP)
· Um telefone ativado para VoIP
· Software VoIP instalado em um computador
A maioria dos serviços de VoIP do consumidor usam a Internet para chamadas de telefone. Muitas organizações, no entanto, usam suas redes privadas porque elas fornecem mais segurança e melhor qualidade de serviço. A segurança de VoIP só é confiável se houver uma segurança de rede subjacente. Os criminosos virtuais direcionam esses sistemas para obter acesso a serviços de telefone gratuitos, espionar telefonemas, ou para afetar o desempenho e a disponibilidade.
Implemente as seguintes contramedidas para proteger o VoIP:
· Criptografe os pacotes de mensagens de voz para proteger contra espionagem.
· Use o SSH para proteger gateways e switches.
· Altere todas as senhas padrão.
· Use um sistema de detecção de invasão para detectar ataques, como envenenamento ARP.
· Use autenticação forte para mitigar o spoofing de registro (os criminosos virtuais roteiam todas as chamadas recebidas da vítima para eles), representação de proxy (engana a vítima para se comunicar com um proxy falso configurado pelos criminosos virtuais) e sequestro de chamadas (a chamada é interceptada e reencaminhada para um caminho diferente, antes de chegar ao destino).
· Implemente firewalls que reconhecem VoIP para monitorar os streams e filtrar sinais anormais.
Quando a rede cair, as comunicações de voz também cairão.
Câmeras
Uma câmera de Internet envia e recebe dados por uma LAN e/ou Internet. Um usuário pode visualizar remotamente um vídeo em tempo real usando um navegador da Web em uma ampla variedade de dispositivos, incluindo sistemas de computador, laptops, tablets e smartphones.
As câmeras têm várias formas, incluindo a câmera de segurança tradicional. Outras opções incluem câmeras de Internet discretamente escondidas em rádios-relógio, livros ou leitores de DVD.
Câmeras de Internet transmitem vídeo digital em uma conexão de dados. A câmera se conecta diretamente à rede e tem tudo o que é necessário para transferir as imagens pela rede. A figura lista as melhores práticas para sistemas de câmera.
Equipamentos de videoconferência
A videoconferência permite que dois ou mais locais se comuniquem simultaneamente usando tecnologias de telecomunicações. Essas tecnologias aproveitam os novos padrões de vídeo de alta definição. Produtos como o Cisco TelePresence permitem que um grupo de pessoas em um local façam conferência com um grupo de pessoas de outros locais em tempo real. A videoconferência agora é parte das operações diárias normais em setores como o médico. Médicos podem analisar os sintomas dos pacientes e consultar especialistas para identificar possíveis tratamentos.
Muitas farmácias locais empregam assistentes de médico que podem conversar ao vivo com os médicos usando videoconferência para agendar visitas ou respostas de emergência. Muitas empresas de fabricação estão usando teleconferência para ajudar engenheiros e técnicos a realizarem operações complexas ou tarefas de manutenção. Equipamentos de videoconferência podem ser extremamente caros e são alvos de alto valor para ladrões e criminosos virtuais. Clique aqui para assistir a um vídeo demonstrando o poder dos sistemas de videoconferência. Os criminosos virtuais têm como alvo esses sistemas para espionar chamadas de vídeo ou para afetar o desempenho e a disponibilidade.
Rede e sensores de IoT
Um dos setores mais rápidos da tecnologia da informação é o uso de sensores e dispositivos inteligentes. O setor de informática identifica esse setor como a Internet das Coisas (IoT). Empresas e consumidores usam dispositivos de IoT para automação de processos, monitoramento de condições ambientais e sistema de alerta ao usuário sobre condições adversas. A maioria dos dispositivos IoT se conectam a uma rede via tecnologia sem fio e incluem câmeras, fechaduras, sensores de proximidade, luzes e outros tipos de sensores usados para coletar informações sobre o ambiente ou o status de um dispositivo. Vários fabricantes de dispositivos usam IoT para informar os usuários que precisam substituir peças, que componentes estão falhando ou que suprimentos estão acabando.
As empresas usam esses dispositivos para controlar inventário, veículos e pessoal. Os dispositivos IoT contêm sensores geoespaciais. Um usuário pode localizar, monitorar e controlar globalmente as variáveis ambientais, como temperatura, umidade e iluminação. O setorde IoT constitui um enorme desafio para profissionais de segurança da informação, pois muitos dispositivos IoT capturam e transmitem informações confidenciais. Os criminosos virtuais têm como alvo esses sistemas para interceptar dados ou para afetar o desempenho e a disponibilidade.
Proteções e barricadas
Barreiras físicas são a primeira coisa que vem à mente quando se pensa em segurança física. A camada mais externa de segurança e essas soluções são as mais visíveis publicamente. Um sistema de segurança de perímetro normalmente consiste nos seguintes componentes:
· Sistema de cerca de perímetro
· Sistema de portão de segurança
· Bollards (um poste curto usado para proteger contra invasões de veículo, conforme mostrado na Figura 2)
· Barreiras de entrada de veículo
· Abrigos de proteção
Uma cerca é uma barreira que protege áreas seguras e designa os limites da propriedade. Todas as barreiras devem atender a requisitos específicos do projeto e a especificações da fábrica. Áreas de alta segurança geralmente requerem uma “proteção superior”, como arame farpado ou fio de arame farpado. Ao projetar o perímetro, os sistemas de cerca usam as seguintes regras:
· Um metro (3 a 4 pés) só irá deter invasores casuais
· Dois metros (6 a 7 pés) é muito alto para invasores casuais subirem
· Dois metros e meio (8 pés) oferecerá atraso limitado para um invasor determinado
As proteções superiores fornecem um impedimento adicional e podem atrasar o invasor cortando-o gravemente. No entanto, os invasores podem usar um cobertor ou um colchão para aliviar essa ameaça. Regulamentos locais podem restringir o tipo de sistema de cerca que uma empresa pode usar.
Cercas exigem uma manutenção regular. Animais podem fazer tocas sob a cerca ou a terra pode ser levada pela água, deixando a cerca instável, proporcionando fácil acesso para um invasor. Inspecione os sistemas de cerca regularmente. Não estacione nenhum veículo perto de cercas. Um veículo estacionado perto da cerca pode ajudar o invasor a pular ou danificar a cerca. Clique aqui para obter recomendações adicionais de cerca.
Biometria
A biometria descreve os métodos automatizados de reconhecimento de um indivíduo com base em uma característica fisiológica ou comportamental. Sistemas de autenticação de biometria incluem medições da face, impressão digital, geometria da mão, íris, retina, assinatura e voz. Tecnologias de biometria podem ser a base da identificação altamente segura e de soluções de verificação pessoal. A popularidade e o uso de sistemas de biometria aumentou devido ao aumento do número de falhas de segurança e de fraudes nas transações. A biometria oferece transações financeiras confidenciais e privacidade de dados pessoais. Por exemplo, a Apple usa a tecnologia de impressão digital em seus smartphones. A impressão digital do usuário desbloqueia o dispositivo e acessa vários aplicativos, como aplicativos de bancos ou de pagamentos on-line.
Ao comparar sistemas de biometria, há vários fatores importantes a considerar, incluindo a precisão, a velocidade ou a taxa de transferência, a aceitabilidade pelos usuários, a singularidade do órgão biométrico e ação, resistência à falsificação, confiabilidade, requisitos de armazenamento de dados, tempo de inscrição e invasão da varredura. O fator mais importante é a precisão. A precisão é expressa em taxas e tipos de erro.
A primeira taxa de erro é erros de tipo I ou rejeições falsas. Um erro de tipo I rejeita uma pessoa que se registra e é um usuário autorizado. Em controle de acesso, se o requisito é manter os bandidos afastados, rejeição falsa é o erro menos importante. No entanto, em muitas aplicações biométricas, rejeições falsas podem ter um impacto muito negativo no negócio. Por exemplo, um banco ou uma loja de varejo precisa autenticar o saldo da conta e a identidade do cliente. Rejeição falsa significa que a transação ou a venda está perdida e o cliente fica chateado. A maioria dos banqueiros e varejistas estão dispostos a permitir algumas aceitações falsas, desde que haja um mínimo de rejeições falsas.
A taxa de aceitação é indicada como uma percentagem e é a taxa na qual um sistema aceita indivíduos que cancelaram a inscrição ou impostores como usuários autênticos. Aceitação falsa é um erro de tipo II. Erros de tipo II permitem a entrada de invasores e, portanto, são considerados o erro mais importante em um sistema de controle de acesso de biometria.
O método mais utilizado para medir a precisão da autenticação de biometria é a CER (Crossover Error Rate, Taxa de erro de Crossover). A CER é a taxa em que a taxa de rejeições falsas e a taxa de aceitações falsas são iguais, como mostrado na figura.
Logs de acesso e crachás
Um crachá de acesso permite que um indivíduo obtenha acesso a uma área com pontos de entrada automáticos. Um ponto de entrada pode ser uma porta, uma catraca, um portão ou outra barreira. Crachás de acesso usam várias tecnologias, como uma faixa magnética, código de barras ou biometria.
Um leitor de cartão lê um número contido no crachá de acesso. O sistema envia o número para um computador que toma decisões de controle de acesso com base nas credenciais fornecidas. O sistema registra a transação para recuperação posterior. Os relatórios revelam quem entrou, quando entrou e em quais pontos de entrada.
Guardas e escoltas
Todos os controles de acesso físicos, incluindo sistemas de impedimento e de detecção dependem, em última análise, de pessoal para intervir e parar o ataque ou a invasão real. Nas instalações com sistema de informação altamente seguro, guardas controlam o acesso a áreas confidenciais da empresa. O benefício do uso de guardas é que eles podem se adaptar mais do que sistemas automatizados. Guardas podem aprender e distinguir muitas condições e situações diferentes e tomar decisões imediatamente. Guardas de segurança são a melhor solução para controle de acesso quando a situação exige uma resposta instantânea e apropriada. No entanto, guardas não são sempre a melhor solução. Há inúmeras desvantagens ao uso de guardas de segurança, incluindo o custo e a capacidade de monitorar e registrar alto volume de tráfego. O uso de guardas também introduz o erro humano à essa mistura.
Vigilância eletrônica e por vídeo
A vigilância eletrônica e por vídeo complementam ou, em alguns casos, substituem, os guardas de segurança. A vantagem da vigilância por vídeo e eletrônica é a capacidade de monitorar áreas mesmo que nenhum guarda ou pessoal esteja presente, a capacidade de gravar e registrar vídeos e dados de vigilância por longos períodos e a capacidade de incorporar a detecção e notificação de movimento.
A vigilância eletrônica e por vídeo também pode ser mais precisa na captura de eventos, mesmo depois que eles tiverem ocorrido. Outra grande vantagem é que a vigilância eletrônica e por vídeo fornece pontos de vista não facilmente visualizados com guardas. Também pode ser muito mais econômico usar câmeras para monitorar todo o perímetro de uma instalação. Em um ambiente altamente seguro, uma empresa deve colocar vigilância eletrônica e por vídeo em todas as entradas, saídas, locais de carregamento, escadas e áreas de coleta de refugo. Na maioria dos casos, a vigilância eletrônica e por vídeo complementa os guardas de segurança.
Vigilância sem fio e RFID
O gerenciamento e a localização de ativos de sistemas de informação importantes são um desafio importante para a maioria das empresas. O crescimento do número de dispositivos móveis e de dispositivos IoT tem tornado esse trabalho ainda mais difícil. O tempo gasto à procura de equipamento crítico pode levar a atrasos ou tempo de inatividade caros. O uso de tags do recurso RFID (Radio Frequency Identification, Identificação por radiofrequência) pode ser de grande valor para o pessoal da segurança. Uma organização pode colocar os leitores de RFID nos batentes das portas de áreas seguras para que não fiquem visíveis.
O benefício de tags do recurso RFID é que elas podem rastrear qualquer ativo que fisicamente deixa uma área segura. Os novos sistemasde tags do recurso RFID podem ler várias tags ao mesmo tempo. Sistemas RFID não precisam estar na linha de visão para ler as tags. Outra vantagem do RFID é a capacidade de ler as tags que não estão visíveis. Ao contrário de códigos de barras e tags legíveis humanas que devem ser fisicamente localizados e visíveis para ler, etiquetas RFID não precisam estar visíveis para serem lidas. Por exemplo, colocar a tag em um PC embaixo de uma mesa exigiria que o pessoal rastejasse debaixo da mesa para localizar e visualizar fisicamente ao usar um processo manual ou de código de barras. Usar uma etiqueta RFID permitiria que o pessoal lesse a etiqueta sem nem mesmo precisar vê-la.
Capítulo 7: Proteção de um domínio de segurança cibernética
Este capítulo discute as tecnologias, processos e procedimentos que os profissionais de segurança cibernética usam para defender os sistemas, dispositivos e dados que compõem a infraestrutura da rede.
A codificação do host inclui proteger o sistema operacional, implementar soluções antivírus e usar soluções baseadas em host, como firewalls e sistemas de detecção de invasão.
A codificação do servidor inclui o gerenciamento do acesso remoto, a proteção de contas privilegiadas e o monitoramento de serviços.
A proteção de dados inclui controle de acesso ao arquivo e implementação de medidas de segurança para garantir a confidencialidade, integridade e disponibilidade de dados.
A codificação do dispositivo também envolve a implementação de métodos comprovados de proteção física de dispositivos de rede. Proteger seu domínio de segurança cibernética é um processo contínuo para proteger a infraestrutura de rede da empresa e requer constante vigilância ao monitorar ameaças.