Baixe o app para aproveitar ainda mais
Prévia do material em texto
PROF. MAXIMILIANO DE CARVALHO JACOMO CAPÍTULO 1. INTRODUÇÃO E CONCEITO A DEFESA EM PROFUNDIDADE Segurança em Infraestrutura de TI Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 1.1. INTRODUÇÃO A DEFESA EM PROFUNDIDADE Nesta aula Introdução a defesa em profundidade. 1 Em um ambiente corporativo, centenas de dados são gerados à cada dia! Momento atual Tais dados vêm se tornando um ativo de “ALTO VALOR” para as empresas. Isso porque ajudam as empresas a oferecer novos produtos/serviços, conquistar clientes, traçar novas estratégias e sobreviver! Garantir a segurança da informação dentro de um ambiente corporativo, significa proteger os ativos de TI quanto a perda de qualquer um dos princípios básicos relacionados à segurança da informação, que são: confidencialidade, integridade, disponibilidade e autenticidade. Porém, a segurança da informação não é uma única tecnologia fechada, mas sim um conjunto de ferramentas, estratégias, planos e políticas de segurança que visam proteger a empresa de vários problemas! Momento atual Momento atual As equipes de segurança da informação e cibersegurança precisam se adaptar rapidamente aos novos requisitos necessários para os negócios e, ao mesmo tempo, estar preparadas para lidar com um ambiente que se torna cada vez mais hostil. Momento atual Mas, como garantir a segurança e a proteção de todos os ativos de TI, dentro de uma empresa, incluindo a infraestrutura de TI? Definindo uma: Momento atual Estratégia é o caminho, maneira ou ação formulada e adequada para alcançar, preferencialmente, de maneira diferenciada, os objetivos e desafios estabelecidos, no melhor posicionamento da empresa perante seu ambiente. Oliveira (2004, p.424) Momento atual Mas, como garantir a segurança e a proteção de todos os ativos de TI, dentro de uma empresa, incluindo a infraestrutura de TI? Definindo então uma ESTRATÉGIA, que no caso será a DEFESA EM PROFUNDIDADE ou DEFENSE IN DEPTH (DiD). Voltando a pergunta... Conclusão Introdução a defesa em profundidade. Próxima aula Conceito de defesa em profundidade. Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 1.2. CONCEITO DE DEFESA EM PROFUNDIDADE Nesta aula Conceito de defesa em profundidade. 1 A defesa em profundidade vêm da Agência de Segurança Nacional (NSA) e foi concebida como uma abordagem abrangente para segurança da informação e segurança cibernética. O termo foi inspirado por uma estratégia militar com o mesmo nome. Conceituar a Defesa em Profundidade Porém, na prática, à estratégia militar e a estratégia de segurança da informação se diferem. Na estratégia militar, a DID gira entorno de ter uma defesa de perímetro mais fraca e ceder intencionalmente espaço para ganhar tempo para construir um contra-ataque. Já na segurança da informação e segurança cibernética, a estratégia de defesa em profundidade envolve sistemas paralelos de contramedidas físicas, técnicas e administrativas que trabalham juntas, mas não cedem intencionalmente o controle a um invasor. Conceituar a Defesa em Profundidade A estratégia de Defesa em Profundidade (DiD) é uma estratégia de segurança da informação e da segurança cibernética, que se baseia na aplicação de uma série de medidas defensivas redundantes em camadas, com o objetivo de implementar planos, políticas, controles, mecanismos e ferramentas tecnológicas de segurança da informação e segurança cibernética, redundantes e dispostas em camadas, que visam à segurança e proteção dos ativos de TI. Sendo assim, podemos dizer que... Analogia do Castelo e a DiD Um invasor se depara com diversos mecanismos de defesa dispostos em camadas. Em cada camada haverá um conjunto de mecanismos de defesa, prontos para atuar na proteção, INIBINDO ou IMPEDINDO a invasão! Segurança em Camadas 1ª CAMADA 2ª CAMADA 3ª CAMADA 4ª CAMADA SUPERAR AS DEFESAS Quanto mais profunda for a camada de proteção, maior será o nível de proteção. Ou seja, maior será o fator dificultador para o invasor. Segurança em Camadas 1ª CAMADA 2ª CAMADA 3ª CAMADA 4ª CAMADA Conclusão Conceito de defesa em profundidade. Próxima aula Elementos de controle. Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 1.3. ELEMENTOS DE CONTROLE Nesta aula Elementos de controle. 1 Controles físicos: medidas de segurança que impedem o acesso físico aos sistemas de TI. Controles técnicos: medidas de segurança que protegem a segurança da rede e outros recursos de TI usando hardware e software. Controles administrativos: medidas de segurança que consistem em políticas e procedimentos direcionados aos funcionários de uma organização e seus fornecedores e parceiros comerciais. Elementos de controle da DiD 1ª CAMADA 2ª CAMADA 3ª CAMADA 4ª CAMADA Controles físicos Controles administrativos • Política de Segurança Cibernética. • Política da Proteção a Privacidade Dados Pessoais. • Código de Ética e Conduta. • 27001 – Requisitos/Gestão. • 27002 – Práticas/Controles. • Proteção da rede. • Proteção do hardware. • Proteção do software. Controles técnicos Controles técnicos As equipes de segurança usam ferramentas de segurança que monitoram continuamente toda a infraestrutura de TI quanto a possíveis falhas em suas defesas de segurança. Todos os controles tem como missão... Conclusão Atualmente os DADOS são o novo petróleo da humanidade. Precisamos pensar em uma ESTRATÉGIA para a segurança. A DEFESA EM PROFUNDIDADE prove uma proteção em camadas. Cada camada de segurança tem como missão INIBIR ou IMPEDIR uma ameaça. É preciso implementar controles FÍSICOS, ADMINISTRATIVOS e TÉCNICOS. Controles servem para: IDENTIFICAR, PROTEGER, DETECTAR, RESPONDER e RECUPERAR. PROF. MAXIMILIANO DE CARVALHO JACOMO Segurança de Infraestrutura CAPÍTULO 2. SEGURANÇA EM CAMADAS Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.1. ARQUITETURA DA SEGURANÇA EM CAMADAS E CAMADA 1 Nesta aula Arquitetura da segurança em camadas.1 2 Camada 1 – Política e treinamento. A estratégia de defesa em profundidade possui uma arquitetura desenhada em camadas. Cada camada será uma barreira de proteção redundante, que visa INIBIR ou IMPEDIR uma ou mais ameaças de alcançar o seu objetivo. Arquitetura em camadas No geral a arquitetura da estratégia em defesa de profundidade possui sete camadas. Em cada camada haverá um conjunto de elementos projetados para garantir a proteção dos aspectos administrativos, físicos e técnicos da infraestrutura de TI da empresa. Arquitetura em camadas A CAMADA 1 – POLÍTICAS, PROCEDIMENTOS E CONSICENTIZAÇÃO é a base fundamental de toda a segurança dos ativos de TI. Isso porque essa camada é responsável por implementar os planos, normas, regras, políticas e procedimentos em relação à segurança da informação, segurança cibernética e proteção a privacidade de dados e informações pessoais. Outro papel importante dessa camadas é o de informar, treinar (capacitar) e conscientizar todos os clientes, colaboradores, fornecedores e parceiros quanto aos planos, normas, regras, políticas e procedimentos em relação a segurança da informação, segurança cibernética e privacidade de dados, e informações pessoais adotados pela empresa. Sem a camada 1, as coisas seriam assim... Com a camada 1... Porém, não é fácil... G E S T Ã O D E R IS C O S R E G U L A M E N T A Ç Õ E S E R E G R A S D O N E G Ó C IO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ACESSO À INFORMAÇÃO CLASSIFICAÇÃO DA INFORMAÇÃO PROTEÇÃO TÉCNICA RECURSOS DE INFORMAÇÃO FLEXIBILIDADE OPERACIONAL DESENVOLVIMENTO DE APLICATIVOS E SISTEMAS CONSCIENTIZAÇÃO E TREINAMENTO DOS COLABORADORES CONTINUIDADE DO NEGÓCIO AMBIENTE FÍSICO EINFRAESTRUTURA PROCESSOS E PROCEDIMENTOS OPERACIONAIS E TÉCNICOS MONITORAMENTO E TRATAMENTO DE INCIDENTES ISO/IEC 27002 Porém, não é fácil... ISO/IEC 27001 01. Dicas para uma boa PSI Tenha a adesão das partes interessadas e conheça o modelo de negócio. 02. Escute as áreas de negócio e entenda as suas necessidades. 03. Realize o inventariado e a classificação de todos os ativos de TI. 04. Realize um planejamento adequado das medidas administrativas e técnicas de proteção, de acordo com a realidade da empresa. 05. Monte uma equipe preparada para lidar com problemas e pontos de estresse. 06. Execute o que foi planejado, realize testes, monitore e aplique a melhoria contínua. Conclusão Arquitetura da segurança em camadas. Camada 1 – Política e treinamento. Próxima aula Camada 2 – Segurança Física. Camada 3 – Segurança de Perímetro. Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.2. SEGURANÇA FÍSICA E DE PERÍMETRO Nesta aula Camada 2 – Segurança Física.1 2 Camada 3 – Segurança de Perímetro. 1º TÓPICO Segurança Física (Camada 2) A CAMADA 2 – SEGURANÇA FÍSICA, deve garantir a proteção física dos ativos de TI, para que esses por sua vez não possam ser acessados fisicamente por qualquer tipo de ameaça. Sua missão é impedir que os ativos de TI se tornem INDISPONÍVEIS. Mas como fazer isso? SEGURANÇA • CFTV e controle de acesso. • Vigilantes e portaria. • Portas, portões e muros. • Sala cofre etc. RESFRIAMENTO • Temperatura. • Ar condicionado. MONITORAMENTO • Presença. • Unidade. • Fumaça e fogo. • Queda energia. • Inundação. INTEGRAÇÃO • Grupo gerador. • No-break. • Iluminação. • Equipes técnicas/manutenção. CAMADA FÍSICA, impedir que os ativos de TI contra acessos não autorizados e contra a indisponibilidade. 2º TÓPICO Segurança de Perímetro (Camada 3) O objetivo é implementar a proteção necessária entre o mundo exterior e a infraestrutura de TI interna do ambiente corporativo. Ou seja, basicamente proteger a fronteira existente entre a rede pública de comunicação (WAN) – no geral a Internet e a rede privada de comunicação (LAN) – e a rede interna de computadores da empresa. LAN As empresas, por meio de suas equipes de segurança devem implementar um ponto de estrangulamento, ou seja, um funil ou ponto único por onde todos os dados que entrem e saiam de suas redes possam ser protegidos e monitorados. PROTEÇÃO DE BORDA dados dados dados LAN Todo o fluxo de dados transmitidos e recebidos entre redes distintas deve ser checado e obedecer as políticas de controle. FWRouter IPS Web Server FTP Público Anti Spam BD Server App Server VPN Proxy DMZ Servidores Rede Interna E-mail Honey Pot I N T E R N E T Anti Virus Patch Server Desktop Desktop Desktop Desktop Desktop Desktop Desktop Desktop Desktop Desktop Desktop Desktop Desktop Desktop Desktop Desktop Desktop Desktop Desktop Desktop DNS Segurança de Perímetro Agora vamos exercitar a nossa mente com os conhecimentos aprendidos... Imagine uma infraestrutura de TI (a da empresa em que trabalha ou a da sua casa) e tente enumerar os elementos de segurança de perímetro que essa infraestrutura possui. Será que a segurança dessa infraestrutura pode melhorar? Conclusão Camada 2 – Segurança Física. Camada 3 – Segurança de Perímetro. Próxima aula Roteadores e ACLs. Firewall. Arquitetura Firewall. Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.3. ROTEADORES E ACLS Nesta aula Roteadores e ACLs.1 O ROTEADOR (ROUTER) tem como principal missão realizar o “ROTEAMENTO” de pacotes de dados entre redes distintas (WAN e LAN). Ou seja, encaminhar os pacotes de dados entre duas redes distintas, por meio da escolha da melhor “ROTA”, pela qual esses pacotes de dados serão enviados. Essa escolha pode ser feita de duas formas, sendo a primeira pela escolha da distância administrativa (menor custo da rota até a rede de destino) ou melhor métrica (menor número de saltos até a rede de destino). Mas, além de realizar o roteamento entre redes distintas, um roteador pode realizar o controle do tráfego desses pacotes de dados, permitindo ou não o seu encaminhamento entre as redes, por meios das ACLs ou listas de controle de acesso. ACLs são filtros de tráfego de rede que podem controlar o tráfego de entrada ou saída dentro de um roteador. As ACLs trabalham em um conjunto de regras que definem como encaminhar ou bloquear um pacote na interface do roteador. Quando você define uma ACL em um dispositivo de roteamento para uma interface específica, todo o tráfego que passa será comparado com a instrução ACL que a bloqueará ou permitirá. Os critérios para definir as regras da ACL podem ser a origem, o destino, ou um protocolo específico. A ideia principal do uso de uma ACL é fornecer segurança à sua rede. Sem ele, qualquer tráfego pode entrar ou sair, tornando-o mais vulnerável a tráfego indesejado e perigoso. VAMOS ENTENDER UM POUCO MAIS.... REDE A REDE B ACL Demonstração https://www.netacad.com/pt-br/courses/packet-tracer https://www.netacad.com/pt-br/courses/packet-tracer DIEGO!!! INSERIR NESTA PARTE O VÍDEO GRAVADO DENOMINADO LABS – ACL PARTE 1 E PARTE 2 Favor verificar os vídeos. Conclusão Roteadores e ACLs. Próxima aula Firewall. Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.4.1. FIREWALL Nesta aula 1 Firewall. O FIREWALL é um elemento de proteção que existe desde o início das primeiras redes de computadores, no final da década de 70 e início da década de 80. Ganhou popularidade com o surgimento da Internet. Os primeiro firewall trabalham com regras ACLs similares as utilizadas em roteadores, permitindo ou negando o tráfego de pacotes de dados entre redes distintas, e isso os tornavam bem limitados. Demonstração utilizando o Cisco Packet Tracer do funcionamento básico de um FIREWALL. Nessa demonstração iremos: 1. Criar um cenário no qual haverá um servidor Firewall e três estações de trabalho. 2. Configurar a rede com a faixa de endereço IP: 192.168.0.0/24 sendo: o servidor com o IP: 192.168.0.254 e os demais PCs com 192.168.0.1/24, 192.168.0.2/24 e 192.168.0.3/24. 3. Habilitar o serviço de DNS no servidor. 4. Criar regras de permissão e negação para as Estações de Trabalho. Demonstração DIEGO!!! INSERIR NESTA PARTE O VÍDEO GRAVADO DENOMINADO LABS – EXEMPLO FIREWALL PARTE 1 Favor verificar os vídeos. Conclusão Firewall (Parte 1). Próxima aula Firewall (Parte 2) Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.4.2. FIREWALL (PARTE 2) Nesta aula 1 Firewall. Com a utilização cada vez mais das redes de computadores, houve- se então a necessidade de garantir uma maior proteção quanto ao envio e recebimento de pacotes de dados entre as diversas redes corporativas, dando início aos firewall de 2ª geração denominados de FIREWALL DE FILTRO DE PACOTES (Packet Filter) e de APLICATIVOS (Proxy). Esse tipos de firewall eram mais eficientes se comparados com os modelos iniciais e possuíam interfaces de configuração e monitoramento mais amigáveis, e eram fáceis de configurar. Esses modelos de firewall eram conhecidos como BASTION HOST e eram colocados na “borda” da rede propositalmente, para controlar todo o tráfego de entrada e saída de pacotes da rede a qual pertencia. Vamos entender seu funcionamento! O firewall verificava o cabeçalho de cada pacote que entra na rede interna e tomava a decisão de permitir ou bloquear o pacote baseado no IP usado e no número da porta especificado no cabeçalho, na parte de TCP ou UDP. Por mais que essa funcionalidade seja uma das funções principais de um firewall, a filtragem de pacotes usada dessa forma não é o suficiente para garantir a segurança na rede.Filtro de pacotes são regras que avaliam as informações no cabeçalho de um pacote de dados. Toda vez que um pacote de dados chega ao firewall, o mesmo irá tomar a decisão de permitir ou não a sua passagem. Caso seja permitido a passagem do pacote de dados, ele toma o seu caminho normalmente. Porém, nenhum pacote passa por um roteador ou firewall sem sofrer algumas modificações. Antes do pacote tomar o seu caminho o roteador ou firewall reduz o valor da TTL (Time-To-Live) no cabeçalho em pelo menos 1. Se o TTL, que o emissor provavelmente configurou como 128, atingir a marca de 0, o pacote é descartado. Descartando o pacote evitamos um lopping infinito de um pacote no meio. Podem ser criadas regras de filtragem que checam os seguintes campos de um pacote: IP de origem: é o endereço de IP que o pacote lista como seu emissor. Esse campo não é necessariamente o IP original do emissor. Esse IP pode ser modificado legalmente por NAT ou algum hacker que, nesse caso, é chamado de IP spoofing. IP de destino: é o endereço de IP para onde o pacote está sendo mandado. É preciso ter certeza que foi listado o IP real nas regras de filtragem e não o nome do DNS (Domain Name System). ID de protocolo IP: um cabeçalho IP pode ser seguido por vários cabeçalhos de protocolos. Cada um desses protocolos têm seu próprio ID de protocolo IP. Os exemplos mais conhecidos são TCP (ID 6) e UDP (ID 17). Numero de portas TCP ou UDP: o numero da porta indica que tipo de serviço o pacote é destinado. Alguns tipos de ICMP são mensagens muito úteis, porém outros são muito perigosos e não pode ser permitido a sua passagem pelo firewall. Flag de fragmentação: pacotes podem ser quebrados em pacotes ainda menores para serem acomodados em redes que suportam somente pacotes pequenos. Ajuste de opções do IP: funções opcionais no TCP/IP que podem ser especificadas nesse campo. Essas opções são apenas usadas para diagnóstico, de forma que o firewall possa descartar pacotes com opções de IP determinadas. Checando os campos mencionados anteriormente, os filtros podem diferenciar pacotes que vão da rede interna para a rede externa. A interface da rede em que o pacote chega já é um critério muito importante. Isso porque um hacker pode facilmente forjar um IP falso para o pacote que está sendo enviado, e isso o firewall não pode identificar. Porém, se o pacote chega a rede externa usando um IP do emissor de uma rede interna, o firewall pode reconhecer rapidamente a falha no IP, simplesmente notando que o pacote está na rede externa. Da mesma maneira que você pode falsificar o remetente em uma carta ou falsificar o "De:" de um e-mail, um hacker pode usar uma fonte de endereço IP falsa nos pacotes que ele enviar ao seu firewall. Isso é conhecido como "IP Spoofing" O firewall não pode confiar somente no endereço de IP do emissor para decidir se o pacote tem permissão de passar. Pelo mesmo motivo, não é útil usar filtro de pacotes para bloquear pacotes baseando-se no IP do emissor. Logo, o firewall tem que ser capaz de distinguir de que interface de rede o pacote chegou. Pacotes chegados de uma interface de rede externa, mas mostrando que veio de um endereço de IP interno, devem ser bloqueados imediatamente. A inspeção de pacotes precisa ser mais esperta em quais pacotes devem ser esperados em resposta de um legítimo pedido de um usuário da rede interna e que pacotes não foram solicitados e devem ser bloqueados. Quando um firewall vê um pacote saindo, ele sabe que uma resposta chegará em breve e que deve somente permitir a chegada dos pacotes esperados de resposta. Essa informação “lembrada” é chamada de estado (state). Essa forma mais inteligente de filtragem de pacotes é chamada de FILTRAGEM DE PACOTES DE ESTADO ou STATEFUL PACKET FILTERING. Conclusão Firewall (Parte 2). Próxima aula Arquitetura Firewall. Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.5. ARQUITETURA FIREWALL Nesta aula 1 Arquitetura firewall. Podemos montar uma arquitetura de firewall de diversas maneiras. Cada modelo de arquitetura irá atender a uma necessidade específica de proteção. As mais comuns: DUAL HOMED HOST FIREWALL. SCREENED HOST FIREWALL. SCREENED SUBNET FIREWALL. MULTIPLE GATES. Na arquitetura DUAL HOMED FIREWALL o firewall deverá conter no mínimo duas interfaces de rede, no qual cada uma irá se comunicar a uma rede específica. VANTAGEM: provê um alto grau de controle, pois além de filtrar os pacotes indesejados, possibilita negar conexões que pedem algum tipo de serviço especial mas que não têm permissão. Facilita o monitoramento das atividades dos usuários e é relativamente fácil de configurar e manter, além de ser relativamente barato. DESVANTAGEM: a segurança de toda rede fica dependente de um único ponto, ou seja, se este ponto for comprometido, toda a infraestrutura abaixo dele fica vulnerável. Na arquitetura SCREENED HOST FIREWALL não há uma subrede de segurança entre a rede externa e a rede interna. Existe apenas um screening router e um bastion host, situado junto à rede interna. O screening router é responsável por bloquear os pacotes de serviços que não deseja que passem pelo firewall, pacotes que tenham rotas IP definidas ou que tenham como destino a sua rede interna. O bastion host executa servidores proxy, possibilitando aos usuários da sua rede interna usar serviços na rede externa. VANTAGEM: é mais segura em comparação com a DUAL HOMED FIREWALL, porque existem dois níveis de proteção na camada de rede através do screening router e na camada de aplicação através do bastion host. No caso de ocorrer uma falha, existe a proteção do outro. A configuração e a manutenção deste tipo de firewall é relativamente fácil. Na arquitetura SCREENED SUBNET FIREWALL, trata-se da combinação das arquiteturas screened host + screening router + bastion host, formando assim um DMZ (ZONA DESMILITARIZADA). A zona desmilitarizada (DMZ) não permite a conexão direta entre a rede interna e a externa. Para que haja essa conexão a mesma deverá passar pelo Bastion Host. O roteador externo realiza a verificação dos pacotes de dados e nega serviços não permitidos. Os encaminha diretamente para o Bastion Host. O roteador interno cria um, permitido a 2ª camada de proteção em relação ao Bastion Host e permitindo a comunicação de pacotes do mesmo para a rede interna. VANTAGEM: é mais segura em relação as arquitetura apresentadas anteriormente. Porém, trata-se de uma arquitetura mais complexa e com um custo mais elevado. Pode haver um delay maior entre a comunicação das redes interna e externa. Uma DMZ (zona desmilitarizada) é um mecanismos de proteção, inserido na camada de segurança de perímetro que tem como objetivo proteger a comunicação entre redes distintas. Trata-se de uma subrede que é inserida entre a rede interna e a rede externa, provendo o isolamento físico entre ambas as redes através de diversas regras de conectividade inseridas no firewall, no que diz respeito a serviços e servidores que necessitam ser acessados por usuários externos e que não precisam estar dentro do perímetro da rede interna da empresa. A arquitetura MULTIPLE GATE é bem similar a arquitetura Screened Subnet Firewall. Porém, com o uso de vários Bastion Hosts realizando o papel de gates (portões), cada um para um determinado protocolo. A ideia aqui é você ter vários “portões” sendo cada um deles específicos a um protocolo. Permitindo as equipes de segurança segmentar serviços, baseando-se em seus protocolos e aumentando a segurança da infraestrutura como um todo. Ou seja, permite que as equipes de segurança isolem serviços e protocolos que estiverem em um único bastion host e que caso fossem comprometidos afetaria toda a segurança da rede. VANTAGEM: é mais segura em relação as arquitetura apresentadas anteriormentee mais fácil de administrar. Porém, como haverá um número maior de bastion hosts, as equipes de segurança terão um trabalho maior nas questões de gerenciamento e monitoramento. Em nossa disciplina iremos trabalhar com a arquitetura DUAL HOMED FIREWALL, no qual iremos instalar o firewall UTM SOPHOS HOME EDITION em uma máquina virtual (VM) em nosso virtual box e configurá-lo como o mecanismo de proteção de perímetro entre nossos end points e servidores, a rede externa (Internet), com exemplo de algumas regras de permissão ou negação de protocolos e aplicações. Nosso primeiro passo para executar com sucesso as práticas é realizar o download da imagem ISO de nosso firewall e instalar a nossa máquina virtual. Sendo assim, acesse o endereço abaixo, realize seu cadastro para pegar a chave que irá habilitar as funções e funcionalidades do firewall (totalmente grátis após o cadastro) e realize o download da imagem ISO. https://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx Demonstração https://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx DIEGO!!! INSERIR NESTA PARTE O VÍDEO GRAVADO DENOMINADO LABS – INSTALL FIREWALL SOPHOS PARTE 1 LABS – INSTALL FIREWALL SOPHOS PARTE 2 LABS – INSTALL FIREWALL SOPHOS PARTE 3 LABS – INSTALL FIREWALL SOPHOS PARTE 4 Favor verificar os vídeos. Conclusão Estudamos que o ROTEADOR e o FIREWALL possuem papel importante na camada de segurança de perímetro da estratégia de defesa em profundidade. Podemos aplicar ACLs nos roteadores para permitir ou negar o tráfego entre redes distintas. Já o FIREWALL vai mais além, pois possui muito mais funções e funcionalidades que permitem uma maior proteção e controle de todo o tráfego entre essas redes. Por fim, existem diversas ARQUITETURAS de firewall, cada qual desenha para um modelo de proteção junto a camada de segurança de perímetro. Próxima aula IPS (Sistema de Prevenção de Intrusão). IDS (Sistema de Detecção de Intrusão). Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.5. IPS E IDS Nesta aula IPS (Sistema de Prevenção de Intrusão). IDS (Sistema de Detecção de Intrusão). 1 2 1º TÓPICO IDS e IPS (Segurança de Perímetro) Bem, a primeira coisa que temos que entender é a diferença entre IDS e IPS. Os sistemas de detecção de intrusões (IDS) analisam o tráfego da rede em busca de assinaturas que correspondem aos ataques cibernéticos conhecidos. Já os sistemas de prevenção de intrusões (IPS) também analisam pacotes, mas também podem impedir que o pacote seja entregue com base no tipo de ataque que ele detecta – ajudando a interromper o ataque. A principal diferença entre eles é que o IDS é um sistema de monitoramento, enquanto o IPS é um sistema de controle. O IDS não altera os pacotes de rede de nenhuma maneira, enquanto o IPS impede a entrega do pacote com base no conteúdo do pacote, como um firewall impede o tráfego pelo endereço IP. Muitos fornecedores de IDS / IPS integraram sistemas IPS mais recentes com firewalls para criar uma tecnologia UTM (Unified Threat Management), que combina a funcionalidade desses dois sistemas semelhantes em uma única unidade. Alguns sistemas fornecem a funcionalidade IDS e IPS em uma unidade. Sistemas de Detecção de Intrusões (IDS): analise e monitore o tráfego da rede em busca de sinais que indiquem que os invasores estão usando uma ameaça cibernética conhecida, para se infiltrar ou roubar dados da sua rede. Os sistemas IDS comparam a atividade atual da rede a um banco de dados de ameaças conhecido para detectar vários tipos de comportamentos, como violações de políticas de segurança, malware e scanners de portas. Sistemas de prevenção de intrusões (IPS): residem na mesma área da rede que um firewall, entre o mundo externo e a rede interna. O IPS nega proativamente o tráfego de rede, com base em um perfil de segurança, se esse pacote representar uma ameaça à segurança conhecida. Demonstração Neste Labs, vamos aprender a instalar o IPS FAIL2BAN em nosso servidor Linux Ubuntu e fazer uma demonstração da ação de um IPS. Demonstração DIEGO, INSERIR VÍDEOS - LABS FAIL2BAN (TODOS) IDS / IPS são tão eficazes quanto seus bancos de dados de ataque cibernético. Mantenha-os atualizados e esteja preparado para fazer ajustes manuais quando um novo ataque ocorrer e/ou a assinatura do ataque não estiver no banco de dados. O IDS exige que um ser humano ou outro sistema analise os resultados e determine quais ações executar em seguida, o que pode ser um trabalho em período integral, dependendo da quantidade de tráfego de rede gerado todos os dias. Já o objetivo do IPS, por outro lado, é capturar pacotes perigosos e descartá-los antes que eles atinjam seu objetivo. É mais passivo que um IDS, exigindo simplesmente que o banco de dados seja atualizado regularmente com novos dados de ameaças. Demonstração Neste Labs, vamos aprender a instalar o IDS SURICATA em nosso servidor Linux Ubuntu. Demonstração DIEGO, INSERIR VÍDEOS - LABS SURICATA (TODOS) Conclusão Estudamos que ambos sistemas IDS e IPS exercem um papel importante na proteção de nossa camada de segurança do perímetro. Sendo que: O IDS trata-se de um mecanismos de proteção “passivo”, no qual é necessário a ação humana. Já o IPS é um mecanismo “ativo” no qual, após a ativação de regras contidas em um banco de dados, o mesmo realiza ações para impedir que as ameaças acessem o ambiente interno da empresa. Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.6. CAMADA 4 – SEGURANÇA DE REDE INTERNA Nesta aula Camada 4 - Segurança de rede interna. 1 1º TÓPICO CONCEITO (Segurança de Rede Interna) A camada de segurança de rede interna da estratégia de defensa em profundidade, deve possuir mecanismos e ferramentas de proteção capazes de lidar com a identidade e autenticação dos usuários da rede, autorizando ou não o acesso destes usuários aos recursos computacionais e de redes disponíveis na infraestrutura de TI. Assim como realizar a proteção dos dados e informações que fluem pela rede, por meio de mecanismos de monitoramento e filtragem, que realizem de forma automática a análise consistente de todos os pacotes de dados que circulam na rede e, respectivamente, os protocolos e portas utilizadas durante o processo de transmissão e recepção de dados. Outros dispositivos de proteção utilizados que podem estar dispostos em outras camadas, TAMBÉM PODEM fazer parte do conjunto de mecanismos e ferramentas de proteção da camada de segurança de rede interna. Como exemplo de tais dispositivos, citamos: Firewall (internos), IPS e IDS, Proxie (NAT - Network Address Translation), DLP (Data Loss Prevention), protocolos do tipo IEEE 802.1x, IPSec e NAC, VLans, dentre outras soluções e ferramentas. Conclusão Estudamos que a camada 4 - SEGURANÇA DE REDE INTERNA, é responsável por prover as proteções necessárias a rede LAN (rede interna) da empresa. Essa proteção será feita por meio de mecanismos, sistemas e protocolos, que além de permitir o monitoramento e gerenciamento de toda a rede LAN, também são responsáveis em responder as ameaças e riscos à segurança e a conformidade da camada 1. Próxima aula Monitoramento e Gerenciamento com NTOP. Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.7. MONITORAMENTO E GERENCIAMENTO COM NTOP Nesta aula Monitoramento e gerenciamento com NTOP. 1 1º TÓPICO MONITORAMENTO E GERENCIAMENTO (Segurança de Rede Interna) Em regras gerais, o MONITORAMENTO de redes significa o controle de qualquer objeto passível de ser monitorado numa estrutura de recursos físicos e lógicos de uma rede, e que podem ser distribuídos em diversos ambientes próximos ou não. O monitoramento implica em uma abordagem metódica para identificar ocorrências que afetam seus componentes, tais comointerrupções de conexão com o provedor de internet, falhas de roteador/switch ou outros problemas de hardware. Além disso, outros problemas derivados de mal uso da rede corporativa por parte dos colaboradores também são críticos. No que tange “mal uso”, podemos citar o download de arquivos como: filmes, games e músicas via torrent, acessos a sites de streaming, como Netflix ou Youtube, e até a sites maliciosos que podem comprometer toda a segurança da informação. Assim podemos dizer que o monitoramento deve ir além da mera busca por falhas, incluindo também o seu desempenho, sendo que esse nível de análise técnica é necessária para manter a rede LAN online, disponível e bem protegida. Na prática, o monitoramento de redes significa a gestão e o emprego de sistemas e metodologias que permitam que suas redes entreguem uma boa qualidade de serviço, garantindo boa performance para o uso de toda a empresa. Já o GERENCIAMENTO de redes de computadores está associado ao controle das atividades e ao monitoramento do uso dos recursos no ambiente da rede. As tarefas básicas de uma equipe de gerenciamento de redes (NOC), resumidamente, são: obter as informações da rede, tratá-las para diagnosticar e tratar os possíveis problemas e incidentes. Para cumprir esses objetivos, funções de gerência devem ser embutidas nos diversos componentes da rede, possibilitando detectar, prever e reagir aos problemas e incidentes que, por ventura, possam ocorrer. Daí, um sistema de gerenciamento deverá ser composto de uma coleção de ferramentas integradas para monitorar e controlar a rede. Mas como é essa integração? Essa integração dever ser... • Uma única interface de operador, com um poderoso e amigável conjunto de elementos e comandos que possam ser interligados aos hosts presentes na rede, que coletem informações e possibilitem a execução de tarefas de gerenciamento da rede. • Para tal, temos diversos sistemas, como: O gerenciamento de redes pode ser do tipo centralizada, utilizando um NOC, por exemplo: quando um centro de gerência controla toda a sua administração e monitoração. Também pode ser descentralizada, quando o trabalho é dividido entre os responsáveis em cada setor e a equipe de infraestrutura de TI. Mas, por que o monitoramento da rede deve ser prioridade da TI? Lembre-se que as redes corporativas garantem toda troca de informações dentro do ambiente organizacional e proporcionam uma série de execução de atividades e processos necessários ao modelo de negócio e a toda a empresa! Identificar falhas rapidamente; Agilizar correções e tratar incidentes; Identificar tendências; Planejar manutenções e reparos; Facilitar a compreensão da informação. E, principalmente para a CONTINUIDADE DOS NEGÓCIOS e DISASTER RECOVERY: #ficadica: atualmente (sem exceção), todo departamento de TI necessita de um plano de recuperação de desastres (Disaster Recovery) que inclua uma análise de impacto, estratégias para voltar a ficar online, bem como a realização de testes e treinamentos. O monitoramento de redes pode ser um grande aliado no desenvolvimento de um plano eficaz para recuperação de desastres, identificando as lacunas existentes entre a configuração atual e a que é necessária. Demonstração Neste Labs vamos aprender a instalar o NTOP em nosso servidor Linux Ubuntu e fazer uma demonstração de um sistema de gerenciamento de redes muito bacana e totalmente opensource. Demonstração DIEGO, INSERIR VÍDEOS - LABS NTOP (TODOS) Conclusão Estudamos a diferença entre monitoramento e gerenciamento, e aprendemos que o monitoramento e gerenciamento de uma rede LAN é importante não só para a proteção e segurança dos ativos de TI, mas também para a continuidade dos negócios de uma empresa. Nesse sentido, o monitoramento e gerenciamento de redes é o primeiro passo dado para a proteção da Camada 4 - Segurança de Rede Interna. Próxima aula VLANs – Rede Local Virtual. Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.8. VLANS – REDE LOCAL VIRTUAL Nesta aula VLANs – Redes Locais Virtual. 1 1º TÓPICO VLANs – REDE LOCAL VIRTUAL (Segurança de Rede Interna) “Estruturas capazes de segmentar, logicamente, uma rede local em diferentes domínios de broadcast". Varadarajan “Uma rede virtual é um grupo de estações e servidores que se comunica independentemente de sua localização física ou topologia, como se fosse um único domínio broadcast, ou uma rede lógica.“ Molinari Assim sendo, podemos concluir que VLANs possibilitam a partição de uma rede local em diferentes segmentos lógicos. Como vantagens da criação de VLANs, podemos citar: Flexibilidade: pois permite definir uma nova infraestrutura de rede acima da rede física. Redução broadcast: pois permite otimizar e controlar o tráfego dos pacotes, evitando que pacotes sejam replicados na rede de forma desnecessárias. Segurança: pois permite isolar as redes, impossibilitando a propagação de ameaças entre as redes e seus hosts conectados. As VLANs podem ser configuradas de três maneiras: • Enlace tronco (Trunk Link) – todos os dispositivos conectados a um enlace desse tipo, incluindo estações de trabalho, devem, obrigatoriamente, ter suporte à VLANs. Todos os pacotes de dados transmitidos em quadros em um trunk link possuem um rótulo VLAN. Enlace de Acesso (Access Link): um enlace de acesso conecta um dispositivo sem suporte para VLAN, à uma porta de um switch. Todos os pacotes de dados transmitidos em quadros nesse tipo de enlace, obrigatoriamente não devem possuir rótulo. Enlace Híbrido (Hybrid Link): é uma combinação dos dois enlaces anteriores. Em um enlace híbrido são conectados tanto dispositivos com suporte a VLANs, quanto os sem. Em um enlace desta natureza, pode haver quadros com (tagged frames) e sem rótulo (untagged frame), mas todos os quadros para uma VLAN específica têm de ser com rótulo VLAN ou sem rótulo. Demonstração DIEGO, INSERIR VÍDEOS - LABS VLAN PARTE 1, 2, 3 Conclusão Estudamos que as VLANs são redes virtuais que possibilitam segmentar a nossa rede local em pequenas subredes, permitindo assim um controle maior de todo o fluxo de dados, isolando tais redes para que essas só realizem a troca de dados quando devidamente autorizado. Daí, temos como vantagens a FLEXIBILIDADE, REDUÇÃO DE BROADCAST e SEGURANÇA. Próxima aula Controlador de Domínio. 1 Group Polices.2 Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.9. CAMADA 5 – SEGURANÇA DE HOSTS (ENDPOINTS) Nesta aula Controlador de Domínio. 1 Group Polices.2 1º TÓPICO CONTROLADOR DOMÍNIO (Segurança de Rede Interna) Um CONTROLADOR de DOMÍNIO é um servidor que responde às solicitações de autenticação de usuários e computadores, verificando se tais usuários ou recursos têm a devida permissão de acessar a rede e seus recursos. Os DOMÍNIOS são uma maneira hierárquica de organizar usuários e computadores que trabalham em uma mesma rede. A principal função de um CONTROLADOR de DOMÍNIO é AUTENTICAR e VALIDAR o acesso do usuário na rede. Os controladores de domínio contêm os dados que determinam e validam o acesso à sua rede, incluindo quaisquer diretivas de grupo e todos os nomes de computadores. Tudo o que um invasor pode precisar para causar grandes danos aos seus dados e rede está no controlador de domínio, o que faz dele um alvo primário durante um ataque cibernético. Dentre os benefícios do uso de um controlador de domínio em uma rede LAN, citamos: • Gerenciamento centralizado de usuários. • Permite o compartilhamento de recursos para arquivos e impressoras. • Pode ser distribuído e replicado em grandes redes. • Criptografia de dados do usuário. Demonstração Instalando e configurando o CONTROLADOR DE DOMÍNIO MICROSOFT ACTIVE DIRECTORY/DOMAIN CONTROLLER Demonstração Diego inserir LABS – Windows Server(todos) Conclusão Estudamos que um CONTROLADOR DE DOMÍNIO é um elemento de proteção importante para a nossa camada de segurança de redes. Isso porque ele permite realizar o controle de acessos dos usuários aos recursos na rede, por meio da autenticação e liberação de permissões. Por ter uma posição estratégica, um controlador de domínio deve ser “blindado” contra ameaças! 2º TÓPICO GROPO POLICES (Segurança de Rede Interna) A DIRETIVA DE GRUPO (group policy) é um recurso do Microsoft Windows Active Directory, que adiciona controles adicionais às contas de usuário e computador. As POLÍTICAS DE GRUPO fornecem configurações centralizadas de sistemas operacionais e de gerenciamento dos ambientes de computação do usuário, e são utilizadas para proteger os computadores dos usuários contra infiltrações e violações de dados. Demonstração Configurando GPOs no MICROSOFT ACTIVE DIRECTORY/DOMAIN CONTROLLER Demonstração Diego inserir LABS GPO (todos) Conclusão Estudamos que por meio das DIRETIVAS DE GRUPO, podemos conseguir uma série de vantagens relacionadas à proteção dos nossos ativos de TI e de nossa rede, tais como: facilidade de gerenciamento; imposição de políticas de senha e controle de acessos a recursos. VPN – Virtual Private Network. Próxima Aula 1 Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.10. VPN – VIRTUAL PRIVATE NETWORK Nesta aula VPN – Virtual Private Network. 1 1º TÓPICO VPN – VIRTUAL PRIVATE NETWORK (Segurança de Rede Interna) Uma VPN é uma rede privada, que usa uma rede pública (geralmente a Internet) para conectar sites ou usuários remotos. A VPN usa conexões “virtuais”, roteadas pela Internet da rede privada da empresa ou de um serviço VPN de terceiros, para o site ou pessoa remota. O objetivo de uma VPN é fornecer uma conexão privada segura e confiável entre redes de computadores distintas (WAN e LAN). VPN SITE TO CLIENT: permite que usuários individuais estabeleçam conexões seguras com uma rede de computadores remotos. Esses usuários podem acessar os recursos seguros nessa rede, como se estivessem diretamente conectados aos servidores da rede. Um exemplo de empresa que precisa de uma VPN de acesso remoto é uma grande empresa com centenas de vendedores em campo. VPN SITE TO SITE: permite que escritórios em vários locais fixos estabeleçam conexões seguras entre si, através de uma rede pública como a Internet. A VPN site a site estende a rede da empresa, disponibilizando recursos de computador de um local para funcionários de outros locais. Um exemplo de empresa que precisa de uma VPN site a site é uma empresa em crescimento, com dezenas de filiais em todo o mundo. Demonstração Configurando uma VNP SITE TO CLIENT no Sophos UTM Demonstração Diego inserir LABS – VPN – Site2cliente Conclusão As VPNs são mecanismos de proteção que permitem que colaboradores realizem suas atividades de forma REMOTA e SEGURA, e estão presentes na camada de rede. Camada 5 – Segurança de Hosts. Próxima Aula 1 Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.11. CAMADA 5 – SEGURANÇA DE HOSTS (ENDPOINTS) Nesta aula Camada 5 – Segurança de Hosts (endpoints). 1 Vírus, spywares e malwares. Firewall pessoal, bugs e atualizações. 2 3 1º TÓPICO CAMADA 5 (Segurança de Hosts) A camada 5 – Segurança de Hosts, é responsável por implementar mecanismos e ferramentas de proteção capazes de lidar com ameaças diretas ao host. Porém, implementar mecanismos de proteção nesta camada é uma tarefa especialmente desafiadora para as equipes de segurança da informação e segurança cibernética. Mas, por quê? Porque iremos encontrar diversos fabricantes de hardware e software, e cada um segue um modelo e um padrão! O foco da proteção deve estar nos... Conclusão Estudamos que a camada 5 da estratégia de defesa em profundidade deve concentrar-se em proteger os nossos dispositivos “endpoints”, em especial o “sistema operacional”. Essa proteção é realizada por meio da implementação de sistemas de antivírus, antispywares, atualizações e correções (patch), firewall pessoal, sistemas de manutenção de endpoints etc. 2º TÓPICO VÍRUS, SPYWARES e MALWARES (Segurança de Hosts) Um VÍRUS é um programa malicioso, que tem como missão de se infiltrar em um determinado dispositivo computacional ou sistema, sem o seu conhecimento, com o objetivo de roubar, danificar ou comprometer de alguma forma dados, informações e o próprio sistema. Um VÍRUS é uma categoria de MALWARE, que inclui todos os tipos de códigos, criados com o intuito de serem prejudicais. No geral, qualquer tipo de vírus possui quatro fases, sendo: 1ª fase conhecida como: FASE DORMENTE. 2ª fase conhecida como: FASE DE PROPAGAÇÃO. 1ª fase conhecida como: FASE DE ATIVAÇÃO. 1ª fase conhecida como: FASE DE EXECUÇÃO. BACKDOOR é uma possível fonte de vazamento de informações sensível. São os canais secretos de comunicação, ou seja, canais dos quais os usuários ignoram a existência. Estes canais são chamados de porta de manutenção ou Backdoor, e são comumente utilizados por Trojans para comunicar-se com seu controlador, ou até mesmo fornecer acesso à máquina infectada. Um TROJAN do tipo BACKDOOR pode expor a sua infraestrutura a uma série de ameaças. Por isso é importante ter uma solução ENDPOINT de segurança INSTALADA e ATUALIZADA! Para facilitar a escolha da melhor solução, é aconselhável que as equipes de segurança realizem uma pesquisa avançada sobre as soluções existentes no mercado e executem testes avaliativos, a fim de ajudar na tomada de decisão. https://www.av-comparatives.org/ https://www.av-comparatives.org/ Conclusão Estudamos que vírus, spywares e malwares devem ser tratados pelas equipes de segurança com extrema atenção. Pois podem causar grandes estragos a toda a infraestrutura de TI, roubando, danificando ou comprometendo dados, informações e sistemas. A escolha de um bom mecanismo de proteção de endpoint para cuidar desses tipos de ameaças faz toda a diferença! 3º TÓPICO FIREWALL PESSOAL, BUGS e ATUALIZAÇÕES (Segurança de Hosts) São firewalls dedicados única e exclusivamente a proteger desktops corporativos ou pessoais. Podendo ser encontrado em servidores. No geral, costumam vir por default, implementados em praticamente todos os sistemas operacionais (Windows, Linux, Mac OSx etc.). Desenvolvedores de soluções de segurança para desktops também fornecem em suas suítes, soluções de firewall pessoal embarcadas. Apesar de parecerem simples, os firewalls pessoais são mecanismos de proteção eficientes – principalmente para a segurança das estações de trabalho dos usuários corporativos. Atualmente, as soluções existentes de firewall pessoal possuem mecanismos avançados de proteção, como por exemplo: Detecção de Intrusão (IDS). Detecção e bloqueio de aplicações maliciosas. Whitelist e Blacklist. Entre outras. BUGS são tão antigos como a própria computação e receberam esse nome porque os primeiros defeitos nos computadores foram causados por pequenos insetos, que causavam curtos nas placas de circuitos deles. Um bug é um erro no funcionamento comum de um software ou hardware, também chamado de falha na lógica de um programa, que pode causar comportamentos inesperados, como resultado incorreto ou comportamento indesejado. São, geralmente, causados por erros no próprio código-fonte, mas também podem ser causados por algum framework, interpretador, sistema operacional ou compilador. Para mantermos nossos ativos de redes protegidos contra BUGS, é necessário que se tenha um política de atualização! Conclusão Estudamos que nossos EndPoint também precisam de proteção! Neste contexto, é necessários que as equipes de segurança implementem mecanismos de proteção que possibilitem lidar com diversos tipos de ameaça, garantindoassim a segurança de todo o sistema. Possuir uma política de atualização de endpoints, garante que os mesmos estejam protegidos contra os BUGS e falhas do sistema! Próxima aula 1 2 Camada 6 – Segurança de Aplicações. WAF – Firewall de Aplicações Web. Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.12. CAMADA 6 – SEGURANÇA DE APLICAÇÕES Nesta aula Camada 6 – Segurança de Aplicações. 1 WAF – Firewall de Aplicações Web.2 1º TÓPICO SEGURANÇA DE APLICAÇÕES (Camada 6) Não muito diferente da camada anterior em termos de diversidade, a camada de segurança de aplicação da estratégia de defesa em profundidade, tem como objetivo manter os aplicativos, os sistemas de informação e demais outros softwares (dos mais variados tipos e aplicabilidades) mais seguros e protegidos contra falhas sistêmicas, operacionais e ameaças virtuais. O objetivo dessa camada é cuidar da proteção de “todos” os tipos de softwares e aplicativos, incluindo os sistemas de informação como: CRM, ERP, BI etc., que manipulam e processam todos os dados e informações em um ambiente corporativo. Nesta camada encontramos diversos mecanismos e ferramentas de proteção, tais como: gateway de aplicação (Proxy), sistemas de gerenciamento de identidade e acessos (IAM) aos aplicativos e demais softwares e recursos computacionais; sistemas de filtragem de conteúdo, ACLs (regras) de liberação de acesso, além de sistemas de monitoramento de serviços, de updates de patchs de correção de bugs e falhas, entre outros. Conclusão Estudamos que a camada 6 da estratégia de defesa em profundidade, deve concentrar-se em proteger as nossas aplicações. Ou seja, os diversos sistemas e aplicativos corporativos. 2º TÓPICO WAF – FIREWALL DE APLICAÇÕES WEB (Segurança de Aplicações) Geralmente abreviado como WAF, um firewall de aplicativo da web é usado para filtrar, bloquear ou monitorar o tráfego HTTP do aplicativo da web de entrada e saída. Comparados aos sistemas de detecção de intrusões (IDS / IPS), os WAFs têm um forte foco no tráfego de aplicativos e a capacidade de fornecer uma análise profunda do fluxo de dados. Relembrando... O IDS / IPS serve como guardião de todo o tráfego de rede. Já o WAF procura apenas ataques provenientes de aplicativos, monitorando principalmente o protocolo HTTP / HTTPS. Os WAFs inspecionam o tráfego conforme ele vai e vem, impedindo ataques que surgem de vulnerabilidades no código do aplicativo, como script entre sites (XSS), injeção de SQL etc. Para entender melhor o WAF, uma coisa que você precisa saber é a natureza dos ataques de rede modernos. A maioria dos bem-sucedidos foram realizados quando os invasores conseguiram encontrar uma vulnerabilidade no código e usá-lo para fazer com que o malware parecesse parte do tráfego do aplicativo. À medida que os aplicativos da Web crescem em complexidade, aumenta a necessidade de sistemas que possam decodificar e analisar o tráfego HTTP / HTTPS, usando especificamente o amplo espectro de parâmetros e padrões de comportamento. O WAF tem como objetivo reconhecer o tráfego de aplicativos “saudáveis”, prestar atenção aos pontos mais fracos e até ajudar a executar testes de segurança de aplicativos da web , encontrar vulnerabilidades no código e corrigi-las no nível do firewall. Como o WAF monitora com precisão o tráfego do aplicativo, ele também serve como uma ferramenta para balanceamento de carga e otimização de manutenção. Outro grande benefício do uso do WAF é a proteção contra explorações de dia zero: malware recém-nascido que não é detectado por nenhuma análise de comportamento conhecida. É o tipo de ameaça mais perigosa e popular que as medidas de segurança tradicionais não estão equipadas para mitigar ou impedir. Os WAFs são projetados para serem colocados na camada de aplicativos, atuando como um gatekeeper bidirecional, e analisar o tráfego HTTP / HTTPS que entra e sai do aplicativo. O WAF tomará uma ação sempre que detectar tráfego malicioso. Um benefício dos WAFs é que eles funcionam independentemente do aplicativo, mas podem se ajustar constantemente às mudanças no comportamento do aplicativo. Dessa forma, a introdução de um novo recurso no aplicativo não resultará em milhares de detecções de falsos positivos que seriam causados por um novo aplicativo de fluxos de dados. Conclusão Estudamos que para proteger nossas aplicações, existe a camada 6 da estratégia de defesa em profundidade. O elemento de proteção mais importante dessa camada é o WAF (Firewall de Aplicações WEB). As equipes de segurança utilizam como uma proteção inteligente as suas aplicações locais e principalmente as suas aplicações web. Próxima aula Camada 7 – Segurança de Dados.1 Segurança em Infraestrutura de TI PROF. MAXIMILIANO DE CARVALHO JACOMO AULA 2.13. CAMADA 7 – SEGURANÇA DE DADOS Nesta aula Camada 7 – Segurança de Dados. 1 Criptografia de discos e dados. DLP. 2 3 1º TÓPICO CAMADA 7 (Segurança de Dados) Trata-se da camada de segurança mais profunda da estratégia de defesa em profundidade e a mais valiosa em termos de ativos de TI. Seu principal objetivo é proteger os “dados” que estão armazenados nos sistemas de gerenciamento de banco de dados, bem como o seu processamento, transmissão e descarte. As estratégias de proteção nessa camada devem se concentrar nos dados armazenados, incluindo os dispositivos de armazenamento, nos dados em trânsito e no descarte desses dados quando não forem mais necessários. Ou seja, é preciso garantir uma total proteção durante todo o CICLO DE VIDA dos dados dentro do ambiente corporativo. COLETA ARMAZENAMENTO TRANSFORMAÇÃODISTRIBUIÇÃO DESCARTE CICLO DE VIDA DOS DADOS No geral, os elementos adotados para a proteção da CAMADA 7 são: • Criptografia (disco e arquivos). • DLP – Prevenção a Perda de Dados. • Políticas de acesso aos dados. • Gerenciamento de riscos e, principalmente ... GOVERNANÇA DE DADOS GOVERNANÇA DADOS PROCESSO TECNOLOGIASPESSOAS • Qualidade dos dados. • Políticas de manipulação dos dados. • Gestão de risco e compliance. • Gestão dos metadados. • Integração dos dados. • Controle de dados mestres e de referência. • Comunicação dos dados. • Eliminação e descarte de dados. Conclusão Estudamos que a camada 7 da estratégia de defesa em profundidade, deve concentrar-se em proteger os nossos DADOS. Essa proteção deve levar em consideração todo o CICLO DE VIDA dos dados dentro do ambiente organizacional. Deve envolver PROCESSOS, TECNOLOGIA e PESSOAS e, como melhores práticas, a empresa deve adotar a GOVERNANÇA DE DADOS. 2º TÓPICO CRIPTOGRAFIA DE DADOS (Segurança de Dados) A primeira coisa a saber é “O QUE É CRIPTOGRAFIA DE DADOS?” É a conversão dos dados em outro formato ou código, para que somente pessoas com acesso a uma chave secreta (formalmente chamada de chave de descriptografia) ou senha possam lê-los. No geral, os DADOS CRIPTOGRAFADOS são comumente referidos como texto cifrado, enquanto dados não criptografados são chamados de texto sem formatação. Atualmente, a criptografia é um dos métodos mais populares e eficazes de segurança de dados usados pelas organizações. Existem dois tipos principais de criptografia de dados: criptografia assimétrica, também conhecida como criptografia de chave pública, e criptografia simétrica. A CRIPTOGRAFIA não é algo novo! É usada desde os primórdios da humanidade para passar informações de forma secreta e segura! O processo de criptografia de dados consiste em que os dados, ou texto sem formatação, são criptografados com um algoritmo de criptografia e uma chave de criptografia. O processo resulta em texto cifrado, que só pode ser visualizado em sua forma original se for descriptografado com a chave correta. A seguir, vamos ver alguns dos algoritmos mais utilizados para criptografar dados. Data EncryptionStandard (DES) é uma das primeiras criptografias utilizadas e é considerada uma proteção básica de poucos bits. O seu algoritmo é o mais difundido mundialmente e realiza 16 ciclos de codificação para proteger uma informação. O DES pode ser decifrado com a técnica de força bruta. Por essa razão, os desenvolvedores e as equipes de segurança da informação precisam buscar alternativas de proteção mais complexas além do DES. Advanced Encryption Standard (AES) — ou Padrão de Criptografia Avançada, é o algoritmo padrão do governo dos Estados Unidos e de várias outras organizações. Ele é confiável e excepcionalmente eficiente na sua forma em 128 bits, mas também é possível usar chaves e 192 e 256 bits para informações que precisam de proteção maior. O AES é amplamente considerado imune a todos os ataques, exceto aos ataques de força bruta, que tentam decifrar o código em todas as combinações possíveis em 128, 192 e 256 bits, o que é imensamente difícil na atualidade. Rivest-Shamir-Adleman (RSA) foi um dos pioneiros em relação à criptografia de chave pública. É considerado um dos algoritmos mais seguros do mercado, por essa razão também foi o primeiro a possibilitar a criptografia na assinatura digital. O RSA funciona da seguinte forma: ele cria duas chaves diferentes, uma pública e outra privada. Todas as mensagens podem ser cifradas pela pública, mas somente decifradas pela privada. Atualmente, essa tecnologia é utilizada em operações rotineiras, como envio de e-mails, compras online, assinatura digital, entre outras atividades. Conclusão Estudamos que os dados precisam ser protegidos, e uma das formas de proteção é a aplicação da criptografia de dados. A criptografia de dados converte dados comuns em dados cifrados e somente o detentos da chave criptográfica pode decifrá-los. Existem vários algoritmos de criptografia, sendo os mais comuns DES, AES e RSA. 3º TÓPICO DLP – PREVENÇÃO A PERDA DE DADOS (Segurança de Dados) A prevenção contra perda de dados, ou DLP, é um conjunto de tecnologias, produtos e técnicas projetadas para impedir que informações confidenciais deixem a organização. DLP usam regras para procurar informações confidenciais que podem ser incluídas nas comunicações eletrônicas ou para detectar transferências de dados anormais. O objetivo é impedir que informações, como propriedade intelectual, dados financeiros e detalhes de funcionários ou clientes, sejam enviadas, acidental ou intencionalmente, para fora da rede corporativa. Existem diferentes tipos de DLP, sendo os mais comuns: • DLP para dados em uso. Nesta tecnologia de DLP, são protegido os dados em uso, ou seja, os dados que estão sendo processados ativamente por um aplicativo ou sistema. Os mecanismos de proteção adotados no geral, envolvem a autenticação de usuários e o controle de seu acesso aos recursos. Existem diferentes tipos de DLP, sendo os mais comuns: • DLP para dados em movimento. Quando dados confidenciais estão em trânsito pela rede, são necessárias tecnologias DLP para garantir que não sejam roteadas para fora da organização ou para áreas de armazenamento inseguras. A criptografia desempenha um papel importante nessa etapa. A segurança do e-mail também é crítica, pois boa parte da comunicação comercial passa por esse canal. Existem diferentes tipos de DLP, sendo os mais comuns: • DLP para dados em repouso, Mesmo os dados que não estão em movimento ou em uso precisam de proteção. As tecnologias DLP protegem os dados que residem em uma variedade de mídias de armazenamento, incluindo a nuvem. O DLP pode colocar controles para garantir que apenas usuários autorizados estejam acessando os dados e para rastrear seu acesso, caso haja vazamento ou roubo. Conclusão Estudamos que DLP são conjuntos de tecnologias que tem como objetivo proteger nossos dados em diferentes estágios — USO, MOVIMENTO e REPOUSO. A principal missão das tecnologias DLP é a de prevenir os dados críticos do modelo de negócio contra diversos tipos de ameaças e, principalmente, contra o VAZAMENTO, ACESSO NÃO AUTORIZADO ou ROUBO.
Compartilhar