Baixe o app para aproveitar ainda mais
Prévia do material em texto
Resumo Módulo 3 - Mitigação de Ameaças 1 3 ⃣ Resumo Módulo 3 - Mitigação de Ameaças Defendendo a Rede Profissionais de segurança de rede 💡 Como resultado do aumento das explorações de hackers, a sofisticação das ferramentas de hackers, e por causa da legislação governamental, as soluções de segurança de rede se desenvolveram rapidamente na década de 1990, criando novas oportunidades de emprego no campo da segurança da rede. As funções de trabalho de especialista em segurança em uma empresa incluem Diretor de Informações CIO, Diretor de Segurança da Informação CISO, Gerente de Operações de Segurança SECOPs), Diretor de Segurança CSO, Gerente de Segurança e Engenheiro de Segurança de Rede. Independentemente dos títulos de trabalho, os profissionais de segurança de rede devem sempre ficar um passo à frente dos hackers: Eles devem constantemente atualizar seu conjunto de habilidades para se manter a par das ameaças mais recentes. Eles devem participar de treinamento e oficinas. Eles devem se inscrever em feeds em tempo real sobre ameaças. Eles devem examinar os sites de segurança diariamente. Eles devem manter a familiaridade com as organizações de segurança de rede. Essas organizações geralmente possuem as informações mais recentes sobre ameaças e vulnerabilidades. Comunidades de Inteligência de Rede Resumo Módulo 3 - Mitigação de Ameaças 2 Resumo Módulo 3 - Mitigação de Ameaças 3 Para permanecer eficaz, um profissional de segurança de rede deve: Mantenha-se informado sobre as ameaças mais recentes - Isso inclui assinar feeds em tempo real sobre ameaças, consultar sites relacionados à segurança rotineiramente, acompanhar blogs e podcasts de segurança e muito mais. Continuar a atualizar as habilidades - Isso inclui participar de treinamentos, workshops e conferências relacionados à segurança. Certificações de Segurança de Rede As certificações para profissionais de segurança de rede são oferecidas pelas seguintes organizações: Certificação Global de Garantia de Informações GIAC Consórcio Internacional de Certificação de Segurança de Sistema de Informação ISC Associação de Auditoria e Controle de Sistemas de Informação ISACA Conselho Internacional de Consultores de Comércio Electrónico CE Conselho) Profissional de segurança sem fio certificado CWSP Os exames de concentração de segurança Cisco Certified Specialist são os seguintes: Resumo Módulo 3 - Mitigação de Ameaças 4 300710 SNCF - Network Security Firepower 300715 SISE - Implementing and Configuring Cisco Identity Services Engine 300720 SESA - Securing Email with Cisco Email Security Appliance 300725 SWSA - Securing the Web with Cisco Web Security Appliance 300730 SVPN - Implementing Secure Solutions with Virtual Private Networks 300735 SAUTO - Automating and Programming Cisco Security Solutions Segurança das comunicações: CIA Tríade CIA Confidencialidade - Somente indivíduos, entidades ou processos autorizados podem acessar informações confidenciais. Integridade - refere-se à proteção de dados contra alterações não autorizadas. Disponibilidade os usuários autorizados devem ter acesso ininterrupto aos recursos e dados da rede de que necessitam. Políticas de Segurança de Rede Domínios de Segurança de Rede 💡 Existem 14 domínios de segurança de rede especificados pela International Organization for Standardization ISO /International Electrotechnical Commission IEC. Descritos pela ISO/IEC 27001, esses 14 domínios servem para organizar, em alto nível, o vasto reino de informações e atividades sob o guarda-chuva da segurança da rede. Esses domínios têm alguns paralelos significativos com domínios definidos pela certificação Certified Information Systems Security Professional CISSP. Resumo Módulo 3 - Mitigação de Ameaças 5 Resumo Módulo 3 - Mitigação de Ameaças 6 Políticas de Negócios Uma organização pode ter várias diretivas orientadoras, conforme listado na tabela. Resumo Módulo 3 - Mitigação de Ameaças 7 Política de Segurança Uma política de segurança abrangente tem uma série de benefícios, incluindo os seguintes: Demonstra o compromisso de uma organização com a segurança Define as regras para o comportamento esperado Garante a consistência nas operações do sistema, aquisição e uso de software e hardware e manutenção Define as consequências legais das violações Resumo Módulo 3 - Mitigação de Ameaças 8 Dá ao pessoal de segurança o apoio da gestão A tabela lista as diretivas que podem ser incluídas em uma diretiva de segurança. 💡 Um dos componentes de política de segurança mais comuns é um AUP. Isso também pode ser referido como uma política de uso apropriada. Por exemplo, um AUP pode listar sites específicos, grupos de notícias ou aplicativos de uso intensivo de largura de banda que são proibidos de serem acessados por computadores da empresa ou da rede da empresa. Cada funcionário deve ser obrigado a assinar uma AUP, e as AUPs assinadas devem ser mantidas durante a duração do emprego. Políticas BYOD Uma política de segurança BYOD deve ser desenvolvida para realizar o seguinte: Resumo Módulo 3 - Mitigação de Ameaças 9 Especifique os objetivos do programa BYOD. Identifique quais funcionários podem trazer seus próprios dispositivos. Identifique quais dispositivos serão suportados. Identificar o nível de acesso que os funcionários são concedidos ao usar dispositivos pessoais. Descrever os direitos de acesso e as atividades permitidas ao pessoal de segurança no dispositivo. Identifique quais regulamentos devem ser cumpridos ao usar dispositivos de funcionários. Identifique as salvaguardas a serem implementadas se um dispositivo for comprometido. A tabela lista as práticas recomendadas de segurança BYOD para ajudar a mitigar vulnerabilidades BYOD. Resumo Módulo 3 - Mitigação de Ameaças 10 Ferramentas, plataformas e serviços de segurança A cebola de segurança e a alcachofra de segurança Uma analogia comum usada para descrever uma abordagem de defesa em profundidade é chamada de “cebola de segurança”: O cenário em mudança da rede, como a evolução das redes sem fronteiras, mudou essa analogia para a “alcachofra de segurança”, que beneficia o ator de ameaça. Conforme ilustrado na figura, os atores da ameaça não precisam mais descascar cada camada. Eles só precisam remover certas “folhas de alcachofra”. O bônus é que cada “folha” da rede pode revelar dados confidenciais que não estão bem protegidos. Resumo Módulo 3 - Mitigação de Ameaças 11 Plataformas de segurança de dados - DSP 💡 são uma solução de segurança integrada que combina ferramentas tradicionalmente independentes em um conjunto de ferramentas que são feitas para trabalhar juntas. Um desses DSP é a plataforma Helix da FireEye FireEye Helix é uma plataforma de operações de segurança baseada em nuvem que permite às organizações integrar muitas funcionalidades de segurança em uma única plataforma. O Helix fornece gerenciamento de eventos, análise de comportamento de rede, detecção avançada de ameaças e orquestração, automação e resposta de segurança de incidentes SOAR para resposta a ameaças à medida que são detectadas. Outro DSP integrado é Cisco SecureX Resumo Módulo 3 - Mitigação de Ameaças 12 SecureX vai um passo mais longe com sua forte integração com o portfólio Cisco Secure. O portfólio Cisco Secure consiste em um amplo conjunto de tecnologias que funcionam como uma equipe - fornecendo interoperabilidade com a infraestrutura de segurança, incluindo tecnologias de terceiros. Serviços de segurança 💡 Inteligência de ameaças e serviços de segurança permitem a troca de informações de ameaças, como vulnerabilidades, indicadores de comprometimento COI e técnicas de mitigação. Um desses serviços é o Cisco Talos Threat Intelligence Group Mitigando Ataques Comuns à Rede Defendendo a Rede Vigilância constante e educação contínua são necessários para defender sua rede contra ataques. Veja a seguir as melhorespráticas para proteger uma rede: Desenvolver uma política de segurança escrita para a empresa. Eduque os funcionários sobre os riscos de engenharia social e desenvolva estratégias para validar identidades por telefone, por e-mail ou pessoalmente. Controle o acesso físico aos sistemas. Use senhas fortes e altere-as com frequência. Criptografe e proteja por senha dados confidenciais. Implemente hardware e software de segurança, como firewalls, IPSs, dispositivos de rede privada virtual VPN, software antivírus e filtragem de conteúdo. Execute backups e teste os arquivos de backup regularmente. Desligue serviços e portas desnecessários. Resumo Módulo 3 - Mitigação de Ameaças 13 Mantenha os patches atualizados instalando-os semanalmente ou diariamente, se possível, para evitar ataques de estouro de buffer e escalonamento de privilégios. Execute auditorias de segurança para testar a rede. Mitigação de Malware 💡 As técnicas de mitigação são frequentemente referidas na comunidade de segurança como “contramedidas”. Uma maneira de mitigar ataques de vírus e cavalos de Tróia é o software antivírus. Mitigando Worms A mitigação de worm requer diligência e coordenação por parte dos profissionais de segurança de rede. Resumo Módulo 3 - Mitigação de Ameaças 14 Mitigando Ataques de Reconhecimento A ferramenta de segurança adaptável ASA de Cisco fornece a prevenção da intrusão em um dispositivo autônomo. Além disso, o Cisco ISR apoia a prevenção de intrusão baseada em rede através da imagem de segurança do Cisco IOS. Os ataques de reconhecimento podem ser mitigados de várias maneiras, incluindo o seguinte: Implementando a autenticação para garantir o acesso adequado. Usando criptografia para tornar os ataques de sniffer de pacotes inúteis. Usando ferramentas anti-sniffer para detectar ataques de sniffer de pacotes. Implementando uma infraestrutura comutada. Resumo Módulo 3 - Mitigação de Ameaças 15 Usando um firewall e IPS. Mitigando ataques de acesso 💡 Várias técnicas estão disponíveis para mitigar ataques de acesso. Estes incluem segurança de senha forte, princípio de confiança mínima, criptografia, aplicação de patches de sistema operacional e aplicativos. Usar senhas fortes - Senhas fortes são pelo menos oito caracteres e contêm letras maiúsculas, letras minúsculas, números e caracteres especiais. Desativar contas após um número especificado de logins malsucedidos ter ocorrido - Esta prática ajuda a evitar tentativas contínuas de senha. A rede também deve ser projetada usando o princípio da confiança mínima. Isso significa que os sistemas não devem usar um ao outro desnecessariamente. Por exemplo, se uma organização tiver um servidor confiável usado por dispositivos não confiáveis, como servidores Web, o servidor confiável não deve confiar nos dispositivos não confiáveis incondicionalmente. O uso de protocolos de autenticação criptografados ou hash, juntamente com uma política de senha forte, reduz consideravelmente a probabilidade de ataques de acesso bem-sucedidos. Em geral, os ataques de acesso podem ser detectados através da revisão de logs, utilização da largura de banda e cargas de processo. A política de segurança de rede deve especificar que os logs são formalmente mantidos para todos os dispositivos e servidores de rede. Ao revisar os logs, o pessoal de segurança da rede pode determinar se ocorreu um número incomum de tentativas de login com falha. Mitigação de Ataques DoS Resumo Módulo 3 - Mitigação de Ameaças 16 Os ataques DoS podem ser um componente de uma ofensiva maior. Os ataques DoS podem levar a problemas nos segmentos de rede dos computadores que estão sendo atacados. Por exemplo, a capacidade de pacote por segundo de um roteador entre a Internet e uma LAN pode ser excedida por um ataque, comprometendo não somente o sistema de destino, mas também os dispositivos de rede pelos quais o tráfego deve passar. Se o ataque for realizado em escala suficientemente grande, regiões geográficas inteiras de conectividade com a Internet podem ser comprometidas. Framework de Proteção Cisco Network Foundation. Framework NFP 💡 A estrutura do Cisco Network Foundation Protection NFP fornece diretrizes abrangentes para proteger a infraestrutura de rede. Essas diretrizes formam a base para a prestação contínua do serviço O NFP divide logicamente roteadores e switches em três áreas funcionais, segundo as indicações da figura: Plano de controle - Responsável pelo roteamento de dados corretamente. O tráfego plano de controle consiste em pacotes gerados por dispositivo exigidos para a operação da própria rede, como trocas de mensagens ARP, ou anúncios de roteamento OSPF. Plano de gerenciamento - Responsável pela gestão de elementos de rede. O tráfego plano de gerenciamento é gerado por dispositivos de rede ou estações de gerenciamento de rede usando processos e protocolos como Telnet, SSH, TFTP, FTP, NTP, AAA, SNMP, SYSLOG, TACACS, RADIUS e NetFlow. Plano de dados (plano de encaminhamento) - Responsável pelo encaminhamento de dados. O tráfego plano de dados consiste normalmente em pacotes gerados pelo usuário que estão sendo enviados entre dispositivos finais. A maioria de tráfego viaja através do roteador, ou comuta, através do plano de dados. Resumo Módulo 3 - Mitigação de Ameaças 17 Protegendo o Plano de Controle 💡 O tráfego plano de controle consiste em pacotes gerados por dispositivo necessários para a operação da própria rede. A segurança do plano de controle pode ser implementada usando os seguintes recursos: autenticação de protocolo de roteamento - A autenticação de protocolo de roteamento, ou a autenticação vizinha, impede que um roteador aceite atualizações de roteamento fraudulentas. A maioria dos protocolos de roteamento apoia a autenticação vizinha. Policiamento plano de controle CoPP - CoPP é uma característica do Cisco IOS projetada permitir que os usuários controlem o fluxo de tráfego que é segurado pelo processador de rotas de um dispositivo de rede. AutoSecure - AutoSecure pode bloquear as funções do plano de gerenciamento e os serviços e funções de plano de encaminhamento de um roteador. Protegendo o Plano de de Gerenciamento Resumo Módulo 3 - Mitigação de Ameaças 18 O tráfego plano de gerenciamento é gerado por dispositivos de rede ou estações de gerenciamento de rede usando processos e protocolos como Telnet, SSH e TFTP, etc O plano de gerenciamento é um alvo muito atraente para hackers. Por esse motivo, o módulo de gerenciamento foi construído com diversas tecnologias projetadas para mitigar tais riscos. A segurança do plano de gerenciamento pode ser implementada usando os seguintes recursos: Política de login e senha - Restringi a acessibilidade do dispositivo. Limita as portas acessíveis e restringe os métodos de acesso “quem” e “como”. Presente notificação legal - Exibe avisos legais. Estes são muitas vezes desenvolvidos pelo conselho jurídico de uma corporação. Garanta a confidencialidade dos dados - Protege os dados confidenciais armazenados localmente contra visualização ou cópia. Usa protocolos de gerenciamento com autenticação forte para mitigar ataques de confidencialidade destinados a expor senhas e configurações de dispositivos. Controle de acesso baseado em função RBAC - Garante que o acesso seja concedido apenas a usuários, grupos e serviços autenticados. Os serviços de RBAC e autenticação, autorização e contabilidade AAA fornecem mecanismos para gerenciar efetivamente o controle de acesso. Autorizar ações - Restringe as ações e visualizações permitidas por qualquer usuário, grupo ou serviço específico. Ativar relatórios de acesso de gerenciamento - Registros e contas para todo o acesso. Registra que acessaram o dispositivo, o que ocorreu e quando ocorreu. Protegendo o plano de dados 💡 O tráfego plano de dados consiste na maior parte dos pacotes de usuário que estão sendo enviados através do roteador atravésdo plano de dados. A segurança do plano de dados pode ser executada usando ACLs, mecanismos antispoofing, e características de segurança da camada 2 Resumo Módulo 3 - Mitigação de Ameaças 19 ACLs executam a filtragem de pacotes para controlar quais pacotes se movem através da rede e para onde esses pacotes podem ir. As ACLs são usadas para proteger o plano de dados de várias maneiras: Bloqueando tráfego ou usuários indesejados - ACLs podem filtrar pacotes de entrada ou saída em uma interface. Eles podem ser usados para controlar o acesso com base em endereços de origem, endereços de destino ou autenticação de usuário. Reduzindo a chance de ataques DoS - ACLs podem ser usados para especificar se o tráfego de anfitriões, redes ou usuários, pode acessar a rede. A característica da interceptação ASA TCP é um mecanismo que possa ser usado para proteger os anfitriões finais, especialmente server, dos ataques da Syn-inundação TCP. Mitigação de ataques de falsificação - ACLs permitem que os profissionais de segurança implementem práticas recomendadas para mitigar ataques de falsificação. Fornecendo controle de largura de banda - ACLs em um link lento podem impedir o tráfego excessivo. Classificar o tráfego para proteger os planos de Gerenciamento e Controle - ACLs podem ser aplicados nas linhas vty. As seguintes ferramentas de segurança da camada 2 são integradas nos switches Cisco Catalyst: Port security - Impede a falsificação de endereços MAC e ataques de inundação de endereços MAC. DHCP snooping - Impede ataques de cliente no servidor e switch DHCP. Inspeção dinâmica de ARP DAI - Adiciona segurança ao ARP usando a tabela de espionagem DHCP para minimizar o impacto de ataques de envenenamento e spoofing ARP. Proteção de origem IP IPSG - Impede a falsificação de endereços IP usando a tabela de espionagem DHCP.
Compartilhar