Resumo Módulo 3 - Mitigação de Ameaças - Segurança de Rede CISCO

Prévia do material em texto

Resumo Módulo 3 - Mitigação de Ameaças 1
3 ⃣
Resumo Módulo 3 - Mitigação 
de Ameaças
Defendendo a Rede
Profissionais de segurança de rede
💡 Como resultado do aumento das explorações de hackers, a 
sofisticação das ferramentas de hackers, e por causa da legislação 
governamental, as soluções de segurança de rede se desenvolveram 
rapidamente na década de 1990, criando novas oportunidades de 
emprego no campo da segurança da rede.
As funções de trabalho de especialista em segurança em uma empresa 
incluem Diretor de Informações CIO, Diretor de Segurança da Informação 
CISO, Gerente de Operações de Segurança SECOPs), Diretor de Segurança 
CSO, Gerente de Segurança e Engenheiro de Segurança de Rede. 
Independentemente dos títulos de trabalho, os profissionais de segurança de 
rede devem sempre ficar um passo à frente dos hackers:
Eles devem constantemente atualizar seu conjunto de habilidades para se 
manter a par das ameaças mais recentes.
Eles devem participar de treinamento e oficinas.
Eles devem se inscrever em feeds em tempo real sobre ameaças.
Eles devem examinar os sites de segurança diariamente.
Eles devem manter a familiaridade com as organizações de segurança de 
rede. Essas organizações geralmente possuem as informações mais 
recentes sobre ameaças e vulnerabilidades.
Comunidades de Inteligência de Rede
Resumo Módulo 3 - Mitigação de Ameaças 2
Resumo Módulo 3 - Mitigação de Ameaças 3
Para permanecer eficaz, um profissional de segurança de rede deve:
Mantenha-se informado sobre as ameaças mais recentes - Isso inclui 
assinar feeds em tempo real sobre ameaças, consultar sites relacionados à 
segurança rotineiramente, acompanhar blogs e podcasts de segurança e 
muito mais.
Continuar a atualizar as habilidades - Isso inclui participar de 
treinamentos, workshops e conferências relacionados à segurança.
Certificações de Segurança de Rede
As certificações para profissionais de segurança de rede são oferecidas 
pelas seguintes organizações:
Certificação Global de Garantia de Informações GIAC
Consórcio Internacional de Certificação de Segurança de Sistema de 
Informação ISC
Associação de Auditoria e Controle de Sistemas de Informação ISACA
Conselho Internacional de Consultores de Comércio Electrónico CE
Conselho)
Profissional de segurança sem fio certificado CWSP
Os exames de concentração de segurança Cisco Certified Specialist são os 
seguintes:
Resumo Módulo 3 - Mitigação de Ameaças 4
300710 SNCF - Network Security Firepower
300715 SISE - Implementing and Configuring Cisco Identity Services 
Engine
300720 SESA - Securing Email with Cisco Email Security Appliance
300725 SWSA - Securing the Web with Cisco Web Security Appliance
300730 SVPN - Implementing Secure Solutions with Virtual Private 
Networks
300735 SAUTO - Automating and Programming Cisco Security Solutions
Segurança das comunicações: CIA
Tríade CIA
Confidencialidade - Somente indivíduos, entidades ou processos 
autorizados podem acessar informações confidenciais.
Integridade - refere-se à proteção de dados contra alterações não 
autorizadas.
Disponibilidade os usuários autorizados devem ter acesso ininterrupto aos 
recursos e dados da rede de que necessitam.
Políticas de Segurança de Rede
Domínios de Segurança de Rede
💡 Existem 14 domínios de segurança de rede especificados pela 
International Organization for Standardization ISO /International 
Electrotechnical Commission IEC. Descritos pela ISO/IEC 27001, 
esses 14 domínios servem para organizar, em alto nível, o vasto reino 
de informações e atividades sob o guarda-chuva da segurança da 
rede. Esses domínios têm alguns paralelos significativos com 
domínios definidos pela certificação Certified Information Systems 
Security Professional CISSP.
Resumo Módulo 3 - Mitigação de Ameaças 5
Resumo Módulo 3 - Mitigação de Ameaças 6
Políticas de Negócios
Uma organização pode ter várias diretivas orientadoras, conforme listado na 
tabela.
Resumo Módulo 3 - Mitigação de Ameaças 7
Política de Segurança
Uma política de segurança abrangente tem uma série de benefícios, 
incluindo os seguintes:
Demonstra o compromisso de uma organização com a segurança
Define as regras para o comportamento esperado
Garante a consistência nas operações do sistema, aquisição e uso de 
software e hardware e manutenção
Define as consequências legais das violações
Resumo Módulo 3 - Mitigação de Ameaças 8
Dá ao pessoal de segurança o apoio da gestão
A tabela lista as diretivas que podem ser incluídas em uma diretiva de 
segurança.
💡 Um dos componentes de política de segurança mais comuns é um 
AUP. Isso também pode ser referido como uma política de uso 
apropriada.
Por exemplo, um AUP pode listar sites específicos, grupos de notícias ou 
aplicativos de uso intensivo de largura de banda que são proibidos de serem 
acessados por computadores da empresa ou da rede da empresa. Cada 
funcionário deve ser obrigado a assinar uma AUP, e as AUPs assinadas 
devem ser mantidas durante a duração do emprego.
Políticas BYOD
Uma política de segurança BYOD deve ser desenvolvida para realizar o 
seguinte:
Resumo Módulo 3 - Mitigação de Ameaças 9
Especifique os objetivos do programa BYOD.
Identifique quais funcionários podem trazer seus próprios dispositivos.
Identifique quais dispositivos serão suportados.
Identificar o nível de acesso que os funcionários são concedidos ao usar 
dispositivos pessoais.
Descrever os direitos de acesso e as atividades permitidas ao pessoal de 
segurança no dispositivo.
Identifique quais regulamentos devem ser cumpridos ao usar dispositivos 
de funcionários.
Identifique as salvaguardas a serem implementadas se um dispositivo for 
comprometido.
A tabela lista as práticas recomendadas de segurança BYOD para ajudar a 
mitigar vulnerabilidades BYOD.
Resumo Módulo 3 - Mitigação de Ameaças 10
Ferramentas, plataformas e serviços de 
segurança
A cebola de segurança e a alcachofra de segurança
Uma analogia comum usada para descrever uma abordagem de defesa em 
profundidade é chamada de “cebola de segurança”:
O cenário em mudança da rede, como a evolução das redes sem fronteiras, 
mudou essa analogia para a “alcachofra de segurança”, que beneficia o ator de 
ameaça.
Conforme ilustrado na figura, os atores da ameaça não precisam mais 
descascar cada camada. Eles só precisam remover certas “folhas de 
alcachofra”. O bônus é que cada “folha” da rede pode revelar dados 
confidenciais que não estão bem protegidos.
Resumo Módulo 3 - Mitigação de Ameaças 11
Plataformas de segurança de dados - DSP
💡 são uma solução de segurança integrada que combina ferramentas 
tradicionalmente independentes em um conjunto de ferramentas que 
são feitas para trabalhar juntas.
Um desses DSP é a plataforma Helix da FireEye
FireEye Helix é uma plataforma de operações de segurança baseada em nuvem 
que permite às organizações integrar muitas funcionalidades de segurança em 
uma única plataforma. O Helix fornece gerenciamento de eventos, análise de 
comportamento de rede, detecção avançada de ameaças e orquestração, 
automação e resposta de segurança de incidentes SOAR para resposta a 
ameaças à medida que são detectadas.
Outro DSP integrado é Cisco SecureX
Resumo Módulo 3 - Mitigação de Ameaças 12
SecureX vai um passo mais longe com sua forte integração com o portfólio 
Cisco Secure. O portfólio Cisco Secure consiste em um amplo conjunto de 
tecnologias que funcionam como uma equipe - fornecendo interoperabilidade 
com a infraestrutura de segurança, incluindo tecnologias de terceiros.
Serviços de segurança
💡 Inteligência de ameaças e serviços de segurança permitem a troca 
de informações de ameaças, como vulnerabilidades, indicadores de 
comprometimento COI e técnicas de mitigação.
Um desses serviços é o Cisco Talos Threat Intelligence Group
Mitigando Ataques Comuns à Rede
Defendendo a Rede
Vigilância constante e educação contínua são necessários para defender sua 
rede contra ataques. Veja a seguir as melhorespráticas para proteger uma 
rede:
Desenvolver uma política de segurança escrita para a empresa.
Eduque os funcionários sobre os riscos de engenharia social e desenvolva 
estratégias para validar identidades por telefone, por e-mail ou 
pessoalmente.
Controle o acesso físico aos sistemas.
Use senhas fortes e altere-as com frequência.
Criptografe e proteja por senha dados confidenciais.
Implemente hardware e software de segurança, como firewalls, IPSs, 
dispositivos de rede privada virtual VPN, software antivírus e filtragem de 
conteúdo.
Execute backups e teste os arquivos de backup regularmente.
Desligue serviços e portas desnecessários.
Resumo Módulo 3 - Mitigação de Ameaças 13
Mantenha os patches atualizados instalando-os semanalmente ou 
diariamente, se possível, para evitar ataques de estouro de buffer e 
escalonamento de privilégios.
Execute auditorias de segurança para testar a rede.
Mitigação de Malware
💡 As técnicas de mitigação são frequentemente referidas na 
comunidade de segurança como “contramedidas”.
Uma maneira de mitigar ataques de vírus e cavalos de Tróia é o software 
antivírus.
Mitigando Worms
A mitigação de worm requer diligência e coordenação por parte dos 
profissionais de segurança de rede.
Resumo Módulo 3 - Mitigação de Ameaças 14
Mitigando Ataques de Reconhecimento
A ferramenta de segurança adaptável ASA de Cisco fornece a prevenção da 
intrusão em um dispositivo autônomo. Além disso, o Cisco ISR apoia a 
prevenção de intrusão baseada em rede através da imagem de segurança do 
Cisco IOS.
Os ataques de reconhecimento podem ser mitigados de várias maneiras, 
incluindo o seguinte:
Implementando a autenticação para garantir o acesso adequado.
Usando criptografia para tornar os ataques de sniffer de pacotes inúteis.
Usando ferramentas anti-sniffer para detectar ataques de sniffer de 
pacotes.
Implementando uma infraestrutura comutada.
Resumo Módulo 3 - Mitigação de Ameaças 15
Usando um firewall e IPS.
Mitigando ataques de acesso
💡 Várias técnicas estão disponíveis para mitigar ataques de acesso. 
Estes incluem segurança de senha forte, princípio de confiança 
mínima, criptografia, aplicação de patches de sistema operacional e 
aplicativos.
Usar senhas fortes - Senhas fortes são pelo menos oito caracteres e 
contêm letras maiúsculas, letras minúsculas, números e caracteres 
especiais.
Desativar contas após um número especificado de logins malsucedidos 
ter ocorrido - Esta prática ajuda a evitar tentativas contínuas de senha.
A rede também deve ser projetada usando o princípio da 
confiança mínima. Isso significa que os sistemas não devem 
usar um ao outro desnecessariamente. Por exemplo, se uma 
organização tiver um servidor confiável usado por 
dispositivos não confiáveis, como servidores Web, o servidor 
confiável não deve confiar nos dispositivos não confiáveis 
incondicionalmente.
O uso de protocolos de autenticação criptografados ou hash, juntamente com 
uma política de senha forte, reduz consideravelmente a probabilidade de 
ataques de acesso bem-sucedidos.
Em geral, os ataques de acesso podem ser detectados através da revisão de 
logs, utilização da largura de banda e cargas de processo. A política de 
segurança de rede deve especificar que os logs são formalmente mantidos 
para todos os dispositivos e servidores de rede. Ao revisar os logs, o pessoal 
de segurança da rede pode determinar se ocorreu um número incomum de 
tentativas de login com falha.
Mitigação de Ataques DoS
Resumo Módulo 3 - Mitigação de Ameaças 16
Os ataques DoS podem ser um componente de uma ofensiva maior. Os 
ataques DoS podem levar a problemas nos segmentos de rede dos 
computadores que estão sendo atacados. Por exemplo, a capacidade de 
pacote por segundo de um roteador entre a Internet e uma LAN pode ser 
excedida por um ataque, comprometendo não somente o sistema de destino, 
mas também os dispositivos de rede pelos quais o tráfego deve passar. Se o 
ataque for realizado em escala suficientemente grande, regiões geográficas 
inteiras de conectividade com a Internet podem ser comprometidas.
Framework de Proteção Cisco Network 
Foundation.
Framework NFP
💡 A estrutura do Cisco Network Foundation Protection NFP fornece 
diretrizes abrangentes para proteger a infraestrutura de rede. Essas 
diretrizes formam a base para a prestação contínua do serviço
O NFP divide logicamente roteadores e switches em três áreas funcionais, 
segundo as indicações da figura:
Plano de controle - Responsável pelo roteamento de dados corretamente. 
O tráfego plano de controle consiste em pacotes gerados por dispositivo 
exigidos para a operação da própria rede, como trocas de mensagens ARP, 
ou anúncios de roteamento OSPF.
Plano de gerenciamento - Responsável pela gestão de elementos de rede. 
O tráfego plano de gerenciamento é gerado por dispositivos de rede ou 
estações de gerenciamento de rede usando processos e protocolos como 
Telnet, SSH, TFTP, FTP, NTP, AAA, SNMP, SYSLOG, TACACS, RADIUS e 
NetFlow.
Plano de dados (plano de encaminhamento) - Responsável pelo 
encaminhamento de dados. O tráfego plano de dados consiste 
normalmente em pacotes gerados pelo usuário que estão sendo enviados 
entre dispositivos finais. A maioria de tráfego viaja através do roteador, ou 
comuta, através do plano de dados.
Resumo Módulo 3 - Mitigação de Ameaças 17
Protegendo o Plano de Controle
💡 O tráfego plano de controle consiste em pacotes gerados por 
dispositivo necessários para a operação da própria rede. 
A segurança do plano de controle pode ser implementada usando os seguintes 
recursos:
autenticação de protocolo de roteamento - A autenticação de protocolo 
de roteamento, ou a autenticação vizinha, impede que um roteador aceite 
atualizações de roteamento fraudulentas. A maioria dos protocolos de 
roteamento apoia a autenticação vizinha.
Policiamento plano de controle CoPP - CoPP é uma característica do 
Cisco IOS projetada permitir que os usuários controlem o fluxo de tráfego 
que é segurado pelo processador de rotas de um dispositivo de rede.
AutoSecure - AutoSecure pode bloquear as funções do plano de 
gerenciamento e os serviços e funções de plano de encaminhamento de 
um roteador.
Protegendo o Plano de de Gerenciamento
Resumo Módulo 3 - Mitigação de Ameaças 18
O tráfego plano de gerenciamento é gerado por dispositivos de rede ou 
estações de gerenciamento de rede usando processos e protocolos como 
Telnet, SSH e TFTP, etc O plano de gerenciamento é um alvo muito atraente 
para hackers. Por esse motivo, o módulo de gerenciamento foi construído com 
diversas tecnologias projetadas para mitigar tais riscos.
A segurança do plano de gerenciamento pode ser implementada usando os 
seguintes recursos:
Política de login e senha - Restringi a acessibilidade do dispositivo. Limita 
as portas acessíveis e restringe os métodos de acesso “quem” e “como”.
Presente notificação legal - Exibe avisos legais. Estes são muitas vezes 
desenvolvidos pelo conselho jurídico de uma corporação.
Garanta a confidencialidade dos dados - Protege os dados confidenciais 
armazenados localmente contra visualização ou cópia. Usa protocolos de 
gerenciamento com autenticação forte para mitigar ataques de 
confidencialidade destinados a expor senhas e configurações de 
dispositivos.
Controle de acesso baseado em função RBAC - Garante que o acesso 
seja concedido apenas a usuários, grupos e serviços autenticados. Os 
serviços de RBAC e autenticação, autorização e contabilidade AAA 
fornecem mecanismos para gerenciar efetivamente o controle de acesso.
Autorizar ações - Restringe as ações e visualizações permitidas por 
qualquer usuário, grupo ou serviço específico.
Ativar relatórios de acesso de gerenciamento - Registros e contas para 
todo o acesso. Registra que acessaram o dispositivo, o que ocorreu e 
quando ocorreu.
Protegendo o plano de dados
💡 O tráfego plano de dados consiste na maior parte dos pacotes de 
usuário que estão sendo enviados através do roteador atravésdo 
plano de dados. A segurança do plano de dados pode ser executada 
usando ACLs, mecanismos antispoofing, e características de 
segurança da camada 2
Resumo Módulo 3 - Mitigação de Ameaças 19
ACLs executam a filtragem de pacotes para controlar quais pacotes se movem 
através da rede e para onde esses pacotes podem ir. As ACLs são usadas 
para proteger o plano de dados de várias maneiras:
Bloqueando tráfego ou usuários indesejados - ACLs podem filtrar pacotes 
de entrada ou saída em uma interface. Eles podem ser usados para 
controlar o acesso com base em endereços de origem, endereços de 
destino ou autenticação de usuário.
Reduzindo a chance de ataques DoS - ACLs podem ser usados para 
especificar se o tráfego de anfitriões, redes ou usuários, pode acessar a 
rede. A característica da interceptação ASA TCP é um mecanismo que 
possa ser usado para proteger os anfitriões finais, especialmente server, 
dos ataques da Syn-inundação TCP.
Mitigação de ataques de falsificação - ACLs permitem que os 
profissionais de segurança implementem práticas recomendadas para 
mitigar ataques de falsificação.
Fornecendo controle de largura de banda - ACLs em um link lento podem 
impedir o tráfego excessivo.
Classificar o tráfego para proteger os planos de Gerenciamento e 
Controle - ACLs podem ser aplicados nas linhas vty.
As seguintes ferramentas de segurança da camada 2 são integradas nos 
switches Cisco Catalyst:
Port security - Impede a falsificação de endereços MAC e ataques de 
inundação de endereços MAC.
DHCP snooping - Impede ataques de cliente no servidor e switch DHCP.
Inspeção dinâmica de ARP DAI - Adiciona segurança ao ARP usando a 
tabela de espionagem DHCP para minimizar o impacto de ataques de 
envenenamento e spoofing ARP.
Proteção de origem IP IPSG - Impede a falsificação de endereços IP 
usando a tabela de espionagem DHCP.