Dividir para proteger!

Desgin_a_VLAN_based_network

Um artigo interessante me foi indicado, e trata de um assunto que é pouco comentado fora das salas de aula, ou mesmo implementado nas empresas com a devida manutenção posterior, que é a segmentação de redes. Ele afirma que, em uma pesquisa recente realizada com a participação de administradores de redes, aos quais foi pedido que descrevessem a segmentação das redes sob a administração destes, apenas trinta por cento destes revelaram que utilizam a técnica para a proteção contra as ameaças mais recentes. Outra terça parte informou que “implementaram e esqueceram” a segmentação, e outra parcela equivalente afirmou que a revisam de tempos em tempos, particularmente quando em momentos de auditoria. Corajosos seis por cento responderam com outra pergunta: “Descrever a minha o quê?”

Em tempos como estes, onde os ataques realizados com sucesso a redes privadas estão causando grandes danos, como o caso recente em que a Sony foi vítima de chantagem e teve considerável prejuízo com a divulgação de várias de suas produções através da Internet, a importância de segmentar e proteger as redes internas com várias camadas de segurança fica mais evidente. Para tanto, o artigo oferece algumas dicas para que a implementação da segmentação seja bem planejada:

Entenda os fatores organizacionais e de negócios. Para saber o que proteger, você precisa entender como são auferidas as receitas da organização, além de quais são os componentes que suportam a base do negócio. Então deve identificar os ativos, dados e pessoal crítico para garantir a continuidade dos negócios.

Crie um plano. Você quer classificar, isolar e proteger os componentes mais importantes. Agrupe componentes relacionados, por exemplo, todos os seus servidores Windows, em uma única rede virtual (VLAN). Outros grupos de ativos podem incluir componentes de infraestrutura, como roteadores, switches, VPNs e VoIPs, em outra VLAN e componentes de segurança, como IDS, firewalls, filtros web e escaners em outra.

Servidores dos setores financeiro ou de recursos humanos necessitam de suas próprias VLANs, devido a natureza confidencial dos dados que processam e armazenam. Você também pode separar grupos de pessoas em suas próprias VLANs, assim possuindo uma para administradores de servidores Windows, outra para o pessoal que cuida da segurança destes e outra para os executivos. Dados que requeiram proteção especial, para atendimento a normas regulatórias também devem trafegar em uma VLAN separada, como informações de cartões de crédito ou prontuários médicos.

Determine quem pode acessar quais dados. Isso resume-se às necessidades do negócio: Quem precisa administrar os roteadores e switches? Quem precisa acessar os sistemas de recursos humanos ou financeiros? Quantas pessoas deveriam poder controlar remotamente as câmeras de segurança? Seja impiedoso. Se não há necessidade de negócio então não deve ter acesso.

Organizações que operem inteiramente em nível regional doméstico ou local podem inclusive querem implementar bloqueio total a regiões geográficas remotas na camada IP. em geral, adote a negação de acesso por padrão para cada uma das VLANs. Seu objetivo é limitar o acesso a informações sensíveis para aqueles que precisam na organização e criar bloqueios que possam impedir, ou atrasar, a continuidade de danos potenciais de intrusos que possam ter ultrapassado uma camada de segurança.

Implemente a segmentação. Em uma organização de grande porte, a segmentação é um projeto significante e de longo prazo, mas cada passo nesse sentido aumenta a segurança. Comece em algum ponto, talvez com os administradores de redes, ou os servidores Windows. Nesse momento você poderia configurar VLANs chamadas administradores-redes (para as estações de trabalho deles) e dispositivos-rede (para roteadores e switches).

Registre em logs todo o tráfego entre os segmentos para determinar o que é neormal e necessário para o funcionamento efetivo. Uma vez que conheça o que é necessário, comece a bloquear o acesso às VLANs para todos os outros, com o objetivo final de negação por padrão. Tenha certeza de ter implementados os controles necessários para reforçar a segmentação e monitorar quaisquer mudanças requeridas posteriormente que possam vir a comprometer a segmentação. Continue o processo para cada grupo de ativos pessoal e informação.

Mantenha o ambiente. A segmentação de rede não pode ser abordada de modo a “implementar e esquecer”. A política de acesso às redes, definida nos firewalls, roteadores e dispositivos relacionados, muda constantemente para atender a novos requisitos de negócios. Assegurar que novas mudanças não violem sua estratégia de segmentação requer um bom nível de visibilidade e automação (essa visibilidade também é útil para evitar as interrupções ou a ruptura de negócios devido a má configuração destes acessos). A potencial sobrecarga no gerenciamento, necessária para a manutenção de uma boa segmentação, é uma das razões pelas quais as organizações fogem dela. Mas, a apropriada segmentação é crítica. Uma solução de segurança de redes ciente de topologia que possa automatizar o processo de segmentação é vital.

A segmentação de redes é um componente efetivamente inquestionável em uma estratégia de defesa em profundidade. Organizações que a implementam devem estar preparadas para gerenciar pontuações de firewalls, roteadores, switches, cada um com centenas de regras, cada uma delas sendo afetada por um processo de segmentação de redes e potencialmente por atualizações e mudanças, mesmo depois de estar implantada. Uma abordagem rigorosa é essencial, e um investimento significante de tempo e pessoal também é necessário. Mas independente disso, é muito mais fácil equipar a sua organização com uma defesa segura através de uma segmentação de redes apropriada, do que explicar a acionistas e a imprensa como hackers foram capazes de acessar milhões de registros em seu sistema.

Para acessar e conferir o artigo original, clique neste link.

Conselho de Arquitetura da Internet recomenda criptografar tudo.

O Internet Arquiteture Board ( IAB ) ou  Conselho de Arquitetura da Internet divulgou, no dia 14 de novembro, uma declaração sobre a sua preocupação com a confidencialidade da Internet, onde faz um alerta para a crescente escalada do comprometimento de informações armazenadas ou em tráfego, e recomenda que todos os envolvidos nas operações de manipulação de dados adotem a criptografia, para que a confiança que os usuários deveriam ter, sobre a proteção de seus dados na Internet, possa ser reestabelecida. A declaração clama que “designers de protocolos, desenvolvedores e operadores façam da criptografia uma norma para o tráfego ( de dados ) na Internet”.

Mesmo reconhecendo as dificuldades que essa medida venha a causar, o Conselho acredita que seja algo imprecindível para que as pessoas voltem a acreditar na segurança de seus dados na Internet.

“Sabemos que muitas das atividades de operação de redes atualmente, desde o gerenciamento de tráfego e detecções de intrusão até a prevenção de spam e aplicação de políticas ( de segurança ), assumem o acesso em texto puro à carga de dados transmitidos. Para muitas dessas atividades ainda não existem soluções, mas o IAB irá trabalhar na promoção do desenvolvimento de novas abordagens para essas atividades, permitindo assim a mudança para uma Internet onde o tráfego ( de dados ) seja confidencial por padrão.”

Para acessar o conteúdo original da declaração emitida pelo IAB, acessem a página oficial.

Usamos sistemas GNU/Linux, então estamos seguros certo?

Questão

Há muita discussão quando o assunto é a segurança em sistemas operacionais, sejam eles proprietários ou de código aberto. Geralmente, usuários(as) de sistemas GNU/Linux utilizam a afirmação de que são imunes a malwares portanto estão seguros, e eles(as), na maioria dos casos, estão certos(as). Mas veja bem, eu disse apenas na maioria dos casos.

Quando instalamos um sistema GNU/Linux em nossas máquinas, ele geralmente já disponibiliza a maioria dos recursos que precisamos para que ele execute a tarefa a que se propõe, seja com relação a softwares ou drivers de hardware para um servidor ou desktop.

Isso pode proporcionar um nível de segurança razoável, já que raramente precisaremos instalar softwares que já não estejam disponíveis por padrão, ou seja, que já não tenham chegado a seu equipamento com um mínimo de avaliação quanto a possibilidade de que algum deles, ao ser instalado, não vá criar portas de entrada desnecessárias em seu sistema.

Porém, quando falamos sobre segurança da informação, devemos entender que não há um sistema operacional cem por cento seguro, e que existem vários aspectos a serem analisados, e não apenas a possível imunidade a malwares, para que se possa atingir o máximo de produtividade, ao mesmo tempo  em que se mantem um nível satisfatório de segurança no ambiente, sendo o sistema operacional apenas um dos itens a serem verificados.

Questões como configurações básicas de segurança para o sistema operacional, levando em conta os níveis de acesso e permissão de execução de softwares que devem ser utilizados por cada usuário, bem como a permissão e necessidade de instalação de novos aplicativos por mais de uma pessoa, além da possibilidade da utilização de equipamentos pessoais no ambiente empresarial devem ser avaliadas com cuidado, para evitar possíveis brechas que permitam o comprometimento do ambiente e/ou sistema a que o usuário tem acesso.

Políticas de segurança devem ser criadas, aplicadas, testadas e reformuladas sempre que necessário no caso das empresas. A realização de backups regulares, o monitoramento do ambiente, a aplicação de atualizações de segurança disponíveis, a disponibilização de uma área de testes, onde estas mesmas atualizações, além de modificações a serem implementadas na área de produção, possam ser testadas antes da aplicação em todo o parque de TI da companhia, são apenas algumas das sugestões.

Medidas de proteção também devem ser implementadas  por usuários domésticos. A habilitação de firewall,  de sistema de detecção e prevenção de intrusão, de um antivírus, a aplicação de atualizações de segurança, além da realização de backups regulares, devem ser ações que qualquer usuário deve realizar em seus equipamentos pessoais.

Grande parte das vulnerabilidades que afetam os sistemas estão ligadas a softwares de terceiros, embora que falhas ligadas diretamente aos sistemas operacionais não sejam incomuns, por isso é tão importante este conjunto de medidas protetivas, que possibilitarão uma rápida restauração ou a contenção dos danos em caso de comprometimento da segurança.

Lembre-se que, embora existam em menor número, não é difícil encontrar falhas de segurança nos softwares que compõem as distribuições GNU/Linux, portanto é importante estar atento(a) às atualizações disponibilizadas pelos(as) mantenedores(as) do sistema operacional livre que você utiliza, em casa ou no trabalho, aplicando essas correções o mais breve possível. Essa medida, somada a todas as outras citadas anteriormente, aqui neste artigo mesmo, proporcionará um ambiente de TI mais seguro, fazendo com que o acesso aos seus sistemas por pessoas não autorizadas seja mais difícil.