Quais são os tipos de segurança de rede?

A segurança adicionada a um ambiente de rede deve ser baseada no cenário de ameaças que existe hoje e que existirá amanhã. Isso se aplica a redes domésticas, comerciais ou de provedor de serviços.

A segurança de rede eficaz leva em consideração vulnerabilidades conhecidas, criminosos ou outros agentes de ameaças e as tendências atuais de ataque. Para adicionar segurança a uma rede de maneira adequada, você deve compreender todos os ativos expostos de sua empresa e como eles podem ser comprometidos.

O cenário ou ambiente de ameaças inclui muitos elementos que são importantes para identificar e compreender. Isso o arma com o conhecimento para tomar as medidas adequadas.

Vamos começar com os agentes da ameaça. São eles que lançam ataques e invadem sistemas. Agentes maliciosos são pessoas ou entidades, e eles têm uma variedade de objetivos diferentes, dependendo do tipo de agente que são.

• Os terroristas cibernéticos atacam ativos essenciais do estado-nação para causar danos a esse país. Por exemplo, eles podem atacar a rede elétrica de um país.
• Agentes patrocinados pelo Estado atacam em nome de seu governo. Eles atacam outro governo para promover a agenda de seu país.
• O crime organizado ou os cibercriminosos têm como objetivo ganhar dinheiro. Eles consideram isso um trabalho ou fonte de renda. Eles são criminosos que roubam negócios de maneira lógica, e não física.
• Hacktivistas têm uma mensagem para comunicar. Eles são ativistas que logicamente atacam as empresas.
• Os script kiddies usam as ferramentas de ataque de outra pessoa. Eles não possuem o conhecimento para lançar o ataque sem essas ferramentas.
• Insiders são aqueles que trabalham para a empresa e têm a intenção de causar danos ao empregador.

 

Vetores de ameaças

O vetor de ameaça é o caminho que o ataque segue. Pode ser tão simples quanto o invasor pedir a alguém para abrir fisicamente a porta do prédio, o que é engenharia social básica. Também pode ser muito mais complicado e exigir muita habilidade para ser realizado.

Por exemplo, é comum que um ataque comece com um ataque de engenharia social conhecido como phishing. Um usuário abre um e-mail de phishing. Ele instala o software no sistema e o software abre uma porta dos fundos para o sistema. O criminoso explora a porta dos fundos para acessar o sistema e navegar, ou mover-se lateralmente, pela rede.

Vulnerabilidades são fraquezas ou falhas que existem na tecnologia. Isso inclui produtos de segurança como firewalls, antivírus e anti-malware. Também inclui dispositivos terminais normais, como servidores, estações de trabalho, laptops, câmeras, termostatos e geladeiras. Além disso, inclui dispositivos de rede, como roteadores e switches. As vulnerabilidades se enquadram em três categorias:

1. Nós sabemos sobre isso e temos uma correção ou patch. (n-dias)
2. Nós sabemos disso, mas não temos uma correção ou patch. (n-dias)
3. Ainda não sabemos que existe. (0-dias)

 

Sites como o Mitre registram os primeiros dois tipos e, juntos, são conhecidos como lista de Vulnerabilidades e Exposições Comuns (CVE). O Instituto Nacional de Padrões e Tecnologia (NIST) mantém outro site que lista vulnerabilidades conhecidas, chamado Banco de Dados Nacional de Vulnerabilidades (NVD).

Você encontra vulnerabilidades executando varreduras de vulnerabilidade em sua rede. Boas ferramentas, como o Nessus da Tenable, vinculam automaticamente o software descoberto a bancos de dados de vulnerabilidades conhecidas. As varreduras de vulnerabilidade relatam vulnerabilidades suspeitas, mas não confirmam se elas podem ser exploradas. A próxima etapa é confirmar se eles podem ser explorados em uma rede e tomar medidas para proteger os sistemas.

Por exemplo, se houver um Microsoft Windows Server 2019 em sua rede, o scanner de vulnerabilidade deve descobrir o Zerologon, um problema que pode afetar este servidor. O scanner primeiro descobre que existe um servidor Windows 2019 e, em seguida, pesquisa o banco de dados em busca de vulnerabilidades conhecidas.

Esta varredura deve descobrir uma CVE no NIST chamado Zerologon que permite privilégios inadequados. Esta CVE tem um Pontuação Comum de Gravidade de Vulnerabilidade (CVSS) de 10 em 10, o que significa que é a pior possível e deve ser resolvida imediatamente. A página CVE contém links para recomendações, soluções e ferramentas. Ele também aponta para a página Enumeração de Fraqueza Comum (CWE), que fornece ainda mais informações sobre um ataque.

Times vermelhos, times azuis

Existem muitas ferramentas e metodologias diferentes que uma empresa pode usar para testar vulnerabilidades de segurança em uma rede. Um método é simular um ataque à empresa, também conhecido como teste de penetração ou pen test. As empresas empregam hackers éticos para esse fim.

Quando hackers éticos atacam uma rede, eles encontram vulnerabilidades específicas a essa rede. O que torna esses hackers éticos é que eles têm permissão para atacar um sistema. Eles podem provar que as vulnerabilidades listadas nos CVEs existem na rede ou podem revelar configurações incorretas ou vulnerabilidades desconhecidas.

Uma maneira de executar um pen test é com times vermelhos e times azuis. A equipe vermelha usa ferramentas de hacking reais e tenta violar as defesas de rede existentes. A equipe azul é uma equipe de resposta a incidentes que usa planos de resposta a incidentes existentes, ou manuais, para responder ao ataque ativo.

Quando essas duas equipes trabalham juntas em um pen test, os benefícios são maiores do que em um pen test padrão. A equipe vermelha descobre as vulnerabilidades e a equipe azul começa a praticar como responder. As redes serão atacadas por hackers reais, por isso é importante que a equipe de resposta a incidentes esteja pronta. A prática é fundamental para esse fim.

O objetivo da segurança da rede é antes de tudo prevenir ataques. Quando um ataque acontece, a primeira etapa é detectá-lo. Uma vez que o ataque é conhecido, é importante responder. Faça a triagem e avalie os danos, entenda o escopo e as vulnerabilidades de patch ou o caminho usado para executar o ataque. Esse processo é comumente referido como prevenir, detectar e responder (PDR).

Prevenção

A prevenção envolve fortalecer os sistemas e defendê-los com controles de segurança. Endurecer um sistema inclui o seguinte:

• Realizar patching no sistema
• Remover a conta padrão, se possível
• Alterar a senha padrão se ela não puder ser removida
• Fechar portas desnecessárias
• Encerrar ou remover serviços desnecessários
• Adicionar controles, como software anti-malware e firewalls

 

Detecção

A detecção é feita principalmente por meio de logs. Sistemas como sistemas de detecção de intrusão (IDS) observam o tráfego e registram atividades suspeitas. O sistema registra a atividade e a envia para um servidor syslog. Um gerenciador de eventos de informações de segurança (SIEM) correlaciona e analisa os logs que alertam a equipe de segurança sobre as indicações de comprometimento (IoC). O departamento de segurança ou a equipe de resposta a incidentes então toma medidas para provar se é um comprometimento real e corrige o ambiente para evitar que aconteça novamente.

Resposta

A resposta pode ser tão simples quanto baixar um patch para um sistema, mas também pode dar muito trabalho. Pode ser necessário analisar as configurações existentes em firewalls, sistemas de prevenção de intrusão (IPS), roteadores e todos os outros softwares e dispositivos de segurança e rede para descobrir o que está configurado incorretamente.

Uma resposta também pode ser adicionar ferramentas de segurança novas ou diferentes à rede. Esse pode ser um processo extenso que inclui a construção de um plano de negócios.