Skip to main content

Detecte invasões de rede

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Identificar a importância do monitoramento abrangente da segurança de rede.
  • Descrever os métodos de detecção e prevenção de invasões.
  • Explicar a importância dos testes de ataques.

Implementar monitoramento abrangente de segurança de rede

Imagine um rei dormindo em sua cama no castelo. O rei tem muitos inimigos que querem invadir seu reino. Mas ele dorme bem à noite porque sabe que fortificou seu castelo com uma muralha resistente e um grande fosso. O rei também tem guardas que vigiam o portão da frente e arqueiros que patrulham a muralha dianteira. Mas uma noite, enquanto o rei dorme, seu filho foge por uma porta pequena na parte de trás do castelo e atravessa uma pequena ponte para visitar uma princesa em uma cidade vizinha. Ele deixa a porta destrancada e um andarilho que passava, ao ver o que o príncipe fez, entra sorrateiramente no castelo. O príncipe deixou várias de suas joias em cima da lareira e o andarilho surrupia todas elas. 

Uma imagem do castelo com muralhas altas e um fosso, mas alguém entrando por uma grande fenda na muralha do castelo.

Essa história ilustra a importância do monitoramento abrangente. Os hackers, assim como o andarilho, tentam explorar o elo mais fraco na cadeia de segurança de uma organização. Não basta confiar em uma boa defesa do perímetro na rede para protegê-la. É crucial monitorar todos os pontos de entrada e saída, empregar defesa em profundidade (uma série de mecanismos de defesa em camadas para proteger dados e informações valiosos) e monitorar conexões dentro da rede, a fim de limitar a capacidade de um hacker de entrar, redirecionar e extrair recursos preciosos. Os engenheiros de segurança de rede coletam e analisam dados de monitoramento e escalam as indicações de uma invasão. Eles tentam monitorar toda a rede, o que pode ser difícil em grandes organizações. 

Como ajuda nessas tarefas, os engenheiros usam ferramentas centrais de tecnologia para detectar e alertar quando um hardware não autorizado se conecta à rede. Essas ferramentas são chamadas de Controle de Acesso à Rede (NAC, Network Access Control). O NAC autentica as conexões de acordo com uma identidade e um sistema de gerenciamento de acesso. Ele pode aceitar ou negar acesso com base em um conjunto de parâmetros e políticas. Por exemplo, se um convidado tenta fazer login na rede de uma empresa, o NAC pode encaminhá-lo a um registro em um portal de autenticação separado, impedindo que ele tenha acesso anônimo aos recursos mais confidenciais da empresa.

Os engenheiros de segurança de rede também usam um sistema de informações de segurança e gerenciamento de eventos (SIEM) que os ajuda a monitorar o tráfego de rede. O SIEM realiza estas funções.

  • Ele combina saídas de vários recursos para dar alertas que ajudam a direcionar a atenção do engenheiro de segurança de rede a anomalias nas atividades da rede.
  • Ele agrega logs (registros de transações e eventos) de sistemas de detecção e prevenção de invasões (chamados de IDPS, que você verá mais tarde), firewalls e outros dispositivos na rede.
  • Ele ajuda um engenheiro a monitorar o fluxo do tráfego de IP (Internet Protocol) (o fluxo de dados pela Internet) e a fazer uma inspeção de pacotes aprofundada, o que significa interceptar o pacote de dados para análise.
  • Ele combina essas informações com inteligência contra ameaças (informações sobre criminosos e explorações conhecidas) para ajudar o engenheiro a analisar dados e a detectar invasões.
  • Ele permite que os engenheiros implementem defesa em profundidade com a colocação do monitoramento em toda a rede, não só no perímetro.

A seção a seguir detalha uma dessas ferramentas, a IDPS.

Usar detecção e prevenção de invasões

A detecção e a prevenção de invasões podem ser implementadas separadamente ou em conjunto. Embora as duas ofereçam funções de monitoramento, é útil analisar as diferenças. 

Os sistemas de detecção de invasões (IDS, de intrusion detection system) monitoram sinais de possíveis incidentes, como malwares que invadem a rede. O IDS informa o engenheiro de segurança de rede com alertas de que algo pode estar errado. O IDS pode ser implementado como hardware ou software, mas normalmente é colocado fora da banda. Isso significa que ele fica fora do caminho de dados e usa cópias dos pacotes de dados, tomando amostras de dados para detectar invasões em vez de inspecionar cada pacote na rede. Pense na segurança em um evento esportivo, por exemplo, um jogo de futebol. O IDS é como o segurança nas laterais, observando as pessoas e mandando mensagem pelo rádio quando uma pessoa suspeita tenta entrar no evento.

Os sistemas de prevenção de invasões (IPS) dá um passo além do IDS não só detectando, mas interrompendo os incidentes. Eles respondem aos fluxos de dados e os controlam. Por exemplo, se o IPS identificar um pacote de dados como mal-intencionado, ele poderá descartar o pacote e impedir que este seja entregue ao destinatário. Ele também pode bloquear endereços IP criminosos que estejam em uma lista de bloqueio. O IPS normalmente fica por trás de um firewall e oferece proteção complementar em linha. 

Proteção em linha significa que o dispositivo recebe pacotes de dados e os encaminha ao destino pretendido se estiverem em conformidade ou os descarta se forem mal-intencionados. Funciona bastante como o cargo da pessoa que verifica os ingressos no jogo de futebol e impede a entrada de alguém com um bilhete falso. 

Os engenheiros de segurança de rede precisam monitorar o suficiente para proteger a rede, mas garantindo que dados legítimos alcancem seus destinatários pretendidos e limitando o impacto na taxa de transmissão. Como o IPS analisa e bloqueia pacotes suspeitos proativamente, ele pode causar problemas de latência ou descartar pacotes legítimos por engano. A correta implementação do IDPS exige o equilíbrio entre os riscos à segurança e as necessidades comerciais. Assim como o segurança que verifica os ingressos e dá acesso ao evento pode parecer uma chateação, ele tem uma função importante a cumprir em garantir que somente as pessoas autorizadas possam entrar e que o evento é seguro. 

Os engenheiros de segurança de rede também usam uma tecnologia chamada gerenciamento unificado de ameaças (UTM, de unified threat management). Essa tecnologia integra um leque de recursos, como firewall (que bloqueia tipos específicos de tráfego de rede que não são permitidos), antivírus e IDPS. O UTM vai um pouco além do firewall tradicional, que bloqueia tipos de tráfego específicos, com a inspeção de pacotes de dados. Especialmente em empresas menores, um UTM faz sentido porque ele junta as funcionalidades em uma mesma pilha de segurança em vez de ter que gerenciar firewalls, dispositivos de IPS, antivírus, antimalware e outras funcionalidades separadamente. 

Verificação de conhecimento

Pronto para analisar o que aprendeu? A verificação de conhecimento abaixo não é pontuada, é apenas uma maneira fácil de avaliar o que você absorveu. Para começar, arraste a função na coluna à esquerda para a categoria correspondente à direita. Quando terminar de corresponder todos os itens, clique em Enviar para verificar seu trabalho. Se quiser recomeçar, clique em Redefinir.

Ótimo trabalho! Vamos passar para como os testes de ataques se encaixam na estratégia de segurança de uma organização.

Usar testes de ataques

Normalmente, os engenheiros de segurança de rede são parte de uma equipe azul, que são os profissionais de segurança que gerenciam a rede, protegem seus ativos e usuários e detectam invasões diariamente. Embora esses profissionais se concentrem no trabalho diário de proteger a rede, uma empresa pode usar outras equipes para testar a segurança da rede do ponto de vista de um adversário. Essas equipes podem ser internas ou trazidas de fora como terceiros. Os serviços que elas prestam incluem testes de penetração e equipe vermelha, que será descrita abaixo.

Durante um teste de penetração, uma equipe de profissionais de segurança identificam riscos e vulnerabilidades associados a um sistema ou a uma rede. Ela examina a rede de uma perspectiva de fora para descobrir e explorar vulnerabilidades a fim de ganhar acesso não autorizado, redirecionar e elevar privilégios a fim de exfiltrar dados confidenciais. 

Os testes de penetração normalmente se concentram em testar a segurança de determinado sistema de alto valor. No final do teste, a equipe faz um relatório que explica as etapas seguidas, inclusive o que ela pôde explorar, e lista os pontos fracos na segurança, as mitigações sugeridas e os cronogramas. A equipe azul usa essas recomendações para aumentar a segurança do sistema e verificar vulnerabilidades semelhantes em outros sistemas da rede.

As consultas da equipe vermelha são mais abrangentes do que apenas testes de penetração. Uma equipe vermelha faz um ataque de escopo total e multifacetado para medir o grau de resistência a ataques das pessoas e dos processos na organização, além de testes da segurança tradicional do sistema. Uma equipe de testes de penetração pode enviar um email de phishing ou engodo para encontrar uma vulnerabilidade crítica em um sistema voltado para o público; já um membro de uma equipe vermelha pode dar uma unidade USB infectada com malware a um recepcionista ou conectar um dispositivo desconhecido a uma porta não segura no prédio. No final da consulta, a equipe vermelha faz um resumo dela, o que inclui atualizações recomendadas de políticas e procedimentos ou treinamentos, além das correções técnicas.

Esse teste de ataques é um componente importante do arsenal de segurança. Embora funções como a varredura de vulnerabilidades ajude a equipe azul a descobrir e fazer patch em problemas de segurança, os testes de ataques verificam a segurança dos sistemas, as redes e as organizações do ponto de vista externo. Um engenheiro de segurança de rede pode precisar prestar informações sobre a rede ou os sistemas a essas equipes antes da consulta, ou pode ter que corrigir os problemas descobertos e recomendar outras melhorias de segurança. Essas consultas são uma ótima maneira de alertar a liderança sobre as melhorias exigidas e ganhar adesão à necessidade de implementação de soluções por meio de descobertas validadas por terceiros.

Resumo

Você aprendeu a importância do monitoramento abrangente da segurança de rede para detectar invasões e ferramentas comuns que os engenheiros de segurança de rede usam para alcançar esse objetivo. Quais são as responsabilidades do engenheiro de segurança quando ele responde a uma invasão detectada? Você verá isso no próximo módulo. Interessado em explorar mais informações relacionadas à cibersegurança? Confira o Hub de aprendizagem sobre cibersegurança no Trailhead. 

Recursos

Compartilhe seu feedback do Trailhead usando a Ajuda do Salesforce.

Queremos saber sobre sua experiência com o Trailhead. Agora você pode acessar o novo formulário de feedback, a qualquer momento, no site Ajuda do Salesforce.

Saiba mais Continue compartilhando feedback