Use segmentação e controles de compensação para proteger a rede
Objetivos de aprendizagem
Após concluir esta unidade, você estará apto a:
- Identificar quando usar segmentação de rede.
- Descrever quando usar controles de compensação.
Usar segmentação de rede
Imagine o segurança de um banco local. Embora o banco tenha uma quantidade menor de dinheiro nos guichês que os caixas podem acessar para fazer pequenas transações, quantias maiores e outros itens de valor (como joias de família ou certidões de nascimento) costumam ficar guardados em uma gaveta dentro de um cofre, atrás de portas de segurança, em um prédio patrulhado por um segurança e protegido por um portão e um alarme.
Assim como ninguém guardaria seus itens de valor em um banco que deixa grandes quantias jogadas por aí, é importante proteger redes com mais de uma linha de defesa. Os engenheiros de segurança de rede usam segmentação de rede como parte importante dessa estratégia de defesa em profundidade.
A segmentação de rede envolve o uso de controles físicos e lógicos para particionar a rede de forma que os ativos com valores e riscos semelhantes sejam armazenados e protegidos juntos. Os ativos de alto valor com alto risco de comprometimento recebem mais proteção e são mantidos separados de ativos de baixo valor que podem ser acessados por vários usuários da rede.
Nos últimos anos, houve um aumento na tendência de segmentar redes, e conjuntos de ferramentas avançadas foram desenvolvidos para facilitar isso. Antigamente, métodos tradicionais de proteger redes giravam em torno do conceito de zonas de confiança e zonas não confiáveis. A rede era vista como uma zona de confiança onde usuários e ativos autorizados podiam acessar a maioria dos recursos, com muito poucas proteções e barreiras entre sistemas e dados.
A maneira principal de proteger as redes era criando um perímetro protegido forte, principalmente com o uso de firewalls. Isso é o equivalente à ideia de um banco ter um cadeado muito forte na porta da frente e um segurança monitorando o que entra e o que sai, mas muito poucas proteções depois que alguém consegue entrar.
Os hackers normalmente tentam encontrar a maneira mais fácil de entrar em uma rede e depois tentam redirecionar para ganhar privilégios elevados e exfiltrar (remover da rede) os dados mais confidenciais. Assim, as organizações com segurança mais avançada atualmente protegem além do perímetro. Quanto mais proteção em volta de ativos de alto valor, inclusive os próprios dados, melhor. Assim, mesmo que um hacker consiga entrar na rede, a probabilidade de conseguir comprometer os dados mais confidenciais da empresa é limitada. Esse conceito, chamado de confiança zero, pode ser implementado por meio de segmentação de rede. A Google desenvolveu um white paper sobre sua implementação de confiança zero para ajudar a proteger seu ambiente de TI interno. O paper oferece uma explicação sobre como outras organizações poderiam usar esse conceito para proteger seus dados além do perímetro da rede.
Alguns exemplos da vida real são um bom lembrete da importância da segmentação de rede. Em 2013, uma gigante do varejo sofreu um grande vazamento de dados. Parte da razão de os hackers terem conseguido acessar tantos dados confidenciais é que os engenheiros da empresa não conseguiram segregar adequadamente os sistemas de cartões de pagamento do resto da rede.
Primeiro, os hackers entraram na rede da empresa usando credenciais roubadas de um terceiro fornecedor e usaram esse acesso para passear sorrateiramente pela rede da empresa e instalar malware nos sistemas de pontos de vendas da empresa, permitindo que os hackers roubassem informações de pagamento dos clientes.
Esse exemplo ilustra a importância de segmentar a rede para dificultar o acesso não autorizado a sistemas confidenciais pelo comprometimento de outro ponto de entrada. Ele também mostra a importância de monitorar a segurança de terceiros fornecedores e o uso de autenticação forte para acessar a rede remotamente. A não segmentação e proteção corretas da rede custou à empresa milhões de dólares e afetou milhões de clientes, além de prejudicar a reputação da empresa.
Usar controles de compensação
Em um mundo perfeito, os profissionais de segurança poderiam implementar todas as proteções possíveis e manter os ativos o mais protegidos possível de criminosos. No entanto, como tudo na vida, os profissionais de segurança enfrentam limitações e compensações. Pode não haver dinheiro suficiente para comprar a tecnologia mais recente ou fazer upgrade de um sistema antigo. Uma empresa pode não ter pessoal suficiente para monitorar a rede 24 horas por dia, 7 dias por semana. O diretor de informações (CIO) pode não ter influência suficiente na empresa para convencer a diretora financeira (CFO) da importância de implementar proteções de ponta, seja uma rede de confiança zero, seja autenticação forte para acessar um aplicativo.
Quando não é possível ter a proteção de segurança ideal, os profissionais de segurança devem escolher, implementar e documentar os controles de compensação. Isso não só é uma melhor prática, como também costuma ser um requisito regulatório.
Os engenheiros de segurança de rede usam controles de compensação quando um controle primário não pode ser implementado, para ajudar a fornecer um nível semelhante de defesa e gerenciar o risco. Ele não serve como solução permanente, e o uso de controles de compensação deve ser documentado e analisado periodicamente até que uma solução tecnológica ideal possa ser usada. Por exemplo, um sistema confidencial pode ter uma vulnerabilidade crítica. Um engenheiro de segurança de rede pode não ser capaz de fazer patch na vulnerabilidade porque o fornecedor não oferece mais patches. Isso ocorre em sistemas que são executados em servidores Microsoft 2003, aos quais a Microsoft deixou de dar suporte em 2015. Idealmente, a equipe de segurança trabalha com a empresa para fazer upgrade do servidor para um tipo novo que ainda tenha suporte do fornecedor. Se isso não puder ser feito, a equipe de segurança poderá tirar o sistema do ar e segmentá-lo em uma parte bastante protegida da rede. Isso minimiza a chance de a vulnerabilidade ser explorada pela Internet pública, com o uso de controles de compensação para gerenciar o risco residual. A equipe de segurança deve trabalhar com a equipe comercial a fim de elaborar um plano, recursos e cronograma para a migração do sistema para um servidor mais recente com patches oferecidos pelo fornecedor.
Verificação de conhecimento
Pronto para analisar o que aprendeu? A verificação de conhecimento abaixo não é pontuada, é apenas uma maneira fácil de avaliar o que você absorveu. Para começar, arraste uma palavra do banco de palavras na parte inferior para o lugar apropriado no parágrafo. Quando terminar de colocar todas as palavras, clique em Enviar para verificar seu trabalho. Se quiser recomeçar, clique em Redefinir.
Ótimo trabalho! Você viu como usar a segmentação de rede e os controles de compensação para proteger sistemas confidenciais. Como um engenheiro de segurança de rede pode detectar uma invasão à rede quando um hacker explora uma vulnerabilidade? Vá para a próxima seção!
Recursos
- Site externo: Setor de Cartões de Pagamento – Padrão de Segurança de Dados
- Site externo: Estrutura NIST para melhorar a segurança cibernética de infraestruturas críticas