Embora existam muitas ferramentas disponíveis para quem tem intenção de invadir redes ou sistemas, você também tem uma grande variedade de ferramentas para ajudar a mantê-los fora de alcance garantindo uma maior segurança da informação, ou ao menos de maneira controlada o seu risco.
Antes de implementar uma estratégia de segurança de rede, você deve estar plenamente consciente das necessidades específicas de quem vai usar seus recursos interna, ou externamente à sua empresa.
Simples ferramentas anti-spyware e anti-spam não são suficientes. No meio que vivemos hoje, mudanças rápidas acontecem, onde precisamos de uma forte linha defensiva, reconhecimento das assinaturas de ameaças, reação autônoma às ameaças identificadas, e a capacidade de atualizar suas ferramentas conforme a necessidade aconteça.
Firewalls
Sua primeira linha de defesa deve ser um bom firewall, ou melhor ainda, um sistema que efetivamente incorpore vários recursos de segurança em um. Este conceito de Firewall seguro combina os sistemas de segurança mais necessários, como: firewall, antivírus, anti-spyware, anti- spam, rede privada virtual (VPN), filtragem de aplicação e sistemas, e prevenção de intrusão e/ou detecção.
Intrusion Prevention Systems
Um bom sistema de prevenção de intrusão (IPS) representa uma grande melhoria sobre um firewall básico em que ele pode entre outras coisas, ser configurado com as políticas que lhe permitem tomar decisões quanto a forma de lidar com as ameaças ao nível da aplicação.
Produtos IPS respondem diretamente às ameaças recebidas em uma variedade de maneiras, fechar a conexão automaticamente de pacotes suspeitos, ainda permitindo que pacotes autorizados continuem trafegando, e também a restrição de um intruso em quarentena por exemplo.
O IPS como uma aplicação de camada de firewall, pode ser considerado uma outra forma de controle de acesso no que pode fazer a aprovação e/ou reprovação sobre o conteúdo do aplicativo.
Para um IPS para ser eficaz, ele também deve ser muito bom em discriminar entre uma assinatura de ameaça real e uma que parece , mas não é uma, sendo chamado de falso positivo. Quando uma assinatura interpretada como intrusão for detectada, o sistema deve notificar rapidamente o administrador para que uma ação evasiva apropriada seja tomada. A seguir estão os tipos de IPS:
- Baseado em rede: IPS´s baseados em rede criam uma série de pontos de estrangulamento na empresa que detectar atividade suspeita de tentativa de intrusão. Colocados em seus locais necessários eles, invisivelmente, monitoram o tráfego de rede para assinaturas de ataques conhecidos que, então, serão bloqueados.
- Baseado em Host: Estes sistemas não residem na rede em si, mas sim em servidores e máquinas individuais. Eles silenciosamente monitoram as atividades e pedidos a partir de aplicações, e barram ações consideradas proibidas. Estes sistemas são geralmente muito bons em identificar tentativas de invasão após a descriptografia de algum dado.
- Baseado em conteúdo: Estes IPS´s varrem pacotes de rede, à procura de assinaturas de conteúdo que são desconhecidos ou não reconhecidos, ou que tenha sido explicitamente etiquetados com natureza de risco.
- Baseada em Atividades (Rate Based): Estes IPS´s olham para a atividade que está fora do alcance dos níveis normais, como a atividade que parece estar relacionada com a quebra de senha e penetração de força bruta por exemplo.
Ao procurar por um bom IPS, olhar para aqueles que forneçam:
- Proteção para seus aplicativos, sistemas, e elementos de rede individuais contra a exploração de ameaças, cavalos de Troia, worms, botnets, criação de backdoors, etc;
- Proteção contra ameaças que exploram vulnerabilidades em aplicações específicas, tais como sites web, correio, DNS , SQL e qualquer VoIP;
- Detecção e eliminação de spyware , phishing e anonymizers (ferramentas que escondem informações de identificação do computador de origem para que a atividade de Internet possa ser rastreada ou não);
- Proteção contra ataques de negação de serviço de força bruta, entre outros Dos;
- Um método regular de atualização das listas de ameaças e assinaturas respectivas;
Firewalls de Aplicação
Estes por muitas vezes são confundidos com IP´s, no entanto, são projetados especificamente para limitar ou negar o nível de acesso de um aplicativo a um sistema operacional, ou seja , fechando as aberturas de chamados no sistema operacional para negar a execução de código nocivo dentro da estrutura do próprio SO.
Durante sua execução, os firewalls de aplicações trabalham monitorando o tipo de fluxo de dados a partir de um pedido suspeito ou conteúdo bloqueado pelo administrador de sites específicos da Web, vírus, e também quaisquer fraquezas identificadas na arquitetura de um aplicativo.
Firewalls de aplicações podem detectar assinaturas de ameaças reconhecidas e bloqueá-los antes que eles possam infectar a rede. A versão do Windows de um firewall de aplicativo, chamado Data Execution Prevention (DEP), previne a execução de qualquer código que usa os serviços do sistema , de tal maneira que pode ser considerada prejudicial aos dados ou memória virtual (VM). Ele faz isso, considerando os dados da memória RAM como não-executável em sua essência, recusando-se a executar o novo código uma vez que qualquer código malicioso tentar danificar os dados existentes teria que executar a partir desta área.
O sistema operacional Macintosh em suas versões mais atuais também inclui um Application Firewall como recurso padrão. O usuário pode configurá-lo para empregar duas camadas de proteção em que a instalação de aplicativos com reconhecimento de rede resultará em uma chamada de aviso ao SO, que solicita a autorização de acesso do usuário à rede.
Se autorizado, o SO irá assinar digitalmente a aplicação de tal maneira que a atividade posterior desta não irá solicitar nova autorização. Atualizações de sistema, podem invalidar o certificado original, e o usuário terá de revalidar antes da aplicação poder rodar novamente.
O sistema operacional Linux tem, por exemplo, um firewall de aplicação chamado AppArmor que permite ao administrador criar e conectar-se a qualquer aplicação de uma política de segurança que restrinja sua capacidade de acesso.
Sistemas de Controle de Acesso
Tais sistemas contam com regras definidas pelo administrador que permitem ou restringem o usuário acesso a recursos de rede protegidos. Estas regras de acesso podem, por exemplo, exigir autenticação robusta do usuário, tais como tokens ou dispositivos biométricos para provar a identidade dos usuários ao solicitarem acesso. Eles também podem restringir o acesso à vários serviços de rede com base em horários do dia ou necessidades de grupos de acesso.
Alguns produtos permitem a criação de uma lista de controle de acesso (ACL), o qual é um conjunto de regras que definem a política de segurança. Essas ACL´s contém uma ou mais entradas de controle de acesso, que são a regra por sua própria definição. Essas regras podem restringir o acesso por usuário específico, hora do dia, endereço IP, a função (departamento, nível de gestão, etc), ou sistema específico a partir do qual está sendo feita uma tentativa de logon ou acesso.
Unified Threat Management
A última tendência a surgir em prevenção de intrusão de rede é conhecido como UTM. Sistemas UTM são formados por diversas camadas e incorporam várias tecnologias de segurança em uma única plataforma. Produtos UTM podem fornecer capacidades diversas como antivírus, VPN, serviços de firewall, antispam , bem como prevenção de intrusões.
As maiores vantagens de um sistema de UTM são a sua facilidade de operação e de configuração e o fato de seus recursos de segurança podem ser rapidamente atualizados para protegerem das ameaças em evolução.
[Crédito da Imagem: Segurança da Informação – ShutterStock]