Por: Bruno Pinheiro dos Santos — EZ/Security
A Segurança da Informação envolve uma série de controles de segurança atuando em camadas. Estes controles se destinam a proteger o principal asset das organizações atualmente: os dados da empresa, que incluem desde informações de acesso a contas bancárias a dados de clientes como cadastros, contratos, contatos, e uma infinidade de outras informações sensíveis e estratégicas.
O sucesso deste controle depende não de soluções ou processos isolados de segurança, mas da adoção de um Framework de Segurança da Informação.
Segundo o National Institute of Standards and Technology (NIST) — agência ligada ao Departamento de Comércio dos EUA voltada a promover padrões que incrementem a segurança das empresas — um Framework “é composto de uma série de orientações baseadas em padrões existentes, diretrizes e práticas para melhorar o gerenciamento e reduzir os riscos de cibersegurança nas organizações”.
Desde fevereiro de 2014 o NIST desenvolve — com participação ativa do Centro de Segurança para Internet (CIS na sigla em inglês) — seu próprio Framework de Cibersegurança (Cybersecurity Framework, ou CSF) voltado a “oferecer uma forma de organizar, conduzir e implantar o planejamento de metas de segurança e melhorias para empresas (…) sem especificar prioridades de ação”, ou seja, decisões e ações são deixadas por conta da empresa, que pode adotar o framework de acordo com sua própria situação ou contexto.
No centro do CSF do NIST estão os “CIS Critical Security Controls”, um set de 20 controles que reúnem maneiras específicas e práticas de interromper os ataques mais invasivos e perigosos da atualidade.
Neste artigo, focaremos na questão da segurança do perímetro.
Perímetro, grosso modo, é a fronteira entre uma rede e outra (seja entre redes internas, seja entre uma rede privada e a internet). Nesse contexto, segurança de perímetro é o estabelecimento de salvaguardas para garantir a integridade e segurança dos dados de uma rede privada, protegendo-os de invasores.
Quatro dentre os 20 CIS CSCs se referem diretamente à segurança de perímetro, a saber:
· CSC 7 — Email and Web Browser Protections: Minimizar a superfície de ataque e as oportunidades para atacantes manipularem comportamento humano através de sua interação com navegadores web e email (i.e. phishing);
· CSC 9 — Limitation and Control of Network Ports, Protocols and Services: Gerenciar (rastrear, controlar e corrigir) o uso operacional de portas, protocolos e serviços em dispositivos em rede de forma a minimizar a janela de vulnerabilidades disponível para atacantes;
· CSC 11 — Secure Configuration for Network Devices: Estabelecimento, implementação e gerenciamento ativo das configurações de segurança dos dispositivos de infraestrutura de rede usando um gerenciamento de configurações rigoroso;
· CSC 12 — Boundary Defense: Detectar, impedir e corrigir o fluxo de redes de transferência de informações de diferentes níveis de confiança com foco em dados que danificam a segurança.
Dentre estes controles, destacamos o CSC 12 — Boundary Defense, que entendemos ser um controle crítico pelos motivos que apresentamos a seguir.
Atacantes concentram-se na exploração de sistemas que eles podem acessar pela Internet, incluindo não apenas os sistemas da DMZ, mas também estações de trabalho e laptops que extraem conteúdo da Internet através dos limites da rede. Ameaças como grupos do crime organizado e estados-nação usam fraquezas de configuração e arquitetura encontradas em sistemas de perímetro, dispositivos de rede e máquinas clientes com acesso à Internet para obter acesso inicial a uma organização.
Após o estabelecimento de uma base de operações nessas máquinas, os invasores geralmente se movem lateralmente para se aprofundar no limite com a finalidade de roubar ou alterar informações ou para estabelecer uma presença persistente para ataques posteriores contra hosts internos. Além disso, muitos ataques ocorrem entre redes de parceiros de negócios, às vezes chamadas de extranets, quando os invasores pulam da rede de uma organização para outra, explorando sistemas vulneráveis em perímetros de extranet.
Para controlar o fluxo de tráfego, procurando por ataques e evidências de máquinas comprometidas, as defesas de limite devem ser multicamadas, contando com firewalls, proxies, redes de perímetro DMZ e IPS e IDS baseados em rede. Também é essencial filtrar o tráfego de entrada e saída.
Deve-se notar que as linhas de limite entre redes internas e externas estão diminuindo como resultado do aumento da interconectividade dentro e entre as organizações, bem como o rápido aumento na implantação de tecnologias sem fio. Isso, às vezes, permitem que invasores obtenham acesso dentro de redes, ignorando as defesas de limite. No entanto, implantações de segurança eficazes ainda dependem de defesas de limite cuidadosamente configuradas que separam redes com diferentes níveis de ameaça, conjuntos de usuários, dados e níveis de controle. Defesas eficazes e multicamadas das redes de perímetro ajudam a diminuir o número de ataques bem-sucedidos, permitindo que os responsáveis pela segurança se concentrem em invasores que criaram métodos para contornar restrições de limites.
Os pontos principais a serem alcançados nesse controle são:
· Negar comunicações com endereços IP da Internet mal-intencionados ou não usados e limitar o acesso apenas a intervalos de endereços IP confiáveis e necessários em cada um dos limites de rede da organização.
· Implementar sensores IDS (Intrusion Detection Systems) baseados em rede para procurar mecanismos de ataque incomuns e detectar o comprometimento desses sistemas em cada um dos limites de rede da organização.
Novas tecnologias, Novos Desafios
Com o surgimento e disseminação de novas tendências e tecnologias, surgem novos desafios para a Segurança do Perímetro. Por exemplo, a adoção de soluções de cloud computing por parte de companhias torna o perímetro algo difuso, não mais restrito à estrutura das empresas.
Outra prática, a do Bring Your Own Device (BYOD), também torna os perímetros mais amplos, na medida em que gerentes e diretores passam a carregar dados da companhia consigo. Como resposta a esses desafios surgem soluções como a Segurança sem Borda e a Orquestração.
Ambas serão temas de artigos futuros.