Ao fazer uma breve pesquisa sobre ataques cibernéticos, é possível notar que eles ocorrem frequentemente e atingem diversos tipos de empresas, de grandes multinacionais até pequenos negócios. Dados da Fortinet, líder global em soluções de segurança cibernética, revelam que o Brasil sofreu mais de 3,2 bilhões de tentativas de ataques cibernéticos só no primeiro trimestre de 2021, liderando o ranking de toda a América latina, que acumulou 7 bilhões de tentativas nesse período.
As empresas estão cada vez mais entendendo a importância de se investir na proteção contra esses criminosos, seja de forma preventiva, quando os ataques ainda não atingiram o ambiente e se busca por avanços na jornada de transformação digital, ou de forma corretiva, o que significa na maioria das vezes que a empresa passou por um ataque e provavelmente sofreu algum tipo de prejuízo através disso.
Sabemos que a cibersegurança pode ser um tema complexo para as empresas, seja por conta de questões orçamentárias, ou pela falta de conhecimento sobre quais são as soluções necessárias para fortalecer o ambiente contra essas ameaças. Um firewall e antivírus são itens essenciais para começar as iniciativas de segurança da infraestrutura, mas quais são os próximos passos?
Segurança da informação e cibersegurança em todas as áreas da empresa
A cibersegurança ou segurança cibernética é um conceito que se refere a práticas de segurança (defensivas ou ofensivas) que envolvem ou dependem da tecnologia da informação ou ambientes operacionais de tecnologia. Neste caso, o objetivo é minimizar vulnerabilidades, manter integridade dos sistemas, defender ativos e permitir acesso apenas a usuários aprovados. Ela se estende apenas ao contexto digital, não sendo aplicada a mídias analógicas como documentos físicos.
A ISO 27001 define ativo de informação como o conhecimento ou dados que tem valor para uma organização, enquanto os sistemas de informação são todos os aplicativos, serviços, ativos de tecnologias da informação ou outros componentes que permitem a administração dela. Neste sentido, a segurança da informação tem um aspecto mais abrangente na empresa, que vai desde a parte de políticas, conscientização, segurança física, até a parte de T.I.
A informação e o dado passam sempre por um processo de criação ou coleta, transmissão, armazenamento, processamento e descarte. Sendo a informação um ativo corporativo, a decisão de como tratá-la e de como tratar os riscos associados a seu uso devem ser da corporação, e não da T.I. puramente.
A confusão tem ocorrido com as inúmeras iniciativas de transformação digital, bem como a tecnologia cada vez mais presente nas empresas e nos consumidores. A T.I. tem sido responsabilizada por entregar todos os mecanismos necessários e conhecidos pelas áreas de negócio, como disponibilidade, segurança, integridade, conformidade. Quando nos referimos a produtos, estamos falando não só do que é entregue ao consumidor final, mas todos os serviços disponibilizados pela T.I. para a empresa.
Assim, é necessária a definição de quais recursos e ativos são críticos para a empresa e para cada área. Os riscos de cada ativo, aplicação e maneira que se trata a informação deve ser levantado e cada dono da informação/processo/sistema deve definir quais os níveis aceitáveis de risco está disposto a assumir ou mitigar, uma vez que não há solução de segurança perfeita e plena. É necessário ter em mente que a avaliação de riscos deve ser sempre ser revista, já que a empresa é um “organismo vivo” e está em constante mudança.
Após este levantamento é que se iniciam as análises de produtos, fornecedores, processos e políticas que deverão ser implantados, assim como os controles que deverão ser mantidos.
Firewalls de rede: a primeira barreira contra ataques
Um firewall de rede é um equipamento que fica entre a rede corporativa da empresa (rede local ou rede LAN) e a Internet, ou outras redes. O objetivo deste recurso é garantir que os dispositivos de uma rede apenas acessem os dispositivos permitidos de serem acessadas na outra rede. Ou seja, não deixar um notebook se conectar a um website não permitido ou um computador externo à empresa acessar um servidor que ele não deve. Assim, é possível criar um servidor na empresa ou na nuvem para hospedar, por exemplo, um e-commerce e permitir que neste servidor somente seja acessado o serviço web (por exemplo o site da empresa que começa com http://…) e não deixar que uma conexão de gerenciamento seja criada de fora da rede para dentro. Teoricamente, apenas os administradores do servidor que estiverem na rede local da empresa terão acesso ao servidor para gerenciá-lo.
O que ocorre é que à medida que o número de servidores internos, computadores, dispositivos móveis, sites externos, aplicativos e serviços aumentam na empresa e fora dela, os mecanismos de proteção dos firewalls convencionais ou de código aberto (open-source) como IP-Tables ou PfSense, não suportam proteção contra ataques modernos e mais elaborados. Recursos avançados como SD-WAN (Software Defined WAN), inspeção de tráfego criptografado (SSL Inspection), suporte a protocolos avançados de roteamento, assinaturas de malware, assinaturas de ataques, sandbox e diversas outras funcionalidades são inexistentes ou complexas de serem gerenciadas e mantidas.
Nem todos os ataques são de fora da rede para dentro da empresa. É extremamente comum que os ataques ocorram após um usuário clicar em link malicioso e baixar um malware, ou usar dispositivos (notebooks, celulares, pendrives etc) comprometidos na rede corporativa e até ataques de engenharia social ou vazamento de credenciais de acesso. Note que o firewall irá proteger apenas a borda da rede e que situações como as citadas devem ser tratadas nos dispositivos em questão.
Apesar de não ser uma proteção definitiva e única, é um item essencial e estrutural para a empresa. Firewalls de rede (antigamente referidos como Next Generation Firewall) possuem a maioria dos recursos de proteção de borda de rede necessários para criar uma primeira barreira de acessos. Exemplos de fabricantes são a Fortinet, Sonicwall, Palo Alto, Check Point, Sophos e ForcePoint.
A escolha do firewall depende da quantidade de funcionalidades de segurança que serão implantadas e cada fabricante possui sua lista, porém as funcionalidades são parecidas. Há firewalls para diversos tamanhos de empresa e há fatores como quantidade de usuários, quantidade de links, quantidade de servidores, dispositivos móveis e alguns outros aspectos a serem observados para um bom dimensionamento do equipamento.
Antimalware: evitando infecções
As estações de trabalho, notebooks e mobiles são alvos constante de ataque. É onde os usuários têm interface com os sistemas. Uma vez comprometido um equipamento é possível varrer a rede de uma empresa à procura de vulnerabilidades para explorá-la. O comprometimento de um client (dispositivo do usuário final) pode ser dar através de um site malicioso, pendrive infectado ou por uma segunda máquina já infectada.
Os malwares possuem diversos mecanismos para explorar vulnerabilidades e são geralmente controlados remotamente. Descoberta de senhas, gravação do que está sendo digitado, gravação de telas, acesso à compartilhamentos e mineração de bitcoins são algumas das coisas que os malwares podem fazer. Como um firewall não tem visibilidade e controle do que está ocorrendo a máquina do usuário, uma infecção pode ocorrer naturalmente.
Para isso a adoção de um antimalware que previna a infecção é também um item essencial. Há no mercado soluções que já são baseadas em inteligência artificial e são inclusive integradas com o firewall de rede para agregar mais proteção e visibilidade. Alguns exemplos são o BlackBerry Cylance, Carbon Black da Vmware, Microsoft e Crowdstrike.
Fortalecimento do ambiente com a identificação e correção de vulnerabilidades
O gerenciamento dos sistemas e ativos de T.I. são sempre gerenciados por pessoas deste departamento. Estes costumam ter senhas administrativas dos servidores, sistemas e bancos de dados além disso também estão expostos a ataques de todos os tipos, inclusive através de engenharia social. Também os sistemas operacionais, bancos, hardware possuem vulnerabilidades e estão em constantes ciclos de descoberta de vulnerabilidade e correções. Outro ponto é que, os sistemas sempre possuem configurações padrões para que possam ser ajustados na empresa de acordo com cada necessidade.
Isso tudo se traduz em uma série de brechas que podem ser exploradas por atacantes (sejam externos ou até internos – os insiders). Por isso, há sempre nos manuais de fabricantes, institutos que publicam recomendações e normas, procedimentos e práticas de segurança que devem ser aplicadas na configuração dos ativos de T.I.
Um exemplo disso é a configuração de políticas de acesso de grupo (GPOs), políticas de senha forte, desativação de serviços do Windows Server que não estão em uso, configuração de criptografia entre servidores, segmentação de rede de gerenciamento/produção/teste/usuários. Há também aplicação de boas práticas para os firewalls, comunicação entre serviços, estações de usuários, gerenciamento de hardware dos servidores e muito mais.
A técnica de aplicar estas correções em configurações é chamada de hardening ou fortalecimento de ambiente. É um método não necessariamente simples, mas barato e viável de ser implantado, que poderá aumentar significativamente o nível de segurança dos ativos de T.I.
Outro ponto de atenção é o uso de softwares não licenciados (piratas). Pois nestes casos há quase sempre o uso de um “crack” que é um software que burla o controle de licenciamento do software. Porém, estes instaladores e os próprios cracks frequentemente vêm com malwares. Além disso, correções de vulnerabilidades são disponibilizadas pelos fabricantes em forma de updates (atualizações), sendo esse mais um motivo para usar software licenciados – ter acesso a atualizações e correções.
É importante lembrar que a proteção antimalware deve contemplar tanto estações de trabalho como servidores, estando em nuvem ou localmente.
Criação de políticas de segurança da informação e conscientização de usuários
Engenharia Social é a habilidade de conseguir acesso a informações confidenciais ou a áreas importantes de uma instituição através de habilidades de persuasão. Ataques de phishing (pescaria de dados) utilizam de engenharia social para conseguirem credenciais de usuários ou instalação de malwares nos clients. A forma de reduzir esta superfície de vulnerabilidade é através da criação de uma cultura de segurança na empresa, que pode ser obtida através de treinamentos constantes, conscientização e políticas de segurança.
O que mais é necessário?
Os firewalls de rede, antimalware, softwares atualizados, usuários bem instruídos e ambientes fortalecidos dão à empresa um nível de proteção básico, mas bastante eficaz para quem possui poucos recursos e riscos e prioridades não definidas.
Todavia, cada serviço de T.I., sistema operacional, entrega de aplicativos, IoT, cloud, conteiners, bancos de dados, links de dados, serviços de nuvem SaaS e todo o conjunto de itens que fazem uma empresa moderna funcionar tem suas particularidades e podem ser exploradas. O que implantar em seguida dependerá dos tópicos abordados anteriormente.
Veja algumas ferramentas que podem ajudar na proteção do ambiente, e que podem fazer sentido para as empresas:
O que | Para que | Possíveis fornecedores |
CASB – Cloud Access Security Broker | Consolidar vários tipos de aplicação de política de segurança em um só lugar. Os exemplos incluem autenticação, logon único, autorização, perfil de dispositivo, segurança de dados, registro, alerta e remoção de malware. | Bitglass; Censornet; CipherCloud; Forcepoint; McAfee; Microsoft; Netskope; Proofpoint; Symantec; Zscaler |
PAM | Fornecer acesso seguro com privilégios a ativos críticos e atender aos requisitos de conformidade gerenciando e monitorando a atividade de contas privilegiadas. Descobrir e gerenciar contas e chaves privilegiadas em sistemas, dispositivos e aplicativos; randomizar, gerenciar e armazenar senhas e outras chaves automaticamente; controlar o acesso a contas privilegiadas, incluindo contas compartilhadas e de emergência; isolar, monitorar, registrar e auditar sessões de acesso privilegiado. | ARCON; BeyondTrust; Centrify; CyberArk; Hitachi ID Systems; One Identity; senhasegura; Symantec; Thycotic; WALLIX |
WAF – Web Application Firewall | Proteger aplicativos da Web e APIs. WAFs se concentram principalmente em exploits, como cross-site scripting (XSS) e SQL Injection, em aplicativos comerciais ou código desenvolvido de forma personalizada. Pode incluir proteção contra outros ataques, como manipulação de sessão e abuso de lógica. | Akamai; Amazon Web Services (AWS); Barracuda; Citrix; F5; Fortinet; Imperva; Radware; Rohde & Schwarz; Signal Sciences |
NAC | Implementar políticas para controlar o acesso à infraestrutura corporativa por dispositivos orientados ao usuário e dispositivos ciberfísicos, como Internet das Coisas (IoT) e dispositivos de tecnologia operacional (OT). | Cisco; Extreme Networks; Forescout Technologies; Fortinet (Bradford Networks); HPE (Aruba); OpenCloud Factory; Portnox; Pulse Secure |
UEM | Gerenciamento de dispositivos móveis (MDM) e computadores pessoais por meio da tecnologia de gerenciamento de cliente tradicional (CMT) ou gerenciamento de sistema operacional moderno. | BlackBerry; Citrix; IBM; Ivanti; ManageEngine; Matrix42; Microsoft; MobileIron; Sophos; VMware |
SIEM | Gerenciamento de eventos e informações de segurança (SIEM) oferece suporte à detecção de ameaças, conformidade e gerenciamento de incidentes de segurança por meio da coleta e análise (quase em tempo real e histórico) de eventos de segurança. | Exabeam; IBM; LogRhythm; Micro Focus; Microsoft; Rapid7; Securonix; Splunk |
Network Detection and Response | Combinação de aprendizado de máquina, detecção baseada em regras e análises avançadas para detectar atividades suspeitas em redes corporativas. Análise do tráfego bruto e / ou registros de fluxo para construir modelos que reflitam o comportamento normal da rede. Quando as ferramentas de NDR detectam padrões de tráfego anormais, eles disparam alertas | Awake Security; Cisco; Darktrace; ExtraHop; Fidelis Cybersecurity; FireEye; Gigamon; Lastline; Plixer; Vectra |
Security Awareness Computer-Based Training | Plataformas de programas de conscientização de segurança | CybSafe; CyberProtex; KnowBe4; SANS Institute |
Cloud Workload Protection Platforms | Fornecer visibilidade e controle consistentes para máquinas físicas, máquinas virtuais, contêineres e cargas de trabalho sem servidor, independentemente da localização. As ofertas CWPP protegem a carga de trabalho usando uma combinação de segmentação de rede, proteção da integridade do sistema, controle de aplicativos, monitoramento comportamental, prevenção de intrusão baseada em host e proteção anti-malware opcional. | Aqua Security; NeuVector; Palo Alto Networks; Tigera |
A cibersegurança é a junção de ferramenta s, políticas e pessoas, e mesmo que todas essas frentes atuem de forma ampla, nunca é possível garantir 100% de segurança no ambiente. Por isso, as empresas devem pensar na prevenção, mas também não podem desconsiderar a importância de ferramentas capazes de sanar problemas caso alguma tentativa de ataque ou roubo acabe sendo bem-sucedida. O ideal é que as empresas implantem o básico e em seguida busquem por outros mecanismos de acordo com as necessidades mapeadas pelo departamento de TI, em conformidade com a visão estratégica e o mapeamento de riscos da organização.
Dominique Fernandes
Diretor e Fundador da Integratto Tecnologia