Proteção do perímetro ao centro
|
 |
 |
|
Hoje em dia, à medida que usuários remotos, parceiros de negócios e clientes demandam acesso a dados corporativos, as empresas começam a achar obsoleto e perigoso o modelo de segurança antigo do tipo "casca dura" em volta de um "centro fraco".
Introdução
A dez anos atrás, o pioneiro em segurança na Internet, Bill Cheswick, sugeriu um modelo de segurança de rede, que ele caracterizou como "uma casca dura, em volta de um centro fraco." Hoje, à medida que mais e mais "intrusos", como usuários remotos, parceiros de negócios, clientes e funcionários temporários demandam acesso a dados corporativos, as empresas começam a achar obsoleta e perigosa a idéia de um "centro fraco".
Considere este ponto: A Gartner Inc. estima que mais de 70% dos acessos não autorizados a sistemas de informação são feitos por funcionários, assim como 95% de intrusões que resultam em perdas financeiras significativas. A "Pesquisa de segurança e crime em computadores de 2003", compilada pelo Computer Security Institute e pelo FBI, constatou que 62% dos participantes relataram um incidente de segurança envolvendo um funcionário, um aumento de 57% desde 2002.
Em tal ambiente, que é também cada vez mais atacado por ameaças combinadas que visam às vulnerabilidades de produtos de segurança isolados, é necessário que as empresas adotem uma estratégia integrada, abordando a segurança da rede em todas as partes: gateway, servidor e cliente.
Apoiando o perímetro
O firewall tradicional do perímetro já não fornece proteção adequada contra intrusões e ameaças. De certa forma, isso ocorre porque a própria definição de "perímetro" se tornou confusa. A adição de servidores de acesso remoto, conexões de ponto-a-ponto a redes de parceiros, servidores VPN e pontos de acessos sem fio, tornam o limite da rede, que antes era bastante definido, quase sem definição. Como resultado, criaram-se vários caminhos externos de entrada na rede corporativa. Inevitavelmente, isso resultará no acesso inadequado a recursos da rede por intrusos que rodeiam o firewall.
Vejam, por exemplo, o worm Slammer que atacou em todo o mundo no início deste ano. Essa ameaça combinada entrou em redes através de portas padrão nos firewalls dos perímetros. Os administradores de segurança aprenderam da forma mais difícil, que o simples bloqueio das portas TCP e UDP já não é suficiente. Conclusão: mesmo com a presença de um firewall de perímetro, as empresas não estão seguras contra esses ataques.
A segurança integrada usa totalmente os princípios de defesa e emprega funções complementares de segurança em vários níveis, dentro da infra-estrutura de TI. Através da combinação de várias funções, a segurança integrada pode se proteger de forma mais eficiente contra uma variedade de ameaças em cada parte da rede, para minimizar os efeitos dos ataques contra esta. Tecnologias de segurança chave que devem ser integradas incluem:
- Firewalls de classe corporativa. Controlam todo o tráfego da rede, verificando as informações que entram e saem, para garantir que nenhum acesso não autorizado ocorra;
- Detecção de intrusões e resposta em tempo real. Detecta acesso não autorizado e fornece alertas e relatórios que podem ser analisados para determinar padrões e planejamentos;
- Filtragem de conteúdo. Identifica e elimina o tráfego indesejado. A filtragem de conteúdo ajuda as empresas a executar as políticas de uso, para que não ocorra abuso dos recursos da rede;
- Redes Virtuais Privadas (VPNs). Assegura as conexões além do perímetro, permitindo que as empresas se comuniquem de forma segura através da Internet;
- Gerenciamento de vulnerabilidades. Revela falhas na segurança e sugere melhoras.
- Proteção antivírus. Protege contra vírus, worms e Cavalos de Tróia.
Com essas tecnologias de segurança integradas em uma única solução, a empresa estará melhor equipada para lidar com as ameaças diárias à rede, sejam elas um ataque de código malicioso, um ataque de negação de serviços, acesso não autorizado interno ou externo ou uma ameaça combinada.
Assegurando as principais informações
Conforme declarou um Gerente Geral de Tecnologias de uma firma de consultoria em segurança: em se tratando da proteção de informações digitais, as empresas devem seguir o exemplo da indústria bancária, que evoluiu sua segurança física, incluindo controles tanto no perímetro (portas e paredes formidáveis) como internamente (cofres).
Olhando por esse aspecto, um firewall do cliente fornece uma camada adicional de segurança para os aplicativos e dados que residem nos computadores portáteis que viajam fora do firewall do perímetro e precisam se conectar à rede, e também aos clientes desktop que residem dentro do perímetro de segurança.
Um firewall do cliente que inclua também a tecnologia antivírus e de detecção de intrusões funciona da seguinte maneira: à medida que as informações são recebidas pelo cliente, serão passadas através do firewall do cliente e verificadas para detectar a presença de ataques à rede e vírus, pelas tecnologias antivírus e de detecção de intrusões. Se uma intrusão for detectada, o firewall do cliente será instruído a bloquear o acesso da rede através do endereço IP ofensor. No caso de um vírus, o arquivo é corrigido e isolado seguramente. Desta maneira, a ameaça é identificada e contida no nível do cliente, sendo interrompida antes que se propague pelo resto da rede.
A ameaça interna
As empresas podem realmente se proteger contra ameaças originadas de dentro do firewall? Não totalmente. Porém, elas podem promover uma cultura que reduza as razões para as ameaças de funcionários. Dessa forma, controles adequados podem ser implementados para que, no caso de um acidente, eles possam agir de forma rápida.
- Crie uma política de segurança eficiente. As empresas devem ter uma política que destaque as informações importantes e todos os direitos de acesso a tais informações. Certifique-se de que todos os usuários estejam cientes da política. Informe-os sobre os riscos envolvidos em permitir que outros tenham acesso às suas contas e senhas. Alerte-os sobre os riscos da "engenharia social", onde intrusos tentam obter acesso não autorizado a informações, abusando da inocência de alguns usuários. A engenharia social explora o desejo humano de "fazer a coisa certa" e todos os usuários precisam estar cientes desses tipos de ataques.
- Defina níveis corretos de acesso. Certifique-se de que os funcionários obtenham acesso somente aos dados e sistemas para os quais necessitam de acesso. Pode parecer básico, mas não é anormal para funcionários ter de 10 a 20 vezes mais acesso a recursos do que é necessário para executar suas tarefas (o acesso pode ser restrito através da implementação de software especializado para o controle de acesso. Isso pode ser usado para limitar as atividades do usuário associadas a sistemas ou arquivos específicos e para manter registros de ações individuais de usuários no computador).
- Fique de olho nas "relações confiáveis". Se for necessário que os funcionários temporários sediados fora da empresa acessem a rede, certifique-se de que o acesso seja designado somente para os serviços específicos requeridos. É normal que os usuários necessitem de acesso a informações de diferentes níveis de valor. Ao atribuir os níveis de acesso, certifique-se de que um nível de proteção não exponha informações mais valiosas. Uma tática utilizada por algumas empresas é fornecer, a funcionários temporários, contas da rede que tenham uma "data de interrupção" automática, após a qual elas não funcionarão mais, a menos que sejam estendidas.
- Estabeleça um procedimento documentado para lidar com o término do contrato de funcionários. Do ponto de vista de segurança, o processo de demissão de funcionários pode ser caótico, tanto para aqueles diretamente afetados, como para os que ficam na empresa. Uma política de segurança, que determine as etapas que devem ser seguidas, pode reduzir grande parte da confusão. Por exemplo, uma boa política deve estabelecer claramente como desativar o acesso de um funcionário afetado aos sistemas de informações. Um estudo publicado pela Novell, Stanford University e Hong Kong University mostrou que quase metade das empresas pesquisadas leva mais de dois dias, e algumas até mais de duas semanas, para revogar o acesso à rede de funcionários que deixam a empresa. Certifique-se de que existam controles para revogar o acesso no último dia de qualquer funcionário, independente do motivo que levou o funcionário a deixar a empresa.
- Execute-a. Quando uma política de segurança estiver em vigor, determine se está sendo seguida e avalie as violações de segurança, para garantir que nenhum evento ocorra novamente. Uma maneira efetiva e significativa de gerenciar a segurança vai além das estatísticas e mede o desempenho real da segurança contra critérios objetivos predeterminados.
Conclusão
No atual clima dinâmico de negócios, noções antigas de "internos" e "externos" têm sido descartadas. O confuso perímetro corporativo já tem observado esse fenômeno. Da mesma forma, a idéia de construir uma "Grande Muralha" em volta dos dados corporativos, na tentativa de protegê-los contra ameaças externas, também está ultrapassada, principalmente porque as ameaças combinadas se proliferam e iludem os firewalls do perímetro. É necessário que as empresas estabeleçam estruturas de segurança que ofereçam proteção em todos os níveis: gateway, servidor e cliente. À medida que as ameaças internas aumentam, a segurança integrada deve se estender do perímetro ao centro.
Links relacionados
|
|
|
